-- Er det bedre å ikke vite?

Så lenge alle systemer og applikasjoner som er i bruk i bedriften kjører på interne systemer, enten det er servere eller klientmaskiner, er det relativt enkelt for de it-ansvarlige å ha kontroll over hva som er i bruk til enhver tid.

Slik er det imidlertid lenge siden virkeligheten så ut, i dag brukes skytjenester i stadig større omfang, i alle typer virksomheter. Omfanget er til og med større enn det mange it-ansvarlige er klar over, og det gjør at nye verktøy må i bruk for å gjenvinne kontrollen.

Skyen og skygge-it

Det er en logisk utvikling at mange tar i bruk skytjenester, for det er liten grunn til å kjøpe sine egne maskinvaresystemer og programvare og produsere en tjeneste selv, dersom den likevel er enkelt tilgjengelig på nettet.

De fleste tjenestene betales proporsjonalt, både basert på antall brukere og varigheten på bruken, slik at i de fleste tilfeller blir skytjenesten billigere enn å produsere dem selv. Dette gjør avanserte it-tjenester tilgjengelig for langt flere virksomheter enn før, da det kun var de største som hadde råd til totalanskaffelsen for å ta slikt i bruk.

Skybaserte tjenester fører likevel ikke bare godt med seg. Det er særlig to ting som it-avdelingen svært lett kan miste kontrollen over: Det første, og helt grunnleggende, er i det hele tatt hvilke skytjenester som er i bruk. Det er enkelt for en ansatt å ta en slik i bruk selv, uten å involvere andre i anskaffelsen – et utbredt fenomen som vi omtaler som «skygge-it».

I tillegg er det en utfordring å ha kontroll over hvilke data som håndteres av de eksterne tjenestene. Både persondata og kritiske bedriftsinterne data kan lett komme på avveie dersom de ansatte har en ukritisk og ukontrollert bruk av eksterne skytjenester.

Skygge-it er overalt

-- 99,9 prosent av alle organisasjoner har skygge-it, uansett om det er forsvaret, offentlig eller finans; vi ser det overalt, sa Peter Gustafson i selskapet Skyhigh Networks, under et seminar om sikring av skybruken vår i Oslo nylig.

-- I snitt i Europa ser vi over tusen forskjellige skytjenester i bruk, blant de virksomhetene som vi har analysert. Det er ofte langt over ti ganger mer enn det it-avdelingene selv vet om, eller klarer å gjette seg til. I tillegg er veldig få av disse over tusen tjenestene sanksjonerte, altså at de er strategisk valgt av virksomhetene, la han til.

Han hadde ikke rene norske tall å underbygge dette med, men Gustafson hadde tall fra flere analyser selskapet hadde gjennomført i andre nordiske land å vise til. I en bedrift med 9000 ansatte dokumenterte Skyhigh totalt 839 forskjellige skytjenester i bruk etter 10 dagers analyse. I en annen bedrift med 2500 ansatte hadde tallet kommet opp i 1125 skytjenester etter 30 dagers overvåking av nettbruken.

Heller ikke mindre bedrifter slipper helt unna. I en tredje bedrift, med kun 60 ansatte, kom antallet eksterne skytjenester i bruk opp i 194. Dette var etter tre ukers overvåking.

Absolutt relevant også i Norge

Det er etter alle solemerker liten grunn til å tro at situasjonen er spesielt forskjellig for norske bedrifter, Norge har mange små bedrifter som samtidig ikke er redd for å ta ny teknologi i bruk. Skytjenester synes å passe som hånd i hanske i vårt marked.

-- Dette er absolutt relevant for norske virksomheter, mener Egil Jahren, administrerende direktør i Data Equipment, den norske partneren til Skyhigh Networks. Han påpeker at norske virksomheter er godt i gang med å flytte det meste over til skyen, i takt med at flere og flere applikasjoner gjøres tilgjengelig slik.

Nytt verktøy

For å vinne kontrollen over både skygge-it og dataflyten til skytjenestene, må nye verktøy tas i bruk, siden tradisjonelle metoder ikke ser utenfor bedriftens eget nettverk.

-- På nye nestegenerasjons brannmurer kan du se applikasjoner, det stemmer. Det du ikke ser, er det som deles oppe i skyen. Du har full kontroll internt i bedriften din, med tanke på applikasjoner ut og inn, i tillegg til brukere, men du vet ikke hva som skjer med det som havner ute i skyen, mener Jahren.

Det er her Skyhigh Networks mener å kunne tilby mer kontroll. Selskapets løsning er en programvarebasert løsning med datainnsamling lokalt og analyse ute i skyen. Tjenesten fokuserer ikke utelukkende på å oppdage skygge-it i bruk, men den bistår også med klassifisering av risikoprofilen til tjenestene, analyse av vanlig og avvik fra normale trafikkmønstre og datainnhold i trafikken som går inn og ut av virksomhetens nettverk.

Viktig å vite

Skytjenester gir både nye muligheter og nye utfordringer. Skygge-it er ikke bare et organisatorisk problem, med tanke på effektive innkjøp og bruk av strategisk valgte verktøy, det kan også utgjøre en svært reell sikkerhetsrisiko. Da er det viktig å få avdekket og dokumentert hva som foregår i virkeligheten, slik at bedriftens ledelse har det beste grunnlaget for å ta sine beslutninger på, mener Jahren.

-- Noen spurte meg om hva de skulle gjøre med det, da de oppdaget førti kritiske skytjenester i bruk i kommunen. Da svarer jeg «er det bedre å ikke vite da?», for det er jo den it-sikkerhetsansvarliges jobb å synliggjøre hva faren er. Denne informasjonen må så finne veien til ledelsen i virksomheten. Deretter får ledelsen akseptere dette, og velge å gjøre noe med det, eller la være. Men da har i alle fall den sikkerhetsansvarlige gjort sin del av jobben, avslutter Egil Jahren i Data Equipment.