Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
OUTSOURCING: Den teknologiske udvikling har gjort det muligt for teleselskaber og internet-leverandører i stigende grad at påtage sig sikkerhedsopgaver for virksomheder og private.
Sikkerhed er kompliceret og besværligt, så hvorfor ikke lægge det i hænderne på nogen andre? Samtidig er det udstyr, der står for forbindelserne ud til kunderne hos internet-leverandører og teleselskaber blevet stadig mere intelligent, så det nu er muligt at styre sikkerheden på en virksomheds netværk herfra.
TDC, som er på udkik efter alternative forretningsområder til erstatning for den skrumpende fastnet-forretning, begyndte for et par år siden at udbyde en bred vifte af denne type sikkerhedsydelser.
- Det strækker sig fra varetagelse af delopgaver som gennemgang af logfilerne over, hvad der er passeret gennem firewallen til overvågning og varetagelse af den samlede sikkerhed på en virksomheds netværk. De store totalløsninger er der ikke så mange af om året , siger sikkerhedschef Per B. Hansen fra TDC Erhverv.
Det, virksomhederne efterspørger, er ikke blot, at outsourcing-partneren kan tage sig af en bestemt sikkerhedsopgave, men også at de kan komme med anbefalinger i forbindelse med opgaven.
- Virksomhederne får indskudt et lag af kompetence. I øjeblikket ser vi en del interesse for, at TDC overtager modtagelsen af alarmer fra systemet. Intet er lettere end at sætte parametre op, der genererer et væld af alarmer. Virksomhederne ønsker en partner, der kan skelne mellem de vigtige og de mindre vigtige, og som kan foreslå, hvad der skal gøres, siger Per B. Hansen.
Det samme gælder et andet vækstområde, nemlig sikkerhedstest af netværk og scanning for sårbarheder: Her ønsker virksomhederne ikke en rapport med mange sider, men en analyse med handlingsanbefalinger.
Nemt er det ikke
TDC's første år som leverandør af sikkerhedsydelser viser, at virksomhederne ikke altid har erkendt, at outsourcing stiller nye krav til dem.
- Outsourcing kan føre til betydelige effektiviseringer og forbedringer, men man kommer ikke nemt til det. Vi har oplevet, at selv store virksomheder har haft ret tågede ideer om, hvad den outsourcing af sikkerheden, som de ønskede, skulle omfatte, og hvad det ville indebære. Samtidig var ansvaret for sikkerhedsopgaverne ikke klar defineret i forvejen. Sådanne virksomheder står over for en stor opgave: Hvis du ikke har mål for, om opgaven bliver løst godt, og om du har den rigtige løsning, er du ilde stedt med outsourcing, siger Per B. Hansen.
Nålen i høstakken
TDC henter selv ekspertise inden for særområder ude i byen. Således er Esec, der overvåger firewall-trafik, underleverandør til det store teleselskab.
- Det er virksomheder, som er forholdsvis modne på sikkerhedsområdet, der outsourcer denne type overvågningsopgaver. De har typisk en sikkerhedspolitik, der fungerer, og har styr på mailsystemet og udrulningen af sikkerhedsopdateringer, men de ønsker at gå videre - i nogle tilfælde på opfordring fra revisorerne, siger administrerende direktør Ole Schmitto fra Esec.
Esec har eksisteret siden 2000, og i første omgang er det større virksomheder med flere end 250 ansatte, der vælger at søge hjælp til denne type opgaver.
- Vi har kunder, der genererer gigabyte af logfiler hver dag. Det skal du have ressourcer til at gennemgå, og du skal have ekspertise for at finde nålen i høstakken: Det angreb der afslører en svaghed, som der skal reageres på, siger Ole Schmitto.
Esec har ifølge direktøren en årlig vækst på 25 til 30 procent, hvilket han betegner som pænt, men ikke eksplosivt.
I USA er der tegn på, at nogle af disse delopgaver er på vej ud som forretningsområder for outsourcing. Således gik Salinas Network Services, der var det største selskab inden for ekstern drift af firewalls i USA, ned tidligere på året. Problemet er, at virksomhederne forventer kontant opdatering samtidig med, at de ikke er villige til at betale ret meget.
Den samme holdning finder Per B. Hansen fra TDC ikke herhjemme.
- Vi oplever en rimelig forståelse for, at hvis man ønsker en kvalificeret outsourcing-partner, så skal den partner også have et forretningsgrundlag, selv om vi naturligvis hele tiden må effektivisere, siger han.
Ud over nettets rand
Når det overhovedet er teknisk muligt for internet-leverandører og teleselskaber at overtage disse sikkerhedsopgaver fra virksomhederne, skyldes det, at intelligensen flytter fra kernen af teleselskabernes net ud i de dele, der står for forbindelserne til kunderne.
En infrastrukturproducent som Juniper fremstillede fra selskabets start i 1998 såkaldte core-routere til knudepunkterne i teleselskabernes IP-backbone. I dag har de lanceret såkaldte edge-routere i form af B-RAS-udstyr (Broadband Remote Access Aggregation Service), der er de routere, der samler forbindelserne fra DSLAM'erne, som står for ADSL-forbindelserne ud til brugerne. Her er det så, at disse routere har fået tilføjet faciliteter, der går under betegnelsen remote-edge: De er i stand til at styre aktiviteter på kundens net.
- Det er ofte ud fra ønsket om at kunne påtage sig sikkerhedsopgaver, at teleselskaber og internet-leverandører anskaffer dette udstyr. Selv for større virksomheder er det en stor og tidskrævende opgave at sørge for, at sikkerheden på de eksterne forbindelser er opdateret. Det er mange interesseret i at lægge ud, og teleselskaberne har en størrelse og ekspertise, der gør, at de kan løfte opgaven, siger vicedirektør Bjarne Kaiser Lauritzen fra Juniper Networks.
Det nye i remote-edge-routerne ligger ikke i, at de kan etablere en firewall på en forbindelse, men i virtuelt at dele firewallen op forskellige forbindelser med hvert sit sikkerhedsniveau.
