"Sikkerhed er fortrolighed, integritet og tilgængelighed, og især tilgængeligheden er formentlig større i et cloud-miljø end i de fleste andre miljøer."
Sådan lyder svaret fra it-rådgiver og sikkerhedsekspert Lars Neupart, når CRN beder om hans bud på, hvordan forhandlere skal håndtere kundernes bekymringer og forhåbninger til de cloud-teknologier, som de seneste år har fyldt stadig mere i it-producenternes produktkataloger.
Som med så meget andet nyt under solen er også cloud blevet mødt med større eller mindre skepsis. For når kundernes data bliver lagt "ud i skyen", kan man så være sikker på, at data er tilgængelige for de rette personer? At ingen uvedkommende kigger med eller ligefrem misbruger data? Og hvad med min egen adgang til mine data?
Ifølge Lars Neupart handler sikkerhedsspørgsmålet blandt andet om, hvilken leve-ranceform man benytter sig af.
"Software as a service (SaaS, red.) er den mest kendte leverancemodel, som mange partnere og resellere ofte baserer deres cloud-ydelser på. Der køber kunden en pakke med sikkerhedsfeatures indbygget i CRM- og økonomisystemer, Gmail, Hotmail og alle de her klassiske løsninger. Der er kunden så afhængig af, hvilke features leverandøren tilbyder," forklarer Lars Neupart.
Læs mere:
- Vild vækst: Du får gode muligheder for at sælge cloud
- Pas på: Der er skjulte omkostninger i skyen
- Arrow ECS lancerer Cloud-platform til forhandlerne
Hjælp til kunden er dit value-add
"Den anden yderlighed er infrastructure as a service (IaaS). Der hænger kunden selv på rigtigt meget af sikkerheden. I det øjeblik, jeg har søsat min server, og uanset om jeg har valgt Linux eller Windows eller andre applikationer, har jeg selv sikkerhedsansvaret. For hvem skal lægge sikkerhedsrettelser ind? Det skal kunden. Hvem har ansvaret for sikkerheden i de applikationer, der bliver lagt ind på de pågældende servere? Det har kunden. Så hvis jeg nu var forhandler, ville jeg jo nok lægge noget value-add ovenpå og hjælpe kunden med de her ting," siger Lars Neupart.
Han nævner også mellemformen Platform as a service (PaaS), hvor leverandøren står for sikkerheden på platformen, mens kunden selv skal sørge for at holde sine applikationer sikre.
Men hvordan rådgiver man som forhandler om cloud-sikkerhed i forhold til de opgaver, som it skal løse for kunden?
"Sikkerhedsdiskussionen kommer ind, når man skal gøre det her operativt. Punkt ét er, at man skal finde ud af, hvilke data man har og klassificere dem. Hvis man for eksempel er læge og har personfølsomme data liggende på sin pc, skal man ikke bruge Dropbox, for så lever man ikke op til Datatilsynets krav. Punkt to er at vurdere, hvilke relevante trusler der er. En standardiseret cloud-løsning har måske nogle fordele," siger Lars Neupart.
Kan man komme væk igen?
"Det byder så på nogle andre trusler. Kan man komme væk fra sin cloud-leverandør igen? Hvis jeg bliver træt af Office 365, kan jeg så nemt flytte mine dokumenter over til Google Docs, eller kan jeg nemt tage dem med hjem til mig selv? Det er et eksempel på det, man skal have med i et trusselskatalog. For det kan være svært at få sine data ud af en cloud-løsning i formater, man kan bruge hos en anden cloud-leverandør," siger han.
Det lyder som en efterhånden ret klassisk problemstilling?
"Ja, både forhandlere og producenter vil hævde, at de bruger åbne standarder alle sammen. Men i praksis kan det godt vise sig at være lidt sværere. Det hører med til trusselsvurderingen. En anden trussel, som de fleste kunder er optaget af, er datatab. Det dækker over flere ting: Kan jeg miste mine data? Kan andre kigge med på mine data, når de ligger ude på nettet?" forklarer Lars Neupart og går så til tredje og sidste led af den typiske sikkerhedsanalyse.
"Step tre er vurderingen af forretningskonsekvens, hvor man skal kunne pege ind på, hvad brugen af cloud betyder for kundens forretning. Her prioriterer man den viden og de krav, man har samlet ind i de to første faser. Den konsekvens, man vil drage, er meget afhængig af, hvilken type kunde, der er tale om, og hvilken type data kunden har."
Det store spøgelse: Hacker-angrebet
Usikkerheden ved den langt hen ad vejen usynlige sky forstærker også frygten for en anden usynlig it-trussel: Hackeren.
Men ifølge Lars Neupart er der ikke noget, der tyder på, at data i skyen er mere sårbare over for hacker-angreb.
"Der er jo en opfattelse af, at hvis jeg kan stå og kigge på min egen server, så er mine data nok bedre sikret, end hvis de ligger i skyen. Men det synes jeg ikke, vi kan dokumentere. Der er masser af sikkerhedshændelser med folks egne it-installationer."
"Cloud-hændelser har det så med at få mere omtale, fordi det påvirker flere, når det sker. Og så der er stor forskel på sikkerhedsniveauet hos de forskellige cloud-leverandører. Sådan noget som Dropbox har haft sikkerhedsuheld på sikkerhedsuheld gennem de seneste to-tre år. Det tyder på, at der ikke er designet sikkerhed ind i løsningen fra starten. Mens Google har et meget ensartet og homogent miljø, hvor det er meget nemt for dem at detektere indbrud. Så jeg er ikke bange for at have mine data liggende hos Google, fordi de i virkeligheden nok er bedre beskyttet, end hvis de lå hos mig selv," slutter Lars Neupart.
Læs mere:
