(CS/Las Vegas) Mark Ryland har titeln direktör och tillhör en grupp av molnsäkerhetsexperter inom molnjätten Amazon Web Services som går under namnet CISO (chief information security officer).
Computer Sweden träffar Ryland under AWS megakonferens Re:Invent i Las Vegas för att prata bland annat om den nya amerikanska lag, Cloud Act, som vållat stor diskussion också i Europa – på grund av att den gör det enklare för amerikanska myndigheter att få ut data från amerikanska leverantörers moln.
Men Mark Ryland säger att AWS redan i dag har säkerhets- och krypteringslösningar i sina plattformar som gör det omöjligt även för dem själva att se vilka data kunden har i deras moln.
– De tekniska funktionerna på våra plattformar möjliggör enormt god integritet för användarna. Det går att arbeta med nyckelhanteringen inom lagringstjänsten S3 på ett sätt som gör att även om vi skulle få en order från en myndighet att lämna ut data, så är det bara krypterad data som vi kan lämna ut. Genom att arbeta försiktigt med de här tjänsterna kan vi skydda kunddata, oavsett till exempel Cloud Act.
Ryland säger att de här krypteringslösningarna hela tiden utvecklas. Till exempel krävde banken Goldman Sachs, innan de helt flyttade över sina data till molnet, en funktion som innebär att huvudnyckeln flyttades ut från AWS nyckelhanteringssystem – och att banken i stället fick sin egen huvudnyckel.
– Det gav dem en känsla av att ha 100 procents kontroll, vilket var avgörande för dem i deras migrering till molnet. Men det är också ett exempel på hur de här tjänsterna hela tiden utvecklas.
Mark Ryland fortsätter:
– Om du kollar på vår nya Nitroplattform och den nya EC2-arkitekturen så är det bokstavligen talat omöjligt för oss att se kundernas data. På det sättet skyddar vi oss själva om illasinnade aktörer skulle använda våra plattformar, men vi gör också så att de kunder som använder plattformen får en rejäl integritet.
Sveriges största event inom digitala affärer är tillbaka! Webbdagarna Stockholm 19-20 mars, Boka nu!
Mark Ryland menar alltså att tekniken för att skydda data finns där redan i dag, och att det nu är en fråga om tid och utbildning för att det här ska börja användas brett.
– Jag tror att när folk över tid börjar förstå de här tekniska funktionerna och kontrollerna, och kan värdera dem, då kommer användare i högre grad förstå att de kan använda data i molnet utan att exponera dem för någon annan. Men det kommer också att krävas tredjepartsexpertis, som kan validera att det fungerar, och sådant här tar tid, men tekniken för att skydda data i molnet finns och den kommer bara att utvecklas. Det här är en resa.
Och om man ser på vilka företag som AWS gärna visar upp under konferensen så är det anmärkningsvärt mycket banker och försäkringsbolag som nu går upp i deras moln. Till exempel var den tyska försäkringsjätten Allianz och amerikanska The Guardian uppe och berättade om sina migreringar till molnet.
Mark Ryland säger att det här är något som sker nu, att verksamheter med mycket känsliga data, nu satsar på molnet fullt ut.
– Nu sker en förändring att också företag med mycket känsliga arbetsflöden går upp i molnet. Det är mycket myndigheter som gör saker, i USA har vi hälso- och socialdepartementet med sina känsliga persondata som kör AWS, I Storbritannien använder justitiedepartementet vårt moln för data från rättegångar och fängelser.
– Dessutom händer väldigt mycket inom bankvärlden. Jag jobbar själv med ett par banker som planerar stora saker. Till exempel är den femte största amerikanska banken Capital One en mycket stor och mycket snabbt växande kund till oss. De har nu majoriteten av sina data hos AWS. Deras syn är att de känner sig mer säkra i molnet än i de egna datahallarna.
Men säkerheten är fortfarande ett hinder för många att gå upp i molnet?
– Mycket mindre i dag, skulle jag säga. Ju mer tiden går, en desto mindre fråga blir säkerheten. Vi är inte vid en punkt där det är en icke-fråga, utan det är en inlärningsprocess. Det är fortfarande ganska många personer för vilka molnet är nytt. De mer avancerade kunderna känner sig mer bekväma med molnsäkerheten än den som fanns i deras egna datacenter, men börjar ju inte där. Allt som är okänt är riskfyllt, det är logiskt. Det är förståeligt, om man inte har kunskap om något, så litar man inte på det.
Många är inte i närheten av så säkra i de egna datahallarna som de vill vara, och det finns risker där som man inte tänker på.
Mark Ryland säger också att man kan vända på frågan – och titta på hur säkra alternativen till molnet är.
– Se på hur människor använder de egna datahallarna. Många är inte i närheten av så säkra i de egna datahallarna som de vill vara, och det finns risker där som man inte tänker på. Människor har servrar som de inte vet vad de är till för, saker som inte är bra designade och svåra att administrera, men som man ändå tvekar att ta bort. Jämför det med alla lösningar som en molnmiljö kan erbjuda.
Vilka övergripande trender ser då Mark Ryland generellt på säkerhetsmarknaden just nu?
– Som jag ser det är det viktigaste just nu den snabbt växande medvetenheten om att säkerhet måste vara i centrum av ny arkitektur, design och modernisering. Det är en viktig förändring jämfört med hur det var för fem eller tio år sedan.
– Dessutom: verktygen och tekniken som gör det enklare och automatiserar säkerheten. Ta en så grundläggande sak som programpatchning. Det var tidigare svårt för större företag att patcha sina operativsystem, nu finns verktygen för att göra det på ett automatiserat sätt, vilket innebär att man kan göra det mer frekvent och på så sätt undkomma de stora felen.
Mark Ryland fortsätter:
– Branschen har också blivit bättre på basala saker som användarutbildning. Tidigare var nätfiske ett stort problem, då folk klickade på saker de inte skulle klicka på – nu finns ett större medvetande tack vare utbildning.
Läs mer:
AWS är jagade av alla – här är 5 stora snackisar inför företagets megakonferens
Expertgrupp varnar: Stora risker med känsliga data i molntjänster
