Kilder: Viking Cloud Security Reports
Å flytte til skyen gir små og mellomstore bedrifter (SMB) enestående fleksibilitet, skalerbarhet og kostnadseffektivitet. Men denne transformasjonen kommer også med skjulte sikkerhetsrisikoer som mange bedriftseiere undervurderer eller overser helt.
Feilkonfigurerte skylagringsløsninger, slappe tilgangskontroller og misforståelser rundt "delt ansvar"-modellen kan føre til alvorlige datalekkasjer – selv hos ellers sikkerhetsorienterte organisasjoner.
I denne artikkelen utforsker vi de vanligste skyblindonene som norske SMB står overfor, særlig når de bruker tjenester som Office 365, Microsoft Azure, AWS eller Google Cloud, og gir praktisk veiledning om hvordan du sikrer skydata.
Myten om "skyleverandøren tar seg av sikkerheten"
En av de mest utbredte misforståelsene rundt skysikkerhet er troen på at når du flytter til skyen, overlater du all sikkerhet til leverandøren. Dette stemmer ikke.
☁️ Delt ansvar-modellen: Hva betyr det egentlig?
Alle store skyleverandører (Microsoft, Amazon, Google) opererer under en "delt ansvar"-modell (Shared Responsibility Model):
- Leverandørens ansvar: Sikre infrastrukturen (fysiske datasentre, nettverksmaskinvare, vertsservere)
- Ditt ansvar: Sikre dataene, applikasjonene, identiteter, tilgangskontroller og konfigurasjoner
Enkelt sagt: Microsoft beskytter datasenteret. Du må beskytte dataene, brukerne og tilgangene dine.
| Sikkerhetsområde | Skyleverandørens ansvar | Ditt ansvar |
|---|---|---|
| Fysisk sikkerhet | ✅ Datasentre, servere, nettverk | ❌ |
| Infrastruktur (hardware) | ✅ Vedlikehold og oppdateringer | ❌ |
| Operativsystem (PaaS/IaaS) | ✅ (i SaaS), ⚠️ Delt (i IaaS) | ⚠️ Delt (i IaaS), ✅ (i SaaS) |
| Applikasjoner | ✅ (i SaaS) | ✅ (i PaaS/IaaS), ⚠️ Konfigurasjon (i SaaS) |
| Data | ❌ | ✅ Klassifisering, kryptering, backup |
| Identiteter og tilganger | ❌ | ✅ Brukerkontroll, 2FA, rettigheter |
| Endepunkt-sikkerhet | ❌ | ✅ Ansattes enheter, antivirus |
Som tabellen viser, har du som kunde det fulle ansvaret for de fleste kritiske sikkerhetsområdene – selv i "fullstyrte" SaaS-løsninger som Office 365.
Betrodd av organisasjoner innen helse, teknologi og offentlig sektor
De 7 vanligste skyblindonene for SMB
Basert på sikkerhetshendelser, revisjoner og anbefalinger fra eksperter, her er de mest kritiske blindsonene:
1. Feilkonfigurerte lagringsløsninger (Storage Buckets)
En av de hyppigste årsakene til skybrudd er offentlig tilgjengelige lagringscontainere (AWS S3 buckets, Azure Blob Storage, Google Cloud Storage) som inneholder sensitive data.
⚠️ Risiko
En enkelt feiljustert innstilling kan gjøre konfidensielle kundedata, regnskap eller forretningshemmeligheter søkbare og nedlastbare for hvem som helst på internett.
Eksempel: I 2019 ble over 540 millioner Facebook-brukerposter eksponert via en feilkonfigurert AWS S3-bucket hos en tredjepart.
Løsning:
- Gjennomgå alle lagringscontainere og sett tilgang til privat som standard
- Bruk skyleverandørens verktøy (AWS Trusted Advisor, Azure Security Center) for å identifisere offentlige buckets
- Implementer policy-baserte kontroller som forhindrer offentlig tilgang
2. Svake eller manglende tilgangskontroller (IAM)
Identity and Access Management (IAM) er hjertet av skysikkerhet. Mange SMB gir for mange rettigheter til for mange brukere – noe som øker risikoen ved kompromitterte kontoer.
⚠️ Risiko
En ansatt med unødvendig brede rettigheter (f.eks. "global administrator") kan – bevisst eller ved uhell – slette kritiske data, endre sikkerhetsinnstillinger eller eksponere informasjon.
Løsning:
- Følg "least privilege"-prinsippet: Gi brukere kun de tilgangene de trenger
- Påkrev multifaktorautentisering (MFA) for alle brukere, spesielt administratorer
- Gjennomgå tilganger regelmessig og fjern unødvendige rettigheter
- Bruk rollebasert tilgangskontroll (RBAC) for å forenkle administrasjon
3. Manglende kryptering av data
Selv om data lagres i skyen, betyr ikke det at de er kryptert automatisk – eller at kryptering er aktivert med sterke nøkler du kontrollerer.
⚠️ Risiko
Ukrypterte data i hvile (at rest) eller i transitt (in transit) kan leses av angripere som får tilgang til lagring eller avlytter nettverk.
Løsning:
- Aktiver kryptering for data i hvile (alle lagringsconttainere, databaser)
- Bruk TLS/SSL for data i transitt (alle nettverkskommunikasjoner)
- Vurder å bruke kundeadministrerte nøkler (Customer-Managed Keys) for sensitiv data
- Sørg for at backup også er kryptert
4. Usikre eller fraværende backuprutiner
Mange tror at "skyen er backup nok". Men skyløsninger beskytter ikke automatisk mot ransomware, slettingsuhell eller ondsinnet aktivitet.
⚠️ Risiko
Hvis en ansatt sletter en kritisk SharePoint-fil, eller ransomware krypterer OneDrive-dataene dine, kan det hende du ikke har mulighet til å gjenopprette uten egne backup-rutiner.
Løsning:
- Implementer 3-2-1-backup-strategien: 3 kopier, 2 forskjellige medier, 1 offsite
- Bruk immutable backups (kan ikke overskrives eller slettes av ransomware)
- Test gjenopprettingsprosessen regelmessig
- For Office 365: Vurder tredjepartsløsninger for bedre backup-kontroll
5. Ukontrollerte tredjepartsapper og integrasjoner
Office 365, Google Workspace og andre skyplattformer tillater integrasjoner med tusenvis av tredjepartsapper. Mange av disse ber om brede tilganger til data og e-post.
⚠️ Risiko
En ondsinnet eller kompromittert tredjepartsapp kan lekke data, spre skadelig programvare eller gi angripere bakdørtilgang til systemene dine.
Løsning:
- Gjennomgå alle installerte apper og integrasjoner regelmessig
- Fjern apper som ikke lenger brukes
- Begre ns hvilke apper ansatte kan installere (via administrative policies)
- Bruk Cloud Access Security Brokers (CASB) for bedre oversikt
6. Utilstrekkelig logging og overvåking
Uten riktig logging vet du ikke hvem som gjør hva i skymiljøet ditt. Dette gjør det nesten umulig å oppdage mistenkelig aktivitet før det er for sent.
⚠️ Risiko
Hvis en angriper får tilgang til en ansattkonto, kan de operere uoppdaget i uker eller måneder hvis du ikke har logging og varsling på plass.
Løsning:
- Aktiver audit logging for alle kritiske tjenester (Office 365 Audit Log, AWS CloudTrail, Azure Monitor)
- Sett opp varsler for unormal aktivitet (f.eks. innlogging fra ukjent land, massesletting av filer)
- Bruk Security Information and Event Management (SIEM) for sentralisert overvåking
- Gjennomgå logger jevnlig
7. Manglende sikkerhetsopplæring for ansatte
Selv den beste tekniske sikkerheten kan undergraves av en ansatt som faller for phishing eller deler påloggingsinfo.
⚠️ Risiko
Phishing-angrep rettet mot Office 365-kontoer er svært vanlige. En kompromittert konto kan gi angripere tilgang til all e-post, filer og interne systemer.
Løsning:
- Gjennomfør regelmessig sikkerhetopplæring med fokus på phishing, passord og deling av data
- Kjør simulerte phishing-tester
- Lag klare retningslinjer for bruk av skyverktøy
- Belønne god sikkerhetspraksis
☁️ Usikker på om skymiljøet ditt er trygt?
La oss gjennomføre en skysikkerhetsrevisjon og identifisere feilkonfigurasjoner og blindsoner før de utnyttes.
