Tillbaka till huvudmeny

Molnexperten: “Vi måste jobba snabbt när nya säkerhetshål upptäcks”

Efter ransomware-attacken mot en stor IT-partner häromveckan fick kommuner kritik för att ha samma molnleverantör, och därmed bli sårbara för en attack. Så hur ska de tänka kring samhällskritiska system och extern drift? Vi ställde frågan till Björn Nordle, molnexpert på Visma PubliTech.

Kommuner blir kritiserade för att ha samma molnleverantör. Hur ska de tänka kring outsourcing av IT?

–  Jag håller med om att man inte ska lägga alla ägg i samma korg – eller hos samma leverantör. Det säkraste är att låta företaget som levererar lösningen drifta den. Sedan kan du jobba med en tydlig integrationsstrategi. Då blir det enklare att höja kvaliteten på de enskilda delarna.

En del tänker tvärtom, de tar hem sina lösningar eller delar upp system och hosting, så kallad outsourcad OnPrem. Är det så fel?

– När vi pratar om SaaS (Software as a Service) hos oss på Visma PubliTech kan vi inte skilja på utveckling, drift och säkerhet; vi måste jobba snabbt när nya säkerhetshål upptäcks. Idag kan vi skapa, godkänna och köra en uppdatering som täpper till säkerhetshål på väldigt kort tid –  förutsatt att vi får drifta vårt eget system. Gör någon annan det blir det inte lika smidigt.

Många cyberangrepp som rapporterats in till MSB, Myndigheten för samhällsskydd och beredskap, är relativt enkla. Ändå har de orsakat skada. Varför är det så?

– Attacker som nätfiske och överbelastningsattacker är otroligt lätta att utföra, därför är de också många i antal. Det går att köpa attacker som tjänst, med mängdrabatt, om man vill. Så fort en server kopplas mot internet så skannas portarna och finns det kända sårbarheter kommer de att utnyttjas. Har du inte stenkoll på säkerhetsarbetet är det lättare att rannsaka dina leverantörer och låta dem hålla en hög nivå än att själv vara på tå.

Hur vet man om en molnleverantör är tillräckligt säker?

– Sätt press på dina leverantörer, tvinga dem att vara duktiga på säkerhet. Be att få ta del av en krisplan, ställ frågor och se till att de jobbar enligt säkerhetsstandarder, som exempelvis ISO-27001. Inför en attack behöver vi jobba med härdning, segmentering och backup, det vill säga först hindra intrång, sedan göra det svårare för problemet att sprida sig och förbereda oss på återställning. Även om en del av datahallen drabbas kan du begränsa skadorna och skydda resten av systemet.

Finns det några fördelar med egen drift av till exempel lönesystem?

– Nej, eftersom våra lösningar är designade för att köras i ett privat moln finns det inga fördelar med egen drift, inte ens för stora kommuner som har kapaciteten.

Läs mer om hur Kalix kommun gick över till en molnlösning på bara åtta veckor i samband med att de utsattes för en it-attack.

Mest populära

  • Gratis mall till bilpolicy för tjänstebil

    Bilpolicy – gratis mall till företaget

    Med en tjänstebilspolicy undviker företaget missförstånd med sina anställda. Där kan bland annat kostnader och miljöaspekter regleras på ett smidigt sätt. Ladda ner vår kostnadsfria mall och slipp onödiga problem.

  • Personalhandbok – gratis mall

    Personalhandbok – gratis mall för företag

    En bra personalhandbok ger medarbetare stenkoll på rutiner, plikter och rättigheter. Här samlas info om företagskultur, arbetstider och semester. Med vår nya mall har ni snart en uppdaterad personalhandbok på plats.