Artikel top billede

Sikkerhed faktisk ok: Her er det største problem ved cloud

Mange er bekymrede over sikkerheden ved cloud. Men det er faktisk slet ikke det største problem ved cloud. Det ligger et helt andet sted.

Computerworld News Service: Sikkerheden er fortsat den største forhindring til anvendelsen af cloud computing i erhvervslivet.

En analytiker fra analysehuset Gartner vurderer dog, at den største bekymring ikke bør være, om dataene kompromitteres i skyen, men derimod at der kan forekomme cloud-udfald i forbindelse med eksempelvis it-nedbrud eller strømsvigt, der kan føre til tab af data.

Der er ifølge cloud-sikkerhedsanalytiker Jay Heiser fra Gartner den udbredte opfattelse, at den væsentligste risiko ved at anvende cloud er, at følsomme data kan blive lækket.

Men det har man ikke set meget af, påpeger han.

Sony fik kompromitteret oplysninger om et potentielt tocifret antal millioner af kunder i 2011 i forbindelse med selskabets brug af cloud, ligesom der har været en håndfuld andre brud på sikkerheden, hvor personhenførbare oplysninger er blevet lækket fra skyen.

Dårlige til at håndtere udfald

Men udfald af cloud-tjenester og deraf følgende tab af data er mere almindeligt og det er desuden noget, mange virksomheder er dårligt forberedt til at håndtere.

Se blot på nogle af de større udfald, der er sket de sidste få år. Den førende cloud-leverandør Amazon Web Services har oplevet tre store udfald de sidste to år.

Efter et udfald i april 2011 af 2011 Elastic Compute Cloud (EC2) gik visse data uopretteligt tabt, fortæller Heiser.

Og i 2010 mistede Evernote 6.000 kunders data, mens Carbonite i 2009 mistede en del af sine kunders backup, fortæller han.

Opgradering fører til udfald

Mange af disse hændelser sker på grund af fejl i forbindelse med opgradering af systemer, påpeger han.

Amazon forklarede for eksempel sit seneste udfald med, at der var ved at blive installeret nyt hardware i datacenteret.

Det udfald resulterede i, at Reddit, Imgur og andre populære websteder var nede, og Amazon Web Services gav efter hændelsen rabat til de ramte virksomheder.

Så få har regler på plads - hvad gør vi?

Sådanne hændelser er sket gang på gang og vil efter al sandsynlighed ske igen, påpeger Heiser under et webinar afholdt af Gartner denne uge.

På trods af at dette er en af de største faktiske risici ved brug af cloud, kan Heiser fortælle, at kun halvdelen af de virksomheder, som Gartner for nylig adspurgte, har en proces til at evaluere deres processer til driftskontinuitet.

Han tilføjer, at risikoen for brud på sikkerheden selvfølgelig ikke skal ignoreres, men at driftskontinuiteten i forbindelse med nedbrud hos cloud-leverandøren er en mere akut problemstilling.

Langsomt ved at tage hånd om det hele

Cloud-branchen er dog langsomt ved at tage hånd om disse problemstillinger, men alle spillere lige fra leverandører til brugere og tredjeparts-organisationer, der arbejder med at forbedre cloud-sikkerheden, kan og bør ifølge Heiser lægge en større indsats.

Leverandørerne har tilsyneladende ikke været meget for i serviceaftalerne at komme ind på gendannelse efter tab af data.

"Det er stadig en udbredt anke, at cloud-tjenesteleverandørerne er uklare i mælet om, hvad de specifikt gør for at beskytte deres kunder," siger han.

Nogle leverandører holder kortene tæt til kroppen, fordi det angiveligt kunne repræsentere en sikkerhedsrisiko, hvis de oplyste for meget.

Mange leverandører hævder at have et meget højt niveau af oppetid og sikkerhed, men giver ifølge Heiser ikke kunderne mange muligheder for at kontrollere disse påstande.

Også køberne kan dog ifølge Heiser lægge en større indsats.

En af de første ting, man som bruger bør gøre, er, at fastsætte hvor stort et behov forskellige data har for beskyttelse.

Det er et udbredt problem, at der foreligger en ufuldstændig eller ikkeeksisterende klassifikation.

"Hvis køberen ikke selv kender sikkerhedskravene for specifikke data sammenlignet med andre data, så er det svært at vurdere, om leverandøren kan levere en tilstrækkelig sikkerhed," argumenterer han.

Der findes tredjeparts-organisationer, der arbejder med at udvikle standarder og certificeringer på området, men de står ifølge Heiser stadig svagt.

For eksempel har Cloud Security Alliance gjort en del overordnede ting for at håndtere en række forskellige emner, men Heiser tvivler på, hvor dybdegående disse initiativer har været.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere