SecurityUser.com

2017-12-07

FOI: Virtualiserade IT-system måste riskbedömas

FOI har undersökt risker med så kallade virtualiserade IT-system på uppdrag av Försvarsmakten. Rätt använda finns stora vinster, men det krävs noggrann riskanalys.

En virtuell dator är förenklat uttryckt ett datorprogram som beter sig som en fysisk dator. Det går därför att stoppa in flera virtuella datorer i samma fysiska maskin, vilket spar kostnader för datorer. Tiotals fysiska servrar kan i praktiken ofta ersättas med en enda maskin genom virtualisering.

– Fördelarna är uppenbara. Virtualisering av IT-system innebär förenkling och förbättring av drift, till exempel genom att balansera utnyttjandet av olika virtuella servrar. Men även förenkla utbyte av trasig hårdvara, säger Daniel Eidenskog, forskare på avdelningen för ledningssystem i Linköping.

Han har skrivit rapporten Risker med virtualisering av IT-system tillsammans med Martin Karresand, också han forskare på avdelningen för ledningssystem i Linköping, på uppdrag av Försvarsmakten.

Inte bara fördelar
Naturligtvis finns det inte enbart fördelar med tekniken.

– Om man fokuserar på sekretess ger det en större risk att blanda samman system i samma fysiska maskin, än om de vore åtskilda i olika fysiska datorer. Risken är större att det läcker information mellan de virtuella miljöerna. I vissa fall är det andra behov än sekretess som styr, exempelvis för att säkerställa riktighet i loggning och tillgänglighet till behörighetsdatabaser.

När det gäller tillgänglighet kan en risk vara att IT-systemet blir så stort och komplext att ägaren inte ser beroendena mellan de olika delarna. Det kan vara problem i en del som påverkar andra delar – som inte skulle ha skett om man inte hade virtualiserat.

Men förutom de klassiska säkerhetskraven sekretess, riktighet och tillgänglighet vill Daniel Eidenskog lägga till fler aspekter som exempelvis spårbarhet och användbarhet.

– Nivån på kravställningen måste baseras på en kombination av regelverk och verksamhetskrav. Riskbedömningen måste se till helheten, säger han.

Acceptabel risk
Även om virtualisering tillför vissa typer av risker, kan den även hantera andra. Daniel Eidenskog exemplifierar: I de fall tillgänglighet väger tyngre än informationssäkerhetsklass kan ett virtualiserat system vara bättre. Fördelarna måste dock alltid balanseras med nackdelarna.

– Risken att lyckade angrepp får mer utbredda konsekvenser är i regel större i virtualiserade miljöer än i miljöer byggda på fysiskt åtskilda maskiner, säger Daniel Eidenskog.

I vissa fall är det tänkbart att risken är acceptabel sett utifrån de fördelar som virtualiseringen innebär. Man måste se till nettoeffekten av systemet.

– Slutsatsen är att virtualisering är ett kraftfullt verktyg om det används på rätt sätt. Om det används fel kan man utsätta sig för stora risker.

Studien baseras på en litteraturstudie av översikter avseende sårbarheter i mjukvara för virtualisering.

Fakta
Författarna pekar bland annat på fyra områden som påverkar risken:

  1. Virtualiserade miljöer innehåller i regel samtliga sårbarheter som finns i motsvarande fysiska miljöer.
  2. Tekniken kräver att man tillför mjukvara för att skapa virtualiseringsmiljön, vilken kan föra med sig nya sårbarheter.
  3. Virtualiserade system innebär att separationen mellan de virtuella maskinerna görs av mjukvara, vilket innebär större risk för läckage av information.
  4. Tekniken för virtualisering innebär ofta även ändringar i hur systemet administreras, något som kan innebära ändrad riskbild.

Företag & affärer

Mediamarkt står inför en kommande nysatsning och det är därför viktigt att den aktör vi samarbetar med också har ett rikstäckande nätverk, säger Per Kaufmann vd Mediamarkt Sverige.

Mediamarkt sluter avtal med Great Security

Great Security har tecknat ett avtal med hemelektronik-varuhuskedjan Mediamarkt i Sverige. Avtalet innebär att Great Security levererar kompletta säkerhetslösningar med larm, lås, kamerasystem och passagelösningar till butikerna runt om i landet.

– Valet föll på Great Security då vi sökte en samarbetspartner med dokumenterad erfarenhet av detaljhandel och effektiva lösningar för inbrottslarm, kamerasystem, passageanläggningar och låsinstallationer. Mediamarkt står inför en kommande nysatsning och det är därför viktigt att den aktör vi samarbetar med också har ett rikstäckande nätverk, säger Per Kaufmann vd Mediamarkt Sverige.

Samhälle

Förslag om ny polisutbildning vid Malmö högskola

Polismyndigheten föreslår i sin redovisning till regeringen idag att Malmö högskola ska kunna bedriva polisutbildning.
– Vi behöver utöka antalet poliser och ett sätt är att öka spridningen på utbildningsorterna. Malmö är en av de städer som lidit av polisbristen med gränskontroller, skjutningar, och gängkriminalitet. Det är positivt att vi nu kan föreslå till regeringen att Malmö högskola har goda förutsättningar att bedriva polisutbildning, säger Dan Eliasson, rikspolischef.

Produkter

Tyska VDS har utvecklat ett sofistikerat testförfarande för videobaserad branddetektering som innehåller de etablerade VDS-riktlinjerna 2203, "Krav på brandskyddsmjukvara" och "Krav på tester av flamdetektorer".

Första VDS-certifierade produkten för videobaserad branddetektion.

Den videobaserade branddetektionsprodukten Aviotec från Bosch har fått världens första erkännande från VDS Damage Prevention GmbH, som en automatiserad videokamera för visuell brandövervakning med nummer G217090. VDS är en oberoende och välrenommerad institution för företagssäkerhet och harmoniserande organisation för internationella säkerhetsstandarder. VdS-kvalitetsstämpel anses vara ett viktigt kriterium och ligger ofta som grund för senare EN-standardisering.

Samhälle

Ett exempel på distiktspecifik smart city-teknologi finns i Kista Science City-området.

Foto: Adam Malmcrona [CC BY-SA 1.0]

Bristande säkerhet hot mot smarta städer

År 2020 kommer det att finnas över 20 miljarder smarta och uppkopplade objekt, enligt Gartner. Trots det väljer många företag som hjälper till att bygga upp smarta städer att prioritera bort säkerhet i sina strategier. Mer än vartannat företag har även stora utmaningar att få till ett system som är säkert, det visar en ny undersökning från Vanson Bourne på uppdrag av branschorganisationen Wi-SUN Alliance.

Leverantörer
Till toppen av sidan