Public cloud - datasikkerhed, ansvar og bivirkninger

Klumme: Det er fortsat en udfordring for virksomheder at holde styr på ansvarsfordelingen, når der indgås aftaler med cloud-service leverandører. Læs her, hvordan du kan gribe opgaven an.

Artikel top billede

(Foto: istockphoto.com)

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Cloud er forretningsmæssigt attraktiv og har gjort det muligt at være mere omkostningseffektiv, agil og innovativ, hvorfor mange virksomheder vælger helt eller delvist at flytte deres workloads derud.

Når beslutningen er truffet om ikke at bygge selv, men konsumere i stedet, er antagelsen i mange virksomheder til stadighed, at ansvaret for at sikre data tilhører leverandøren af den konsumerede service.

Antagelsen er bestemt ikke urimelig, men når alt kommer til alt, kan man ikke outsource sit ansvar.

Det er fortsat en udfordring for virksomheder at holde styr på ansvarsfordelingen, når der indgås aftaler med cloud-service leverandører.

Dog er det uomtvisteligt, at det endegyldige ansvar for beskyttelse af virksomhedernes data ligger hos virksomheden selv.

I klummen her berører jeg nogle af virkningerne forbundet med ”udflytningen” til public cloud og disse gælder i udgangspunktet også for eksempelvis Microsoft produkter, så som OneDrive og SharePoint.

Begge giver mulighed for deling og synkronisering på kryds og tværs, både internt og eksternt.

Det giver stof til eftertanke i forhold til en række udfordringer skitseret nedenfor.

Bivirkninger og sikkerhedsproblemer

Virksomheder har sædvanligvis haft styr på og kontrol over data, så længe det har været placeret på interne systemer i egne datacentre.

Sædvanligvis, eftersom vi bestemt også har set eksempler på det modsatte. Brugen af cloud, og rykket mod selvsamme, er fortsat opadgående, og især public cloud ser ud til at få større opmærksomhed.

En rapport fra RightScale viser en stigning fra 29 procent i 2017 til 38 procent 2018, altså en forøgelse på otte procent, hvilket indikerer, at virksomhederne prioriterer netop denne type implementeringsmodel sammenlignet med de øvrige.

Der er bivirkninger forbundet med ”udflytningen” til public cloud.

Bevægelsen fra on-premise til public cloud har desværre haft en del negative konsekvenser og en lind strøm af databrud, hvilket i mine øjne er stærkt bekymrende.

Jeg står langt fra alene med den bekymring, og i den seneste rapport fra CSA indtager databrud ikke overraskende en velfortjent førsteplads.

Rapporten er baseret på kvalificeret input fra sikkerhedseksperter der, på baggrund af en spørgeskemaundersøgelse, forsøger at kortlægge og rangere de væsentligste sikkerhedsproblemer i cloud.

Databrud og politikker

Skrækeksempler er der nok af, og jeg kan i flæng nævne sagerne fra Verizon, Pentagon, Tesla.

Seneste fine tilfælde kommer fra amerikanske LocalBlox, hvor profildata fra prominente virksomheder som Facebook, Twitter og LinkedIn lå frit tilgængelige.

Men hvorfor er det, at vi ser et så bekymrende højt antal databrud?

Cloud-service-leverandører, som eksempelvis Microsoft og Amazon, sørger for at holde virksomheden i hånden med guidelines samt reference arkitektur beskrivelser og gør en dyd ud af at levere ydelser og services, der i udgangspunktet er sikkerhedsmæssigt forsvarlige.

Til gengæld er det i sidste ende op til virksomheden selv at anvende dem korrekt og på en hensigtsmæssig måde, der så vidt muligt matcher virksomhedens sikkerhedspolitik.

Hvor nedslående det så end er, så forudser Gartner i en undersøgelse, at slutbrugeren i 2020 selv vil være skyld i 95 procent af sikkerhedshændelserne i cloud (!)

Her finder vi sandsynligvis en af årsagerne til de mange databrud.

Et godt og tilbagevendende problem er forekomsten af offentligt tilgængelige Amazon S3 data buckets med mere eller mindre sensitive data (hvem sagde GDPR?).

Til trods for, at Amazon har ændret standardindstillingerne, når S3 buckets konfigureres, så de ikke som standard står pivåbne, så sker der af uransagelige årsager en ændring af rettighederne – til det dårligere vel og mærke.

Det kan der være gode grunde til, men i langt størstedelen af de tilfælde, jeg har være vidne til, skyldes det i udgangspunktet manglende agtpågivenhed og uvidenhed om konsekvenserne.

Løsning – hvor ligger den?

Som virksomhed er det helt afgørende at stille sig selv en række fundamentale spørgsmål til datasikkerheden:

• Hvilken type data har vi?
• Hvor befinder data sig?
• Hvem har adgang til vores data?
• Hvordan anvender og håndtere vi vores data?
• Hvordan sikrer vi vores data ved brug, under transmission og når data er lagret?
• Hvordan tilgår vi, internt og eksternt, samt partnere vores data?

Når det grundlæggende analysearbejde og politikkerne er på plads, så gælder det først og fremmest om at uddanne virksomhedens medarbejdere i datasikkerhed samt oplyse om tilknyttet risici.

Rådet her gælder for så vidt almindelige medarbejdere som gruppen, der er udpeget som administratorer for den konsumerede service i cloud.

Sørg derefter for at implementere en sikker konfigurationsstandard, så der er en ensartethed og konsensus hver gang services benyttes.

Knyt hertil processer og procedurer for identificering og kontrol af sensitive data.

For både Microsoft Azure samt Amazon Web Services gælder det, at der allerede eksisterer værktøjer, der kan hjælpe med en sådan opgave.

Tillid er godt, kontrol er bedre. Derfor gælder det om at indsamle tilstrækkelig loginformation samt etablere monitorering og overvågning til identificering af eventuelle sikkerhedshændelser.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S