Molnteknologi blir allt viktigare, inte minst för att drifta AI-tjänster. Men antalet säkerhetsincidenter ökar och behov kopplade till digital suveränitet blir allt tydligare. Två forskare från Totalförsvarets forskningsinstitut (FOI) har utvärderat incidenter och åtgärder på molnsäkerhetsområdet.
Genom molntjänster kan organisationer få tillgång till lagringstjänster, programvara och beräkningskapacitet utan att själva behöva bygga och underhålla serveranläggningar. Molntjänster har därför skapat förutsättningar för många verksamheter att expandera, särskilt inom områden som maskininlärning och AI som ställer höga krav på datorkraft. Numera används molntjänster också av offentliga verksamheter, som myndigheter.
USA-baserade hyperskalbara molnlösningar – så kallade hyperscalers – som erbjuder möjligheter att snabbt skala upp beräkningskapacitet och lagring, har helt kommit att dominera marknaden.
– Amazon, Google och Microsoft är de stora amerikanska spelarna som under längre tid har byggt upp datakapacitet och stora plattformar med många olika tjänster, säger Viktor Bergström som är forskningsingenjör på FOI:s avdelning Cyberförsvar och ledningsteknik.
Riskabelt förlita sig på USA:s moln
Allt fler organisationer förlitar sig på molntjänster, framför allt av ekonomiska skäl.
– Det gör att vi sitter i en intressant situation nu, där vi har en bristande grad av suveränitet även på molntjänstområdet, säger Viktor Bergström.
Det skapar risker om USA exempelvis bestämmer sig för att stänga ner den it-infrastruktur man använder sig av, men också för att den amerikanska regeringen enligt lag har tillgång till data hos amerikanska molntjänstleverantörer, även om den hanteras i Europa.
– Man kan försöka lösa det tekniskt, men det finns en sund tveksamhet kring att driva sin verksamhet på hårdvara som någon annan äger, säger Viktor Bergström.
I takt med den ökande användningen av molntjänster ökar också antalet säkerhetsincidenter. På uppdrag av Försvarsmakten har Viktor Bergström och forskningsingenjörskollegan John Ziegenbein utvärderat incidenter och säkerhetsåtgärder relaterade till molnsäkerhet, vilket de beskriver i rapporten En genomgång av säkerhetsincidenter och åtgärder avseende molntjänster.
De har riktat in sig på de hyperscalers som dominerar marknaden, och undersökt vilka sorters sårbarheter som legat bakom 157 säkerhetsincidenter rapporterade de senaste tio åren.
– Vi har tittat på publika data, och när det gäller säkerhetsincidenter måste man tänka på att det alltid finns incidenter som inte är offentliga. Men vi har försökt få en någorlunda överblick, säger Viktor Bergström.
Enkla felkonfigurationer bakom incidenter
Brister i identitets- och åtkomsthantering stod för den största andelen av molnincidenterna, 58 procent. Andra vanliga orsaker till incidenter var brister i dataskydd och infrastrukturhantering.
– Vi såg att många av de här sårbarheterna är enkla felkonfigureringar. Vår hypotes är att när system blir väldigt komplexa, som molnsystem har en tendens att bli, så blir det lätt att missa små enkla fel. Man kanske skapar nya delkomponenter och tar bort andra, säger Viktor Bergström.
I system med brister i identitets- och åtkomsthantering och infrastrukturhantering var känsliga data ofta lätt att komma åt för den som lyckades komma in.
– Överlag observerade vi att det fanns mycket känslig data publikt på internet. Det är mer tidskrävande att arbeta med krypterad lagrad data, och det är inte alltid självklart att avgöra när data borde vara krypterad. Men vi tycker att data som läckts vid flera incidenter i många fall borde befunnits krypterad vid lagring.
Viktor Bergström och John Ziegenbein gick också igenom vilka säkerhetsåtgärder som rekommenderas av erkända institutioner och auktoriteter inom molnsäkerhet. En slutsats är att säkerhetsramverken med föreslagna säkerhetsåtgärder är stora och komplexa, vilket kan göra dem svåra att följa i praktiken.
– Men det fanns en hel del saker som var gemensamma, så det känns som att det finns en viss konsensus även bland hyperscalers, säger Viktor Bergström.
Tidskrävande bygga säkra system
Molnsäkerheten har ökat succesivt under den tioårsperiod forskningsingenjörerna studerat. I rapporten ger de förslag på åtgärder som kan förhindra säkerhetsincidenter, exempelvis infrastruktur som kod (IaC), vilket innebär att it-resurser hanteras genom kod istället för genom manuell konfiguration.
– Det finns också mer generella verktyg, översiktssystem som tittar på hela systemet och ger varningar för felkonfigureringar. Det finns en stor mängd säkerhetslösningar som är relevanta och effektiva, men där det finns en risk att du blir låst till leverantören, givet att det krävs mycket leverantörsspecifik kompetens.
Utvecklingen av molnteknik sker i högt tempo, och om man från europeiskt och svenskt håll vill skapa egna plattformar krävs mycket kunskap och förberedelser, menar Viktor Bergström.
– Molntjänster skulle kunna vara väldigt intressant ur ett försvarsperspektiv. Men att bygga system med hög säkerhet tar väldigt lång tid.
Läs rapporten: En genomgång av säkerhetsincidenter och åtgärder avseende molntjänster
