Artikel top billede

(Foto: Computerworld)

Det skal du overveje: Skyen eller eget datacenter?

Inden man skrotter serverne i kælderen og springer helt op i skyen, er der flere faktorer, man skal være opmærksom på. Sikkerhed og tilgængelighed er to af de åbenlyse, men der kan også være udfordringer med reglerne for databeskyttelse.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Mange taler om skyen som et uafvendeligt faktum – noget, alle virksomheder før eller siden må overgive sig helt til. Skyen gør på mange måder hverdagen lettere for virksomheder.

Hvis man kan afskaffe serverrummet, er der store hardware- og personalebesparelser i sigte. Og når mange medarbejdere alligevel er på farten eller arbejder hjemmefra, er skyen det moderne mirakel, der gør det enkelt at have adgang til de nødvendige data.

Det handler imidlertid ikke kun om adgang til data. Det handler også om adgang til applikationer og ren processorkraft, som rykker op i skyen, når medarbejdere i marken for eksempel arbejder med augmented reality eller mixed reality.

On-premise forsvinder ikke

Til gengæld er der givet også virksomheder, som af sikkerhedsmæssige årsager aldrig nogensinde kunne drømme om at lægge personfølsomme eller forretningskritiske data op i skyen. Så vejen op i himlen til skyen er trods alt ikke så ligetil.

Selvom der er en klar tendens til, at mere og mere it flytter uden for den beskyttende firewalls rækkevidde, er det svært at opstille valget mellem skyen og on-premise – egne servere og storage-enheder – som et enten-eller. Selvom skyen tydeligvis har taget føringen, vil on-premise både som teknologi og koncept eksistere en årrække ud i fremtiden.

Ifølge et debatindlæg skrevet i Networkworld af Tom Nolle, der er administrerende direktør i det strategiske rådgivningsfirma CIMI Corporation, arbejder mange af de store virksomheder på at modernisere deres legacy-applikationer, så de kan forblive i virksom­hedernes eget datacenter – lige så mange som virksomheder, der spekulerer over, hvordan de kan rykke alt op i skyen.

Selv Microsoft drages i tvivl

Skyen kender ingen grænser. Men kan den amerikanske stat forlange adgang til euro-pæiske data lagret i USA?

Microsoft har udgivet et Cloud Governance-kompendium, der i detaljer beskriver, hvorledes ”sikkerhed, privatlivsbeskyttelse, compliance og risici kan vurderes og optimeres gennem ibrugtagning af Microsoft-tjenester,” som det hedder. Det er ikke nok for Stockholms Kommune, der for nylig droppede cloud-løsningen Microsoft 365.

Man vil i stedet gå over til Microsofts on-premise-løsninger, som hostes lokalt. Tilsvarende har Københavns Kommune ifølge netmediet Computerworld grundet Schrems II-dommen stoppet udflytning af systemer med persondata til Microsofts cloud-løsninger. Man vil afvente en egentlig cloud-vejledning fra Datatilsynet.

Otte største dækker 80 procent

Sikkerhed og tilgængelighed er to vigtige faktorer i den problemstilling. Ikke desto mindre viser tal fra analysefirmaet Statista.com, at når det gælder omsætningen for datalagring i skyen, rundede denne for første gang 50 milliarder US-dollar i fjerde kvartal af 2021.

Hele sidste år solgte cloud-udbyderne for 178 milliarder dollar, så meget tyder på, at skyen trods betænkelighederne er et forretningsområde, som er kommet for at blive. Tallene viser også, at langt den største udbyder er Amazon Web Services, der i fjerde kvartal sidste år havde en markedsandel på intet mindre end 33 procent.

Nummer to er Microsoft Azure med en andel på 21 procent, hvorefter Google Cloud følger på tredjepladsen med en andel på 10 procent. Sammen med Alibaba Cloud, IBM Cloud, Salesforce, Tencent Cloud og Oracle Cloud sidder de tilsammen på 80 procent af verdensmarkedet.

3 ting du skal overveje

Hvis du vil sende store dele af din virksomhed op i skyen, skal du ifølge IT-Branchen allerførst gennemtænke disse basale forudsætninger.

