Hanterar ni känslig data genom SaaS? Här är fem stora risker ni måste tänka på

Landskapet förändras snabbt, eftersom AI och de snabba politiska svängningarna i USA och Ryssland påverkar hela branschen. Det är nu viktigare än någonsin att ha kontroll på sitt data och att arbeta riskdrivet. Här är fem risker som ni behöver ha koll på – och arbeta aktivt med – för att undvika allvarliga incidenter som kan påverka hela organisationen:

Underleverantörerna är ert ansvar – inte någon annans

I dagsläget finns det många regelverk för att garantera att tjänster och produkter levereras på ett hållbart och säkert sätt. Några av de vanligaste är GDPR, DORA (Digital Operational Resilience Act), NIS (Nätverk och informationssystem samt Offentlighets- och sekretesslagen (OSL).

Att inte efterleva dessa kan få en rad allvarliga konsekvenser, i slutändan kan det även leda till böter eller näringsförbud. I och med AI:s frammarsch kommer ytterligare regelverk – som AI-lagen – som gör det ännu mer komplext att följa reglerna, eftersom AI-modeller ofta tränas med hjälp av företagens mest känsliga data.

SÄKRA ER DATA: Läs mer om helsvenska molntjänstleverantören Elastx här!

Utvecklingen går också mot att ni själva måste hålla koll på era underleverantörer. Att skylla på dem om något går fel kommer man inte längre undan med.

Det är inte frågan om – utan när – ni blir utsatta för en cyberattack

Den organiserade cyberbrottsligheten ökar lavinartat och ingen kan längre gömma sig. Har ert bolag en exponerad sårbarhet eller inte arbetar aktivt med säkerhetskännedom med era anställda så kommer ni att bli utsatta för en attack förr eller senare. Målet är oftast att skada, påverka eller tjäna pengar på attackerna. Beroende på vilken typ av tjänst ni levererar så ser hotbilden och åtgärderna som krävs väldigt olika ut. 

Även här handlar mycket om vilka interna eller externa personer och organisationer ni kan lita på. I riskbedömningen bör ni väga in:

• Regelverk, till exempel svensk, europeisk eller amerikansk lag
• Certifieringar, till exempel ISO 27001
• Antal personer som har tillgång till data inklusive eventuella underleverantörer (underbiträden) 
• Säkerhetskultur (detta kan vara svårt att få insyn i) 
• Tekniskt skydd

Tekniska skydd som kryptering kan genast sänka risken för att känsliga uppgifter ska läcka. Men det vanligaste sättet som cyberkriminella använder sig av är manipulation av anställda. Därför måste all personal tränas regelbundet och dagligen jobba riskdrivet, med tydliga processer på plats ifall en sårbarhet upptäcks.

Säkra tillgängligheten hos er tjänst

Om era tjänster inte är tillgängliga är ni inte till någon större nytta för kunderna. Ni kanske till och med gör direkt skada. Därför finns det olika scenarios man vill förebygga när det gäller tillgängligheten:

• Fysiska fel, där komponenter eller kanske hela datacenter blir otillgängliga. Detta förebyggs med redundans på olika nivåer. 
• Logiska fel som en cyberattack, en bugg eller ett mänskligt fel. De kan leda till att en tjänst går ner eller att data förstörs. I värsta fall går datan inte att återskapa, om backuperna inte finns eller är defekta. Vid en ransomware-attack så försöker förövaren att hitta dina backuper och kryptera även dessa för att tvinga er att betala lösen. Detta förebyggs med testade processer att backa förändringar och återställa data. Du behöver ett sätt att kunna garantera att dina backuper inte kan tas bort eller modifieras.
• Överbelastning, där tjänster blir så hårt belastade att de blir för långsamma eller inte fungerar alls. Detta kan bero på att ni får mer last än vanligt, att en funktion behöver mer kapacitet än beräknat eller att en cyberattack medvetet överbelastar tjänsten, en så kallad DDoS-attack. Detta förebyggs genom att lasttesta tjänsten så att ni vet att den kan hantera beräknad last, att tjänsten – helst automatiskt – kan skalas upp vid behov samt att skydd för DDoS finns på plats.

Garantera integriteten hos er data

Hur vet ni att den data ni har är korrekt och går att lita på? Data kan manipuleras av personer, buggar eller trasiga komponenter. Men ett sådant scenario går att förebygga på flera nivåer. Blir data korrupt på grund av komponenter eller buggar finns det filsystem, objektlagring eller databaser som upptäcker detta och larmar om data inte är korrekt.

Kan systemet inte korrigera detta behöver data återställas. Ändras data av en person eller en bugg kan det vara svårare att upptäcka. Där kan spårbarhet i kombination med övervakning vara det mest effektiva sättet att kontrollera detta. En viktig detalj är att loggarna som används för spårbarheten inte ska gå att manipulera.

Värna varumärket – välj rätt leverantörer

Många av de redan diskuterade hoten kan skada ert varumärke, men det är också viktigt att de leverantörer som ni arbetar med lever upp till samma värderingar som ni själva har. Om ni tycker att det är viktigt med hållbarhet – både miljömässigt och socialt – ställ då krav på att era leverantörer och partners också efterlever detta. Om era leverantörer inte lever upp till er egen standard kan det i förlängningen skada både ert varumärke och er företagskultur.

Elastx hjälper företag att uppnå digital hållbarhet och suveränitet

Vi på Elastx jobbar dagligen med dessa frågor och hjälper våra kunder att förvara och förädla data på tryggast möjliga sätt:

”Det vi på Elastx menar med digital hållbarhet är en digital hållbar utveckling som bygger på tre dimensioner: det sociala, miljön och ekonomin. Som de globala hållbarhetsmålen men ur ett digitalt perspektiv. Digital suveränitet handlar om att ha kontroll över sitt eget data. En viktig aspekt i detta är att undvika inlåsning. Något som hjälper mot detta är öppna standarder och öppen källkod som gör att du kan välja var du vill köra din tjänst, från ”på plats” till olika molnplattformar. Genom att tänka igenom och göra medvetna strategiska val baserat på ovan risker så har du kommit en bra bit på vägen”, säger Joakim Öhman, vd och grundare.