Hvorfor aksepterer noen objekteiere at deres data legges i skyen, mens det for andre er totalt uakseptabelt? Digitale tvillinger krever ekstra skjerming, men det ser ut til at også disse dataene legges ut i skyløsninger uten tilstrekkelig verdivurdering? En nasjonalt sikret skyløsning for kritisk infrastruktur er diskutert. Før denne er realisert er vi svært sårbare – og enda verre, har de ansvarlige for lite kunnskap og fokus på problemstillingen?
Vi omfavner alle de digitale løsningene som omgir oss, i den grad at det har blitt utfordrende å klare seg uten smarttelefonen apper, som styrer vår hverdag og fritid. Siden sårbarhet selger dårlig, har vi liten kunnskap om truslene i vår digitale hverdag. Men truslene er reelle. Her er noen eksempler:
I Ukraina ble en stor gruppe russiske soldater drept fordi de ble avslørt av høy tetthet av russiske mobiltelefoner inne i en og samme bygning. Hadde befalet vært klar over sårbarheten som de utilsiktet ga den som kontrollerte digitale data og som hadde ressurser til å styre granater, hadde de nok forbudt bruken av mobiltelefon.
Andre eksempler er norske pasientjournaler som havnet i Ukraina, at dataoperatører i India kunne stoppe lossing av olje på norsk sokkel, og stortingsrepresentanter som tar med seg jobbtelefonen på feriereise og slik kan spores, avlyttes eller hackes.
Heldigvis har de fleste tilfeller av svikt i datasikkerhet ikke dødelig utgang. Men de kan medføre store tap av verdier eller omdømme som det har tatt år å bygge opp, både for selskaper, organisasjoner og individer.
Jorulv Rangnes
Avdelingsleder, Jotne
Data samles via skyløsninger
Fremveksten av store dataselskaper som Microsoft, Google, Amazon, Meta, Twitter og TikTok viser hvilken enorm verdi som ligger i digital informasjon. Likevel gir vi disse selskapene full tilgang til dataene våre gjennom deres gratis eller sterkt subsidierte skyplattformer.
I flere av tjenestene samles dataene våre i enorme datasentre uten at eierskap, bruk, misbruk, analyser eller brukerrettigheter er avgjort og tydelige. Avanserte algoritmer (kunstig intelligens) sin tilgang til slike datasentre øker bare verdien for dataselskapene.
Dermed er det slik at de store dataselskapenes tjenester ser ut til å være gratis, men har likevel en kostnad for brukerne. Denne lunsjen er ikke gratis!
Data lagres utenfor vår lovgivning
For en vanlig bruker er det umulig å vite hvor «egne» data er lagret og hvor mye data som er lagret. De fleste skyløsninger håndteres av en lovgivning som ikke er tilpasset brukerens, men dataselskapenes behov.
Derfor har vi trolig heller ikke kontroll over hvilke land eller tidssoner dataene våre befinner seg i, eller hvem som tilgang til dem.
Det vil dermed være umulig å ivareta en verdivurdering, der de som lagrer dataene skal være sikkerhetsklarert eller signere taushetserklæringer.
Hvordan overføres data?
Skyløsningene er også ofte basert på en leverandørs egne formater og tjenestelag (silo). Men hva skjer når brukeren ønsker eller må bytte leverandør. Hvordan overføres data fra en silo til en annen? Hvordan vet vi at dataene våre, som dataselskapene har stor interesse av å eie og kontrollere, faktisk slettes?
Dessuten flyter data mellom ulike virtuelle servere, sikkerhetskopieres til ulike datasentre og gjøres tilgjengelig i flere tidssoner. Dataselskapenes egne proprietære løsninger medfører ofte at det er krevende å flytte data fra en skyløsning til en annen – eller til en på-stedet (on premises) løsning.
Det er kanskje gjort med hensikt, fordi den som eier dataene, eier kunden.
De fleste skyløsninger håndteres av en lovgivning som ikke er tilpasset brukerens, men dataselskapenes behov.
Mangel på nasjonal myndighet
Dermed er det et paradoks at organisasjoner som er underlagt norsk sikkerhetslovgivning ekskluderer bruk av skyløsninger fordi det ikke forenlig med deres verdivurdering, mens andre organisasjoner som også er viktig innenfor samfunnssikkerhet og beredskap kommer til den motsatte konklusjonen.
Mest trolig har den sistnevnte gruppen ikke gjort en forsvarlig verdivurdering, men ensidig fokusert på leverandørens markedsføring om tilgjengelighet, skalerbarhet, sikkerhet og lav pris.
En mangel på nasjonal myndighet på området medfører også at stat og kommune i stor grad tar egne valg i kraft av prinsippet om sektorstyring. I private og offentlige selskaper er det styret som tar slike valg, og det skjer gjerne uten tilstrekkelig kunnskap, uten veiledning fra myndigheter og ofte basert på det som ser ut til å være laveste kostnad.
Noen virksomheter og andre lands myndigheter stiller krav til at deres data ikke skal behandles av tredjepartsaktører. Det innebærer at de ikke aksepter bruk av skytjenester for sine data.
– For eksempel benytter amerikanske myndigheter klassifiseringen Controlled Unclassified Information (CUI). Her er informasjonen ugradert, men det er krav til at oppbevaring og lagring av dataene skal være hos sluttbrukeren. Skytjenester er her en tredjepartsaktør og kan ikke benyttes for oppbevaring av slik informasjon, sier Karsten Kleven, sikkerhetsansvarlig ved Jotne (tidligere seksjonssjef ved Forsvarets sikkerhetsavdeling).
Igjen er det slik at det som ser ut til å være billig, kan komme til å koste dyrt.
Digitale tvillinger må vernes
En digital tvilling er en digital samling av prosesser for design, produksjon og bruk av produkter. Derfor er en digital tvilling mye mer verdifull enn det fysiske produktet som tilbys i markedet.
– I motsetning til de store dataselskapenes enorme datamengder, som krever avanserte algoritmer for å oppnå en tilsvarende informasjonsverdi, består digitale tvillinger av strukturert informasjon, sier Jorulv Rangnes, avdelingsleder ved Jotne.
Derfor kan tap av – eller uautorisert tilgang til – digitale tvillinger medføre store økonomiske tap og tap av materiell, personell og omdømme. En digital tvilling må dermed passes på og vernes minst like godwt som andre typer data, eller bedre.
Hva er løsningen?
Jotne leverer systemer for sikker behandling av digitale tvillinger innen romfart, forsvar, fly og byggeindustri.
Med økende datavolum, behov for tilgjengelighet, skalerbarhet, redundans, lastbalansering og tilgangsstyring, har skyteknologien flere fordeler.
Men kanskje er det slik at disse fordelene overskygges av de mange og uoversiktlige farene som finnes ved å lagre data i skyen. I slike tilfeller er det nok mer riktig å oppbevare og behandle sine data «bak lås og slå» innenfor egne murer.