Få en uavhengig vurdering av Office 365, Azure, AWS eller Google Cloud
Spesifikke anbefalinger for populære skyplattformer
Microsoft Office 365 / Microsoft 365
- Aktiver Security Defaults eller Conditional Access policies
- Påkrev MFA for alle brukere
- Aktiver Advanced Threat Protection (ATP) for e-post og filer
- Bruk Data Loss Prevention (DLP) policies for å forhindre utilsiktet datadeling
- Gjennomgå SharePoint- og OneDrive-delingsinnstillinger (unngå "anyone with the link")
- Aktiver audit logging og overvåk for mistenkelig aktivitet
Amazon Web Services (AWS)
- Bruk AWS Organizations for sentralisert administrasjon
- Aktiver AWS CloudTrail for logging av alle API-kall
- Bruk AWS Config for å overvåke ressurskonfigurasjoner
- Implementer IAM-policies basert på least privilege
- Krypter alle S3 buckets og sett dem til privat
- Bruk AWS GuardDuty for trusselsovervåking
Microsoft Azure
- Aktiver Azure Security Center for sikkerhetsanbefalinger
- Bruk Azure AD Conditional Access for tilgangskontroll
- Implementer Azure Policy for å håndheve sikkerhetsstandarder
- Aktiver Azure Monitor og Log Analytics
- Krypter VM-disker og lagringskontoer
- Bruk Network Security Groups (NSG) for nettverksisolasjon
Google Cloud Platform / Google Workspace
- Påkrev 2-Step Verification (MFA) for alle brukere
- Bruk Security Key Enforcement for administratorer
- Aktiver Advanced Protection Program for høyrisiko-brukere
- Gjennomgå deleinnstillinger i Google Drive (unngå "public on the web")
- Bruk Context-Aware Access for tilgangskontroll
- Aktiver audit logging via Admin Console
🎯 SPADE Consulting – din skysikkerhetspartner
Vi hjelper norske SMB med å sikre skymiljøer som Office 365, Azure, AWS og Google Cloud. Fra sikkerhetskonfigurasjon og IAM-oppsett til løpende overvåking og compliance-støtte.
Med ISO 27001 Lead Implementer-sertifisering og erfaring fra helse, teknologi og offentlig sektor, leverer vi ekspertkompetanse til konkurransedyktige priser.
Konklusjon
Skyen gir enorme muligheter for SMB – men den kommer også med ansvar for sikkerhet som mange undervurderer. 27% av bedrifter opplever sikkerhetshendelser i skyen, og rundt en fjerdedel av disse skyldes feilkonfigurasjoner som kunne vært unngått.
Den gode nyheten er at de fleste skyblindsoner kan lukkes med riktig konfigurasjon, tydelige policyer og bevissthet om den delte ansvarsmodellen. Du trenger ikke være skyekspert – men du må ta eierskap til sikkerheten i ditt skymiljø.
Ikke la feilkonfigurasjoner bli din akilleshæl. Kontakt SPADE Consulting for en skysikkerhetsrevisjon, og få oversikt over sårbarheter og konkrete tiltak for å sikre data i skyen.
Ofte stilte spørsmål
Nei. Alle store skyleverandører bruker en "delt ansvar"-modell. Leverandøren sikrer infrastrukturen (datasentre, servere), mens du er ansvarlig for data, brukere, tilganger og konfigurasjoner. Du må aktivt sikre ditt skymiljø.
Feilkonfigurasjoner, spesielt offentlig tilgjengelige lagringscontainere (S3 buckets, Azure Blobs) og for brede brukerrettigheter. Rundt 25% av skybrudd skyldes feil konfigurasjon som kunne vært unngått.
Ikke nødvendigvis. Mange SMB bruker eksterne eksperter for initial oppsett og jevnlige revisjoner. Det viktigste er å forstå delt ansvar-modellen og implementere grunnleggende tiltak som MFA, tilgangskontroll og backup.
Bruk skyleverandørens innebygde verktøy: AWS Trusted Advisor, Azure Security Center, Google Cloud Security Command Center. Disse gir automatiske anbefalinger. Alternativt kan du bestille en skysikkerhetsrevisjon fra en ekstern konsulent.
Ja, definitivt! Skyen beskytter ikke mot ransomware, slettingsuhell eller ondsinnet aktivitet. Følg 3-2-1-regelen: 3 kopier, 2 forskjellige medier, 1 offsite/offline. For Office 365 kan tredjepartsbackup være nødvendig.
Alle! Spesielt administratorkontoer må ha MFA. Office 365, AWS og Azure støtter alle MFA innebygd. Dette er den enkleste og mest effektive sikkerhetstiltaket du kan implementere.
1) Isoler kompromitterte kontoer/ressurser øyeblikkelig, 2) Aktiver hendelsesresponsplan, 3) Dokumenter alt (logger, skjermbilder), 4) Kontakt skyleverandørens support, 5) Varsle Datatilsynet innen 72 timer hvis personopplysninger er involvert (GDPR), 6) Hent inn ekstern bistand ved behov.
✨ Klar til å sikre skymiljøet?
Kontakt SPADE Consulting for en skysikkerhetsrevisjon eller book et møte for å diskutere dine utfordringer.
Eller book et uforpliktende møte nedenfor