Sikkerhet som tjeneste

Sikkerhet i skyen, sikkerhet som tjeneste eller «Software-as-a-service» (SaaS), barnet har mange navn, kjært eller ei. En ting er å sikre informasjon som trafikkerer over internett, og det er ikke tema for denne artikkelen, noe annet er det å sikre seg mot trusler og søppel ved å leie tjenester og programvare.

Flere av de tradisjonelle leverandørene av sikkerhetsprogramvare tilbyr også hele eller deler av porteføljen sin som tjeneste over internett. Argumentene for å leie sikkerhetsprogramvare som tjeneste er de samme som for andre SaaS-løsninger som fleksibilitet, lav investering og enkel betalingsmodell. Men når det gjelder sikkerhet, er det flere argumenter enn som så.

Søppelpost, skadelig kode og angrep fra kriminelle er økt til astronomisk store mengder. Jo tidligere slikt kan stoppes, jo bedre er det. Det er enkelt å se at du har fordel av å slippe å måtte håndtere en million spam-poster med din lokale antispam-løsning.

Løsninger for antispam og håndtering av epost har vært tilgjengelig som tjenester i et par år. Dette har vært såpass vellykket at flere av sikkerhetsleverandørene vil levere flere av sine løsninger som tjenester eller SaaS. Trend Micro lanserte i fjor sitt Smart Protection Network, F-Secure tilbyr Protection Service for Business, Symantec byr på Protection Network og så videre.

Fordelen i forhold til skadelig kode ligger i at det hele tiden utvikles nye virus, ormer og trojanere i et slikt tempo at du risikerer at du ikke rekker å oppdatere den lokale beskyttelsen din før det er for sent. Ved å legge beskyttelsen hos en sikkerhetsleverandør som har verdensomspennende nettverk og mer eller mindre sanntids overvåkning og oppdatering mot nye trusler, skal du i det minste i teorien kunne være tryggere.

Ved å legge sikkerheten «i skyen», altså hos en sikkerhetsleverandør vil du også kunne få beskyttelse mot skadelige web-sider. Det fungerer slik at sikkerhetsleverandøren har oversikt over kjente skadelige sider, så vel som kjente sikre eller ufarlige sider og stanser eller tillater forespørsler ut fra dette. Når det forespørres en side som er ukjent for sikkerhetssystemet, så vil det kunne sjekke siden for eventuell risiko før brukeren får tilgang.

Også backup over nettet tilbys som tjeneste. Egentlig er jo det like gammelt som datakommunikasjon i seg selv, men da med konkrete linjer og forbindelser til leverandøren og ikke ut «i skyen». Det finnes en rekke tjenester både for bedriftsmarkedet som for privatpersoner. Foreløpig ser det ut til å være en moderat suksess, da det ofte stilles spørsmål ved hvor sikre data som lagres på denne måten er.

Det er igjen et spørsmål om tillit. Noe som i grunnen gjelder for alle løsninger for informasjonssikkerhet.

Ferdig pakket

Nettverk & Kommunikasjon har møtt Robin Vann, som formelt er løsningsdirektør i Trend Micro. Han har jobbet med datasikkerhet siden åttitallet, og er en ivrig talsmann for sikkerhet som tjeneste og SaaS.

– I dagens økonomiske klima er Software-as-a-Service en god modell, også når det gjelder sikkerhet. Du kan kjøpe akkurat den sikkerheten du trenger i den skalaen du har behov for. Nå ser vi også tredje generasjon av SaaS, med god funksjonalitet, sier Vann.

– Noe flåsete kan du si at første generasjon var «se, vi har web-grensesnitt» og andre generasjon var med avkryssingsbokser: «Se, du kan krysse av for hvilken funksjonalitet du vil ha». Den tredje generasjonen, dagens SLA-baserte løsninger, består av dedikerte SaaS-plattformer som nyter godt av mye større båndbredde enn tidligere.

– For mange høres sikkerhet som en tjeneste noe merkelig ut, fordi alle forstår behovene for fysisk sikkerhet og trekker paralleller til dette når de tenker sikkerhet. Men sikkerhet som tjeneste forsvarer mot angrep og trusler langs andre linjer, hvor fysiske enheter ikke må være til stede.

Vann trekker frem at sikkerhet ikke er noe absolutt:

– Skal du ha total sikkerhet, er det beste å knuse maskinen og fylle den med betong. Det er alltid et kompromiss mellom sikkerhet og anvendelighet.

Men du slipper ikke unna å sikre alle endepunkter og klienter. Vann peker på at du er nødt til å installere beskyttelse lokalt på utstyr som kan angripes på andre måter enn via virksomhetens nettverk. Nettverket i seg selv kan beskyttes ved hjelp av løsninger «i skyen», men en pc har usb-porter og andre tilkoblinger som må håndteres lokalt.

– Tynne klienter er ok inntil brukerne vil ha med seg data for å jobbe videre. Tillater du det, må du også sikre at dataene ikke kommer på avveie.

– Norge har jo stort sett små og middels store virksomheter. Hvor mange av dem har råd til å holde seg med egen sikkerhetsavdeling? Kanskje ikke en gang en egen it-avdeling.

– En stor fordel med SaaS er at kundene kan tilbys bedre sikkerhet ferdig pakket. Bedrifter uten egne it-folk får det jo opplagt enklere å håndtere sin sikkerhet ved å kjøpe den som tjeneste. Med Saas kan du få bedre sikkerhet fordi leverandøren virkelig kan sikkerhet og har fokus på det, noe du selv ikke er i stand til på langt nær, avslutter Vann.