1 Struktur og beskyttelse

Gennemfør en analyse af, hvordan virksomhedens setup skal være. Få eventuelt eksterne rådgivere til at kortlægge datastrømme, placering af data samt vurdere potentielle risici. Da en del af virksomhedens systemer kan ligge hos eksterne leverandører, er det ligeledes vigtigt at vide, hvordan data er beskyttet.

2 Adgangskontrol

Identitetsstyring er vigtig. Virksomheden skal have styr på, hvem der har adgang til hvad, og hvilke processer der er knyttet til disse adgange. Når der ansættes eller afskediges medarbejdere, er det vigtigt, at adgangsrettighederne opdateres. Ansvaret for "identity and access management" skal derfor være en del af jobbeskrivelsen hos en dedikeret medarbejder i virksomheden.

3 Daglig sikkerhed

Der skal være styr på processer og governance i den daglige drift, og der skal laves obligatoriske it-sikkerheds-awareness-kurser for alle medarbejdere. Derudover skal virksomheden sikre, at der er styr på alle sikkerhedsprocesser, og at en prioriteret kontrol løbende finder sted.

Hvor gemmes de vigtige data?

Selvom det er de store og kendte tech­giganter, der sidder på langt den største del af kagen, byder listen altså også på et par navne, der ikke er så kendte på disse breddegrader, nemlig Alibaba Cloud og Tencent Cloud. Vi kender Alibaba og Tencent som store aktører inden for blandt andet e-handel og underholdning på det kinesiske marked, men de gør sig altså også i datalagring i skyen.

På det område har de stadig en forholdsvis lille markedsandel sammenlignet med listens tre topnavne, Amazon Web Services, Microsoft Azure og Google Cloud, men har dog formået at få en bid af kagen – i øvrigt sammen med en række andre forholdsvis ukendte aktører.

Netop det forhold kan og må give en del erhvervsledere anledning til spekulation – for hvor og hvordan skal virksomhedens data gemmes?

Når en virksomhed har lavet en aftale om hosting, kan leverandøren i virkeligheden smide data lige præcis derhen, hvor det passer denne, og ifølge flere sikkerhedseksperter i branchen er der alt for ofte stor tvivl omkring sikkerhed, tilgængelighed og compliance i forhold til gældende lovgivning.

Cloud er i kraftig vækst – trods alt

Der bliver flere og flere skyer over dansk erhvervsliv.

Trods de mange juridiske udfordringer i det aktuelle cloud-landskab er væksten på området stadig markant. Sidste år gennemførte Danske IT-Advokater en undersøgelse, hvor 325 it-ansvarlige svarede på, hvilke områder inden for digitale strategier og digitale investeringer de lige nu og fremadrettet over 12 måneder ville vægte højest.

På førstepladsen kom it-sikkerhed, dog skarpt forfulgt af cloudinvesteringer. 67 procent af de adspurgte vægtede således it-sikkerheden højest, men hele 63 procent nævnede også cloud, hvilket betyder, at området i forhold til tidligere undersøgelser er fordoblet i de it-ansvarliges og dermed virksomhedernes bevidsthed.

Cloud er vokset fra 30 procent i 2019 til mere end det dobbelte i 2020, hvilket betyder, at ikke mindre end to ud af tre virksomheder har arbejdet med at lægge data op i skyen i løbet af 2021.

Det er faktorer, som virksomhedslederne ifølge den danske direktør for globalt salg i Thales Group, Turjus Gylsdorff, skal være meget opmærksom på.

”Hvor data rent faktisk befinder sig, er naturligvis vigtigt for virksomheden at vide, men det er mindst lige så vigtigt at være sikker på, at data er tilgængelige, og at de overholder gældende regulativer i de lande, hvori de befinder sig. GDPR-forordningen, som vi kender den fra EU, er jo blot et enkelt eksempel på lovgivning, der skal overholdes,” siger Turjus Gylsdorff, som føjer til, at kryptering også kan være en udfordring.

Hvem har for eksempel nøglen? Er det service-provideren, eller er det virksomheden selv? Det bør naturligvis være sidstnævnte, mener Turjus Gylsdorff. Hvis ikke det er tilfældet, kan man hurtigt få sig en ubehagelig overraskelse, også selvom data for så vidt har været opbevaret sikkert nok. Tilgængelighed i alle situationer er altså mindst lige så relevant, når talen falder på fordele og ulemper ved opbevaring i skyen kontra on-premise.

