Varför Azure-säkerhet fortsätter att misslyckas trots att alla förstår riskerna

Som konsulter ser vi det här mönstret hos kund efter kund. Alla förstår vad som krävs för säker Azure-infrastruktur, men det implementeras inte. Arkitekter pratar entusiastiskt om Zero Trust-principer på workshops, men levererar sedan platta nätverk där utveckling, test och produktion ligger i samma VNet med minimal segmentering. WAF säljs in som en säkerhetslösning, men lämnas i log-läge i månader för att undvika "krångliga diskussioner" med utvecklingsteam om false positives. Entra ID konfigureras med undantag från MFA för nyckelgrupper för att "inte störa användarupplevelsen", vilket effektivt undergräver hela säkerhetsmodellen. Administratörer loggar in i kritiska produktionsmiljöer från samma osäkrade laptop som används för mejl, webb-surfing och privat bruk. Tekniken finns. Kunskapen finns. Viljan att implementera det saknas.

När intrång väl sker ställs alltid samma fråga: "Vad säger loggarna?" Svaret blir för ofta: "Det finns inga." Loggning i Azure Sentinel har strukits ur budgeten. Någon tyckte att 15 000 kronor per månad för omfattande loggning var "för dyrt". Någon annan prioriterade ett annat projekt som skulle ge snabbare ROI. Men att spara på loggning är som att köra företaget som en bil på natten utan lampor och hoppas att vägen håller.

Låt oss vara konkreta om kostnaderna. Ordentlig nätverkssegmentering kostar 200-400 timmar engångskostnad. WAF i blocking-läge kräver 50-100 timmar setup plus löpande tuning. Omfattande loggning i Sentinel kostar 10-30k per månad beroende på volym. Privileged Access Management tar 150-300 timmar att implementera. Genomsnittlig kostnad för ett cybersäkerhetsincident i Sverige? 45 miljoner kronor. Genomsnittlig tid för full återhämtning? 287 dagar. Förtroendeskada och förlorade kunder är omätbart men ofta mångdubbelt större än direkta kostnader. Som vi brukar säga till våra kunder: säkerhetsbudgeten känns dyr fram tills du behöver en incident response-budget.

Vi vet att du som läser det här förstår teknik. Du är inte rädd för molnlösningar eller digitala förändringar. Du har byggt din karriär på att fatta snabba, datadrivna beslut. Frågan är inte om du förstår säkerhetsriskerna. Frågan är om du vågar prioritera dem. Sluta godkänna lösningar du vet är otillräckliga. När din IT-leverantör föreslår shortcuts för att "komma igång snabbt" se till att säga nej. När någon vill skjuta säkerhet till "fas två" utan fråga när fas två faktiskt kommer att påbörjas. Investera i det tråkiga. Loggning och övervakning är inte sexiga investeringar. De syns inte i demos eller imponerar på styrelsemöten. Men de är skillnaden mellan kontrollerad drift och kaos när något går fel.

Som konsultbolag ser vi samma misstag upprepas. Därför rekommenderar vi alltid att definiera säkerhet som ett leveranskrav, inte ett tillval. Inget system ska gå i produktion utan ordentlig segmentering, loggning och åtkomstkontroll. Budgetera för säkerhet från dag ett och inte som en efterkonstruktion, inte som fas två, utan som en grundförutsättning. Mät och följ upp säkerhetsstatus precis som du mäter försäljning, kundnöjdhet och systemupptime.

Det här är inte ett teknikproblem. Azure har alla verktyg som behövs för att bygga säkra lösningar. Det är inte heller ett kunskapsproblem – alla förstår riskerna. Det är ett ledningsproblem. Alla vet vad som krävs. Frågan är vem som vågar ta beslutet att faktiskt göra det.

Behöver ni hjälp att implementera ordentlig Azure-säkerhet? Kontakta oss för en säkerhetsgenomgång av er nuvarande miljö.