2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte Syfte med detta dokument är att beskriva de säkerhetsrelaterade frågeställningar som är aktuella vid användning av databehandlingstjänster som tillhandahålls av leverantörer över internet. Inledning Traditionellt har informationssystem införts genom att företag har anskaffat datorutrustning genom att t.ex. köpa, hyra eller leasa den, och genom att utveckla eller köpa nödvändiga program. Detta kräver förstås att företagen har personal med rätt kompetens eller köper tjänster externt för att upprätthålla och utveckla IT-miljön. Ett alternativ eller komplement till den traditionella modellen är att lägga ut driften av datorsystem på entreprenad, s.k. outsourcing. Det finns många olika former av outsourcing där man lägger mer eller mindre ansvar på entreprenören. Outsourcing innebär att man som kund fortfarande har stor påverkan på den tekniska utformningen av de levererade IT-tjänsterna. Molntjänster kan ses som en speciell form av outsourcing och innebär att leverantören av molntjänster tillhandahåller centralt all nödvändig hård- och mjukvara som krävs för att leverera dynamiskt skalbara resurser för att lagra och bearbeta kunders information. Vidare ansvarar molntjänsteleverantören för konfiguration, uppgradering, drift, kundsupport osv. Kunder kopplar upp sig (oftast genom internet) mot molnföretaget för att nyttja de tjänster man har behov av. Begreppet molntjänster innefattar mjukvara som tjänst (Software as a Service SaaS) plattform som tjänst (Platfrom as a Service PaaS) infrastruktur som tjänst (Infrastructure as a Service IaaS) Typiska molntjänster kan vara projekthantering, kundhantering, bokföring och kompletta affärssystem. Motiven för att köpa molntjänster varierar men några vanliga exempel är: 100217 IT som tjänst - Molntjänster v1.1.doc 1 (5)
kostnad flexibilitet brist på kompetent personal i den egna organisationen implementationstid möjlighet att använda tjänsterna på distans från olika platser utanför det egna företaget tillgång till de senaste versionerna av program IT som tjänst inom energibranschen Förutom de typiska molntjänsterna som nämnts ovan och som används i många olika branscher, finns det ett för energibranschen specifikt område där molnet blivit ett alternativ, nämligen mätvärdesinsamling. Det innebär att ett företag, ofta med en eller flera underleverantörer mha. fjärrmanövrerade mätare, samlar in och bearbetar bl.a. förbrukningsdata från energibolagets kunder. Därefter överförs "färdiga mätvärden" till energibolaget. Att anlita en molntjänsteleverantör för att köpa "färdiga mätvärden" för med sig ett antal informationssäkerhetsrelaterade utmaningar. Molnleverantören behöver tillgång till både kunddata och anläggningsregister vilket energibolagen vanligtvis betraktar som mycket värdefull information. Det är inte ovanligt att ett molnföretag som leverantör av "färdiga mätvärden" hanterar kund- och anläggningsinformation från flera konkurrerande företag. En annan svårlöst fråga är hur man säkerställer mätvärdenas riktighet. Ett mätvärdes väg från en fjärrmanövrerad mätare, via en eller flera kommunikationskanaler (t.ex. radio, PLC eller GPRS/GSM) via molntjänsteleverantörens system till energibolaget kan, om den inte skyddas, bli förvanskad. Förvanskningen kan ha tekniska orsaker men kan också vara avsiktlig. En systematisk manipulation av mätvärden skulle kunna orsaka energiföretaget stor skada och är i regel svårare att upptäcka och bevisa jämfört med fysisk manipulation av mekaniska mätare. Energibolagen måste säkerställa att molnföretaget uppfyller de krav man ställer på hanteringen av anläggningsinformation, kunddata, mätvärden och styrinformation till fjärrmanövrerade mätare. 100217 IT som tjänst - Molntjänster v1.1.doc 2 (5)
Molntjänster och informationssäkerhet - en motsats? Då man överväger att köpa molntjänster är det många aspekter och potentiella risker som behöver beaktas såsom kvalitet, kostnad och servicenivåer. Den i dagsläget i särklass mest förbisedda aspekten från både kunder och molnföretagen är informationssäkerhet. Det är viktigt att förstå att man genom att använda sig av molntjänster ger tjänsteleverantören kontroll över den information som bearbetas och lagras. Detta kan ha allvarliga konsekvenser när det gäller informationens riktighet, tillgänglighet och sekretess. Det är också viktigt att förstå att molntjänsteföretaget för att få stordriftsfördelar och dynamiskt kunna erbjuda kapacitet använder tekniker som t.ex. virtualisering, tjänsteorientering (SOA), outsourcing och samlokalisering. Detta innebär att leverantören använder samma hård- och mjukvara för att serva flera olika kunder och att man som