Del broderlig – også informasjon?

CSA-cloud-panel-nov-2014På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål.  Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.

Svaret viste deg å være litt nedslående: Det er ingen automatisert utveksling av hendelsesinformasjon langs leverandørkjeden. Aktørene er fortsatt 100% avhengig av personlige kontakter og epost! Dette betyr at hvis det skjer noe hos Amazon Web Services som påvirker tjenesten til Dropbox, er Dropbox avhengig av at noen i deres organisasjon kjenner noen hos Amazon, og at disse to menneskene stoler nok på hverandre til at de kan utveksle sensitiv informasjon. Avslutningsvis kommenterte ordstyreren, CSAs Jim Reavis, at selv om slike automatiserte verktøy fantes, “Your lawyers wouldn’t let you”.

I dag gjøres informasjonsdeling i USA ofte i regi av et Information Security Analysis Center, f.eks. slik det er organisert for finanssektoren, FS-ISAC. Paneldeltakerne virket egentlig ganske fornøyd med dette systemet, selv om de måtte medgi at det var lite automatisert.

Dette er et problem som må løses. Alt tyder på at leverandørkjedene i nettskyen kommer til å bli lengre og mer uoversiktlige, så det vil være et behov for automatisk oppfølging av hendelser som skjer et eller annet sted i kjeden. Det finnes allerede protokoller som kan gjøre jobben, f.eks. IODEF, men vi trenger automatiserte komponenter som kan identifisere hvilken informasjon som skal sendes til hvilke kunder (her er det viktig å legge til at det ikke er snakk om å sende slik informasjon til sluttbrukere, kun til leverandører oppover i kjeden – den siste leverandøren i kjeden er den som sluttbrukeren har et kundeforhold til, og det vil i de fleste tilfellene være behov for manuell behandling av informasjon som skal direkte til sluttbrukeren).

Vi tror at dette er avgjørende for å bygge tiltro i nettskyen – og vi jobber videre med saken i regi av A4Cloud og andre prosjekter.