Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Gammal teknik måste skrotas för att kunna efterleva NIS-direktivet”

Debatt
Publicerad: 2021-09-28 11:51

DEBATT – av Mats Ericson, regionchef Nutanix i Sverige, Danmark och Island.

EUs NIS-direktiv ställer stora krav på teknisk infrastruktur. Ett viktigt krav är att information ska vara tillgänglig. För att lyckas krävs en tydlig modell för teknisk arkitektur. Nyckelordet är redundans och den ska finnas i alla moderna IT-miljöer, skriver Mats Ericson, på Nutanix.

IT är komplicerat i sig och det blir inte enklare av all lagstiftning inom området. GDPR är troligtvis den mest kända lagen inom IT-området. Men det finns en annan viktig svensk lag som är baserad på ett EU-direktiv. Den kallas lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster, gäller sedan 2018 och är baserad på EUs NIS-direktiv (The Directive on security of network and information systems). 

Namnet på den svenska lagen förklarar varför den behövs: för att samhället ska fungera. Ett konkret exempel är att patientjournalen för en person som opereras ska finnas tillgänglig under operationen, för att undvika felbehandling. Lägg till det att det även blir ett självändamål för företag och myndigheter att efterleva lagarna, för att undvika besvärliga konsekvenser som till exempel böter. 

Som alltid i sådana här sammanhang tas många saker upp i den nämnda lagen. En av de viktigaste är kravet på tillgänglighet vad gäller information. På en teknisk nivå vad gäller IT-lösningar är det centrala begreppet redundans. Enkelt uttryckt betyder det att det ska finnas flera kopior av data, så om en slutar fungera ska det gå att använda en annan. 

Viktiga begrepp för att uppnå redundans är replikering (att kontinuerligt kopiera data mellan olika ställen för lagring) och kluster (IT-miljöer med flera samverkande datorer, vilka kallas noder). Det blir enklare att kopiera data till flera ställen om datorer är organiserade i kluster. 

För att säkerställa tillgänglighet för information krävs det mer än att bara kopiera lite data fram och tillbaka, i förhoppning om att den ska finnas tillgänglig om det uppstår problem. Kort sagt, det behövs en modell som innehåller beskrivningar av nivåer för redundans. Och som för det mesta, ju högre nivå, desto bättre. 

Vi talar ibland om redundansfaktor (redundancy factor). En redundansfaktor på 2 innebär att man kan förlora en disk, nod eller annan viktig komponent i ett kluster och ändå ha tillgång till alla data. Men en redundansfaktor på 3 kan man förlora två komponenter, och så vidare. 

Det finns flera typer av nivådefinitioner som påverkar hur många noder som krävs. Det viktiga att tänka på när IT-miljöer dimensioneras och byggs är så klart att det krävs mer kapacitet och utrustning än vad som egentligen krävs för att hantera en viss datamängd. Annars blir det ingen redundans. 

En viktig faktor som behöver tillgodoses för att allt det här ska fungera i en modern IT-miljö är att redundansen ska fungera för data som hanteras av virtuella maskiner (mjukvarudefinierade servrar som ersätter fysiska servrar). Det gör att redundans kan ordnas även för data som lagras i molnet och hanteras av molntjänster, samt i hybridmiljöer med inslag av både egna datacenter och publika molntjänster. 

För att det ska fungera driftsmässigt i praktiken, till en rimlig kostnad, finns det enkelt uttryckt fyra allmänna krav:
• Tekniklösningen får aldrig begränsa möjligheterna att möta verksamhetens krav på 1) Hur mycket data som tillåts får gå förlorad vid en incident samt 2) Hur snabbt det skall gå att återställa den förlorade datan. 
• Det behövs en tekniklösning, eller plattform, för att hantera alla olika typer av redundans för information, eller i alla fall så många typer som möjligt.
• Hanteringen för olika IT-miljöer behöver vara enhetlig.
• Hanteringen måste vara enkel. Ett viktigt sätt att ordna enkelhet är automatisering, vilken bland annat blir möjlig med tekniklösningar som maskininlärning. 

Det här betyder att traditionella, så kallade legacy, lösningar inte duger. Det behövs en teknikplattform som innefattar alla olika lösningar som finns i moderna teknikmiljöer, som virtuella maskiner och molntjänster, förutom traditionella lokala datacenter. I det vanliga livet är det inget positivt för en människa att vara ”redundant”. I IT-sammanhang är redundans inte bara nödvändig för att uppfylla lagstiftning som NIS-direktivet. Redundans är ett krav för tillförlitlig och säker IT.


Dela sidan:
Skriv ut:

Dagens Juridik
red@dagensjuridik.se