Företag och den offentliga sektorn i Sverige behöver se till att deras information är säker. En utmaning är att hålla en enhetlig hantering och användning av olika skyddsmetoder. Oavsett vilken tjänsteplattform, om det gäller Microsoft-, Google- eller interna system, så finns ett tydligt behov av en sammanhållen strategi för informationssäkerhet.
Idag utnyttjar företag och den offentliga sektorn en mångfald av molntjänster, upphandlad infrastruktur samt egen IT-infrastruktur, SaaS och moln-tjänster. Ett exempel kan vara en kommun som använder Google Workspace inom utbildningssektorn, Microsoft 365 i förvaltningen och driver en egen infrastruktur för system och datalagring.
De lagar och regulatoriska krav som ställs på företag och kommuner innebär en betydande utmaning när det gäller att säkerställa skyddet av information som rör sig genom dessa plattformar. Att försöka hantera detta genom att säkra informationen och samtidig garanterar tillgänglighet och funktionalitet.
Idag finns inbyggda säkerhetsfunktioner från många leverantörer för att skydda den information som lagras eller hanteras via sina tjänster, där trenden går mot kryptering och policy baserad åtkomstkontroll. Varje leverantör strävar efter att sina kunder ska kunna efterleva lagar och förordningar som reglerar hur vi hanterar vår information, exempel är GDPR och kommande NIS2.
Behovet av att hålla information säkert och suveränt i Sverige, eller att garantera att information inte kan begäras ut av främmande nationer står högt på agendan, och många molnleverantörer pratar nu om suveräna moln som är baserade i Europa, ett sätt att försäkra sina kunder om att informationen behandlas och stannar säkert inom EU. Sammantaget är detta bra åtgärder och skapar förutsättningar för svenska företag och offentlig sektor att konsumera och ta del av fördelarna med skalbara och tillgängliga molntjänster.
Utmaningen: Behovet av enhetlig hantering
I takt med att leverantörer av molntjänster anpassar sig till ökade krav på informationssäkerhet och integritet, förväntas kunderna uppfylla nya kunskapskrav. Det innebär att kunden måste aktivt aktivera och hantera olika funktioner och skyddsmekanismer inom respektive plattform. Det kräver etablering av processer och rutiner för övervakning och hantering, vilket måste genomföras individuellt för varje tjänsteleverantör.
Denna anpassning leder till en komplex situation där enhetlig och effektiv hantering av samtliga tjänster blir utmanande, samtidigt som en god överblick för säkerhetsåtgärder blir svåra att uppnå.
Skydda information genom kryptering
Idag tillhandahåller en rad molntjänster möjligheter för kunder att kryptera sin information. Genom att skapa nycklar i en dedikerad nyckelhanterare hos tjänsteleverantören kan man säkra sin information genom kryptering. Dessa nycklar, genererade och förvarade inom samma tjänst som hanterar och lagrar användarens data, utgör en central del av skyddet.
Kryptering utgör en robust metod för att säkra information, där nyckelns styrka är avgörande för skyddets effektivitet. Därför är det av yttersta vikt att nycklar skapas på ett säkert sätt, förvaras på ett säkert vis för att förhindra obehörig åtkomst, nycklar ska regelbundet bytas ut och att användningen av nyckeln övervakas.
Då nyckeln blir en av de mest skyddsvärda komponenterna i säkerhetsåtgärderna, ökar kraven på leverantörerna av de molntjänster vi väljer att nyttja. Detta fenomen har drivit utvecklingen av nya säkerhetsåtgärder såsom ”Bring your own key” (BYOK) och ”Hold your own key” (HYOK). Dessa funktioner möjliggör att kunder kan skapa och inneha sina egna nycklar, som de sedan använder inom tjänsten eller tillåter tjänsten att använda nyckeln från en säker plats hos kunden själv. Genom detta tillvägagångssätt kan kunder skapa egna processer och rutiner för att skapa samt förvalta livscykeln för nycklar som används för att skydda den data som tjänsten bearbetar och lagrar.
Mångfalden av molntjänster innebär att det idag finns varierande metoder för att skapa och kontrollera nycklar. Varje leverantör erbjuder sina egna tjänster för att hantera och konfigurera dessa funktioner.
KMS – en enhetlig hantering av nycklarna till din information avsett tjänst
- Åtkomstkontroll: En KMS tillåter att definiera och reglera vem som har tillstånd att använda och hantera nycklarna. Det skapar en strukturerad åtkomstkontroll där behörigheter kan tilldelas och övervakas för att säkerställa att endast behöriga personer eller system kan komma åt nycklarna.
- Central loggfunktion: Genom att spåra aktiviteter och åtgärder som utförs med nycklarna, skapar KMS en loggfunktion som registrerar varje användning eller förändring. Detta är avgörande för att spåra händelser, felsöka eventuella problem och upptäcka obehörig åtkomst eller missbruk.
- Koppling mot molntjänster: Genom att integrera med molntjänster skapar KMS en enhetlig plats för hantering av nycklar, oavsett om de används lokalt eller i molnet. Detta möjliggör enhetlig och säker hantering av nycklar oavsett var de används, vilket är särskilt viktigt i dagens distribuerade datasystem.
- Överblick och enkel hantering: Genom att samla alla nycklar och tjänster på en plats erbjuder KMS en helhetsbild av alla nycklar och deras användning. Detta underlättar övervakning, processer och rutiner för att säkerställa att alla nycklar hanteras på ett enhetligt, säkert och effektivt sätt.
En stark KMS är ovärderlig för att säkerställa en organiserad och säker hantering av kryptonycklar och därigenom skydda känsliga data. Det ger både kontroll och översikt över nycklarna och deras användning, vilket är avgörande för informationssäkerhet och efterlevnad av regelverk.
Complior – KMS som tjänst
Thales är ett ledande företag inom cybersäkerhet och digitala säkerhetslösningar.
CipherTrust Manager är en plattform för nyckelhantering som syftar till att erbjuda säkerhet och kontroll över kryptonycklar som används för att skydda känslig information. Det ger företag och organisationer en centraliserad och kraftfull hanteringslösning för kryptonycklar som används i olika miljöer, inklusive lokala system och molnbaserade tjänster.
Denna plattform möjliggör generering, distribution, rotation och övervakning av kryptonycklar och ger en enhetlig vy över nycklarna oavsett var de används. Det erbjuder också fördelar som åtkomstkontroll, loggfunktioner, och integration med olika molntjänster. Thales CipherTrust Manager strävar efter att göra nyckelhantering enklare och säkrare för organisationer, särskilt när de arbetar med kritisk och känslig information. Om du vill veta mer om Complior och nyckelhantering, kontakta oss!
