Gå til hovedsiden

Sikkerhet i skyløsninger: Ofte stilte spørsmål

Longread: Sjef for skyløsninger Stian Estil i Visma Software om GDPR, AWS datasenter og trusselbildet i vår IT-hverdag.

IT-sikkerhet: AWS datasenter
IT-sikkerhet: AWS datasenter

Sikkerhet i skytjenester er et svært aktuelt tema. Trusselbildet i vår IT-hverdag, både for privatpersoner og bedrifter, er økende.

I motsetning til lokalt installert programvare, hvor bedriften din selv er ansvarlig for store deler av sikkerheten, så er det for skytjenester leverandøren som er ansvarlig for det meste av sikkerheten.

Besøk Visma Trust Centre her

Det er leverandøren som er ansvarlig for å etterleve lokale og internasjonale krav, lover og forskrifter. Visma tar dette svært alvorlig, og har gjennom flere år bygget opp et svært solid rammeverk for å levere sikre skytjenester. 

Merk: I denne artikkelen brukes for enkelhets skyld ordet «sikkerhet» som en samlebetegnelse for IT-sikkerhet, personvern og det å etterleve lover og forskrifter.

Stian Estil i Visma Software
Produktsjef for skyløsninger: Stian Estil i Visma Software

Hva vi snakker om når vi snakker om IT-sikkerhet

Selve organisasjonen

  • PCer
  • mobiler
  • nettverk
  • interne IT-systemer
  • personale
  • bygninger

Utvikling, testing og drift av skytjenester

  • utviklingsmetodikk
  • risikoanalyse
  • automatisert og manuell testing
  • tilganger
  • kryptering
  • håndtering av oppdateringer og feilretting
  • sikkerhetskopi
  • kriseberedskap
  • overvåking
  • katastrofevern
  • fysisk sikkerhet
  • tilgangsnivåer
  • (for å nevne noe!)

Kundens data

  • persondata
  • etterlevelse av GDPR

Relevante nasjonale forskrifter og lover

  • relevante sertifiseringer og sertifikater
  • rapporter (ISO, GDPR, ISAE 3402 mm)

GDPR har satt sikkerhet i førersetet

Alle bedrifter har et visst ansvar for å sikre at de skytjenester de benytter oppfyller visse krav. Dette gjelder spesielt skytjenester som behandler persondata, for eksempel et lønnssystem.

Risikovurdering og kritiske spørsmål

Mange norske bedrifter har ikke spesialkompetanse innen IT – sikkerhet, og det kan derfor være vanskelig å gjøre en reell risikovurdering.

Vi opplever at mange kunder ikke stiller noen kritiske spørsmål i det hele tatt, og stoler på at leverandøren har kontroll på dette.

Noen bedrifter, ofte større norske selskaper og utenlandske konsern, med datterselskaper i Norge, har en helt annen tilnærming. De har ofte dedikerte ressurser som har som oppgave og foreta en risikoanalyse av leverandøren og de aktuelle produkter/tjenester. Dette gjøres ofte via en «Security Assessment». En slik evaluering gjøres gjerne i form av en rekke spørsmål, alt fra 50 til 1000.

Det finnes også noen standardiserte evalueringsskjemaer som eksempel CAIQ. Denne består av ca. 300 spørsmål, og er først og fremst en ja/nei besvarelse, men gir et godt bilde av typiske spørsmål som stilles av profesjonelle ressurser. Visma kan på forespørsel besvare slike skjemaer på vegne av kunder, men da som et betalt forprosjekt. Utover det tilgjengeliggjør vi mest mulig dokumentasjon for at kunden selv kan fylle ut sine evalueringer. 

For å kvalitet sikre egne prosesser og prosedyrer relatet til sikkerhet har Visma gjennomført flere ISO-sertifiseringer. I denne sammenheng er ISO 27001 sertifiseringen mest relevant. Både intern IT og Visma sin egen utviklingsprosess, VCDM (Visma Cloud Delivery Model) har en slik sertifisering. I tillegg gjennomføres en uavhengig revisjon i form av en ISAE 3402 rapport årlig for intern IT. En tilsvarende rapport for VCDM er forventet klar i 4 kvartal 2021. 

For mange kunder er dette et kvalitetsstempel som gir den nødvendige trygghet relatert til sikkerhet i våre skytjenester, og en god nok risikovurdering i seg selv.