Endelig er der det store spørgsmål, hvorvidt data overholder gældende lovgivning. Det kan være endog meget svært at gennemskue, og den såkaldte Schrems II-dom, der blev afsagt ved EU-domstolen i sommeren 2020, har ikke gjort tingene lettere.

Det betyder, at det ikke længere er så nemt at overføre data fra EU til eksempelvis USA, hvilket lægger hindringer i vejen for de udbydere af cloud-løsninger, der ikke har datacentre i et EU-land.

USA ikke længere sikkert land

Problematikken startede tilbage i 2003, da en person ved navn Max Schrems i forlængelse af Edward Snowdens afsløringer af den masseovervågning, som national Security Agency (NSA) i USA stod bag, klagede til det irske datatilsyn over, at Facebook i Irland havde overført hans personlige data til Facebook Inc. Overførslen byggede på den såkaldte Safe Harbour ordning, der havde været i brug i en årrække.

Safe Harbour-ordningen betød, at de amerikanske databehandlervirksomheder, der var omfattet af denne, blev anset for at være beliggende i et sikkert tredjeland. Men klageren, Max Schrems, mente ikke, at USA’s lovgivning om national sikkerhed var ensbetydende med, at data blev behandlet ud fra et tilstrækkeligt beskyttelsesniveau for persondata, som det kræves ifølge europæisk databeskyttelseslovgivning.

I forbindelse med behandlingen ved en domstol i Irland blev sagen forelagt EU-domstolen, der i oktober 2015 erklærede Safe Harbour-ordningen ugyldig. Samtidig blev det fastlået, at niveauet for beskyttelse af personoplysninger i et såkaldt usikkert tredjeland i al væsentlighed skal matche niveauet for beskyttelse af personoplysninger i EU. Dermed fik Max Schrems altså ret i sin klage til den irske Data Protection Commisioner.

Safe Harbour-ordningen blev efterfølgende i 2016 erstattet af den såkaldte EU-US Privacy Shield-ordning, der efter EU-Kommissionens opfattelse rettede op på nogle af manglerne.

Max Schrems fortsatte imidlertid sin klageproces, hvilket medførte, at EU-Domstolen i sommeren 2020 også erklærede denne for ugyldig. Siden har der hersket usikkerhed på området, men i november 2020 kom Det Europæiske Databeskyttelsesråd dog med en række anbefalinger.

Virksomheden risikerer straf

Det betyder, at hvis data overføres til et usikkert tredjeland uden for EU/EØS, er det ikke nok at leve op til for eksempel kravene i EU-Kommissionens standardkontraktbestemmelser.

Den enkelte virksomhed skal selv sikre sig, at reglerne i det pågældende usikre tredjeland ikke underminerer databeskyttelsesreglerne i EU samt vurdere, hvilke muligheder landets myndigheder har for overvågning af EU-borgere, og om personoplysninger skal krypteres.

Ifølge Tina Brøgger Sørensen, der er partner i advokatfirmaet Kromann Reumert, gælder kravene, uanset om der er tale om, at Facebook i Irland overfører personoplysninger til Facebook i USA, eller en virksomhed selv indgår aftale med en databehandler i eksempelvis USA.

Hvis ikke virksomheden sørger for at undersøge importlandets regler og det eventuelle behov for supplerende foranstaltninger, herunder kryptering, kan den stilles retsligt til ansvar.

Disse få lande er sikre

En virksomhed skal være opmærksom på, at der ikke nødvendigvis kun stilles skærpede krav til følsomme personoplysninger. Hvis man overfører data til et usikkert tredjeland, gælder kravene til en nærmere undersøgelse af regler og sikkerhedsforanstaltninger i forhold til alle former for data, der på den ene eller den anden måde kan relateres til en konkret person, for eksempel en e-mail og adresse i en kundedatabase. Det er kun EU-Kommissionen, der kan fastslå, om et tredjeland er sikkert og dermed har et beskyttelsesniveau, der svarer til det, der gælder i EU.

Følgende lande er ifølge Datatilsynet i dag godkendt som sikre tredjelande:


  • Andorra

  • Argentina

  • Guernsey

  • Isle of Man

  • Israel

  • Jersey

  • New Zealand

  • Schweiz

  • Storbritannien

  • Uruguay