kund i regel inte har kontroll över var information bearbetas och lagras. Eftersom molnföretaget får kontroll över potentiellt affärskritisk information är det av yttersta vikt att man som kund ställer rätt krav. Detta betyder att avtalet som reglerar de tjänster man köper och som man upprättar med tjänsteleverantören är helt centralt. Problemet är att de standardavtal som leverantörerna idag använder sig av och som de oftast är ovilliga att gör förändringar i, är mycket bristfälliga, och i vissa fall katastrofala när det gäller informationssäkerhet. Det är vanligt att inga åtaganden görs från leverantörens sida när det gäller ansvar för kundens information. Kunden har i många fall inte rätt till kompensation över huvudtaget om tjänsten inte är tillgänglig, om kundens information försvinner eller om obehöriga får tillgång till den. I andra fall är molntjänsteleverantörens ansvar begränsat till ett maximalbelopp som i de flesta verksamheter inte på långa vägar täcker kostnaden för återskapande av information vid en förlust eller de förtroendeskador som obehörig åtkomst till t.ex. kundinformation kan ge. Att köpa molntjänster är till synes enkelt och kräver inte med nödvändighet någon större teknisk kompetens. Därför tas initiativet till att nyttja molntjänster ofta utanför IT-avdelningen och ibland t.o.m. utan IT-avdelningens vetskap. Detta behöver inte i sig vara ett problem, men det ställer stora krav på den som väljer, kravställer och upphandlar molntjänster. 100217 IT som tjänst - Molntjänster v1.1.doc 3 (5)
Checklista - molntjänster Då man i en verksamhet överväger att använda molntjänster är det viktigt att förstå hur dessa tjänster fungerar och vilken påverkan på verksamheten användningen av tjänsterna kan ha. Som vanligt bör man göra en noggrann hot- och riskanalys. Denna analys bör bl.a. ge svar om vad det är för typ av verksamhetsinformation man planerar att låta molntjänsteleverantören hantera och vilka krav man i sitt företag ställer på denna hantering för att upprätthålla informationens sekretess, riktighet och tillgänglighet. Nedan följer ett antal områden som är viktiga att tänka på och några tips då man överväger att använda sig av molntjänster. Vem äger informationen när den överförts till molnleverantören? Vad får leverantören göra med informationen? Finns det särskilda lagkrav på bearbetning, överföring och lagring av den information som kommer att hanteras av molntjänsteleverantören (t.ex. personuppgifter)? Var bearbetar och lagrar tjänsteleverantören kunders information, i Sverige eller utomlands? Om företaget finns utomlands, är det i så fall i ett land (EU/Efta) där informationen kan få skydd av relevant lagstiftning? I det fall informationen lagras utomlands, vad säger detta lands lagstiftning om tillgången till information samt möjlighet till spårning m.m. i det fall oegentligheter inträffar? Vad händer om molnföretaget blir föremål för tvångsåtgärd, går i konkurs eller blir uppköpt (av t.ex. ett utländskt företag)? Vilka förebyggande åtgärder och tekniska lösningar har molntjänsteföretaget för att skydda kunders information? Verifiera på plats! Tro inte på löften eller allmänna beskrivningar på företagets webbplats. Vem har ansvaret för säkerhetskopiering? Är det molnföretaget eller kunden? Om det är tjänsteföretaget, verifiera att det fungerar i verkligheten. Ett antal fall har uppmärksammats där kunder blivit lovade säkerhetskopiering, men när väl katastrofen var ett faktum fanns det ingen säkerhetskopia. 100217 IT som tjänst - Molntjänster v1.1.doc 4 (5)
Övrigt Vad händer om internet inte är tillgängligt? Även om molnföretaget har vidtagit åtgärder för att upprätthålla sin verksamhet finns det inga garantier för Internets tillgänglighet. Har den egna verksamheten en kontinuitetsplan i det fall molntjänsten av någon anledning inte är tillgänglig? (Jmf. ö-drift). Har kunden, med egen personal eller med extern part, rätt att utföra revisioner för att kontrollera tjänsteföretagets informationssäkerhetsskydd? Har molnföretaget processer för att säkerhetspröva den egna personalen? Tänk på att de som har administratörsrättigheter på tjänsteföretaget i regel har tillgång till kunders information. Finns krav och rutiner för rapportering av händelser som drabbat molntjänsteföretaget och som kan hota kundens information? Finns det tydliga gränsdragningar kring ansvar mellan kunden och tjänsteföretaget? Har kunden rätt till ersättning vid röjande, förvanskning eller förlust av information? Hur stor är denna ersättning? Observera att informationsförlust räknas som en indirekt skada. Frågor kan ställas till EBITS via e-post ebits_box@svenskenergi.se 100217 IT som tjänst - Molntjänster v1.1.doc 5 (5)