Velkommen til Visma Trust Centre

Visma ser en forpliktelse ovenfor våre kunder i forhold til å være transparente med hvordan vi jobber med sikkerhet. Vi har derfor laget Visma Trust Centre, som nå i mai har blitt relansert med ny struktur og nytt innhold.

Visma Trust Centre besvarer mange av de spørsmålene som våre kunder har. I tillegg til Visma Trust Centre har vi en rekke dokumenter som besvarer ofte stilte spørsmål relatert til sikkerhet.

De tre vanligste spørsmålene om AWS datasenter

Den siste tiden er det spesielt tre spørsmål som har gått igjen blant kundene våre. De handler om sikkerheten til AWS, Amazons datasenter i Irland.

1. Er det trygt?

Spørsmålet har blitt aktualisert fordi vi har flyttet, og skal flytte, mange løsninger til AWS.

Visma har grundig evaluert og risikoanalysert AWS. Denne er på forespørsel tilgjengelig for kunder. AWS har også sitt eget «Trust Centre» med omfattende dokumentasjon av sikringen av datasentre. Vår opplevelse er at vi med AWS kan tilfredsstille de mest krevende kundene sine krav til sikkerhet. Vi opplever også at evalueringsprosessen av denne delen av sikkerheten er langt enklere, da AWS har et velkjent sikkerhetsnivå.

2. Er det lov med tanke på oppbevaringsplikten?

Spørsmålet om det er lov er knyttet til bokføringsloven krav til oppbevaring av oppbevaringspliktig materiale. Dette gjelder typisk data i et lønnssystem eller økonomisystem. Les mer om dette hos Sticos.

Kort oppsummert er hovedregelen at dataene skal oppbevares i Norge. Selv om Visma bruker datasentre utenfor Norge, så har vi periodisk backup av data hjem til norsk datasenter. Dette er i tillegg til den standard backuptjenesten som leveres av AWS, hvor vi tar backup til ekstra fysisk AWS-lokasjon. Visma bruker kun datasentre innenfor EU/EØS.

Noen har oppfattet forskriftene slik at det trengs en tillatelse til å lagre oppbevaringspliktig materiale på servere utenfor Norge, men det stemmer altså ikke, så lenge de også oppbevares i Norge. Mange venter for øvrig på at denne utdaterte forskriften snart blir modernisert og tilpasset dagens realiteter, hvor fysisk lokasjon blir noe underordnet, i alle fall innenfor rammene av EU/EØS.

3. Er det lov med tanke på overføringsgrunnlag av personopplysninger?

Det har etter innføringen av GDPR vært mange diskusjoner om grunnlag for overføring av personopplysninger til land utenfor EU/EØS. Spesielt USA har vært i fokus. Flere av de største datasentrene i verden er eiet av amerikanske selskaper, og USA har ikke de samme restriksjoner som vi har i Europa. I forbindelse med en mye omtalt EU-dom (Schrems II) har dette tilspisset seg.

Hvem berøres av Schrems II?

Schrems II berører først og fremst de som skal overføre data til land utenfor EU/EØS. Sånn sett berører det ikke Visma og våre kunder, da vi kun lagrer data innenfor EU/EØS.

Stridens kjerne er allikevel den teoretiske muligheten for at amerikansk personell kan få tak i disse dataene, siden de også eier datasentrene. Eller at amerikanske myndigheter pålegger de en slik overføring av data med rettsordre. Dette gjelder selvsagt ikke bare USA, men alle land utenfor EU/EØS.

Enden på saken er at leverandøren må gjøre de nødvendige avtalemessige og tekniske tiltak for å redusere muligheten for at noe slik skal skje.

Noen tolket Schrems II-dommen dithen at en bedrift ikke kunne benytte skytjenester fra noen av de store amerikanske leverandørene som Google, Microsoft, Apple og Amazon. I så fall ville store deler av Europa ganske enkelt stoppet å fungere.

Her finner du forklaringer og detaljert analyse

Visma sin juridiske avdeling har satt seg svært godt inn disse problemstillingene, og detaljert analyse er tilgjengelig på forespørsel. En mer overordnet forklaring finnes også på Visma Trust Centre i avsnittet (Schrems 2 Verdict).

Besøk Visma Trust Centre

Vil du vite mer om hvordan Visma jobber med sikkerhet? Ta gjerne en kikk på allerede omtalte Visma Trust Centre. Der finner du svar på det meste du måtte lure på.

Lurer du på noe? Send meg gjerne en mail på stian.j.estil@visma.com.

Mest populære