Infrastruktur

Gør dine cloud-løsninger sikre

Efterspørgslen på cloud-baserede sikkerhedsløsninger stiger eksplosivt, ifølge analysefirmaet Gartner. Primus motor for væksten er produkter inden for e-mailsikkerhed og løsninger til at håndtere identifikation og adgang via skyen.

En af de største tendenser på it-området i de seneste år er, at virksomheder ikke selv ejer deres it-infrastruktur, men køber den i form af cloud-løsninger. Men hvilke sikkerhedsrisici medfører dette? Vi bad Per Hellqvist, sikkerhedsekspert hos Symantec, fortælle om de største faldgruber for den mest almindelige type cloud-løsninger: Software as a service – SaaS. Det omfatter for eksempel e-mailtjenester som Hotmail og Gmail samt lagringstjenester som Box og Dropbox. 

– Typisk glemmer man at tjekke, hvordan informationerne er beskyttet under selve overførslen mellem brugeren og skyen. Sendes de krypteret eller i klartekst? Hvis de sendes i klartekst, gør du det meget nemt at stjæle dine data, fordi hvem som helst i princippet kan få adgang til dem, siger Per Hellqvist.

Ofte er det browseren, der bruges som adgang til cloud-løsninger, og så er sagen let at tjekke op. Hvis forbindelsen er krypteret, står der ”https” i stedet for ”http” i adressefeltet. Men mange cloud-løsninger har også apps til mobiler og tablets, som dataene synkroniseres til, og her er det umuligt at se, hvordan overførslen foregår.

– Du kan finde ud af det, hvis du sniffer trafikken på netværket, men hvor mange gør det? Det gør mig simpelthen så tosset. App-producenterne skal gøre det tydeligere, hvordan kundernes informationer beskyttes. I dag er man nødt til at kontakte producenten og spørge, fortæller Per Hellqvist.

Dem, der sørger for at medarbejdere får adgang til virksomhedens informationer i en mobilapp eller på en bærbar computer, bør også sørge for, at enhederne beskyttes med kodeord. En teknologisk løsning er at anskaffe et system til Mobile Device Management, hvor it-afdelingen kan holde styr på alle enheder på afstand og sørge for, at PIN-kodelåsen er aktiveret.

– Vi har jo mobilen med overalt – endda på værtshuse. Der er stadig mange, der ikke har PIN-kodelås på den, kommenterer Per Hellqvist.

Et andet spørgsmål, som blev aktuelt med Snowdens afsløring af USAs omfattende overvågningsprogram, er, i hvilket land dataene lagres, og hvor backuppen og eventuelle spejlinger er. Sagen kompliceres yderligere af, at visse cloud-løsninger også selv bruger cloud-løsninger – fx til lagring. Her er der god grund til at være forsigtig, advarer Per Hellqvist.

– Hvis du overfører data til andre lande, øges risikoen for aflytning undervejs. De fleste efterretningstjenester har mere eller mindre erklærede mål om at lave industrispionage for at fremme deres egne landes interesser. Eksempelvis inden for patenter og forskning – områder hvor Sverige er verdens førende, siger han.

Rent juridisk er det desuden ulovligt at sende personlige oplysninger uden for EU. Men det er i orden at bruge cloud-løsninger fra firmaer i USA, hvis de er med i Safe Harbour – et selvcertificeringsprogram, som er udarbejdet af EU i samarbejde med US Chamber of Commerce. 

Samtidig er alle informationer heller ikke tophemmelige. Og at behandle dem som om de var, ville blive både dyrt og besværligt. Første trin er derfor at klassificere informationerne. Hvilke er guldæg, og hvordan skal de håndteres? Hvilke trusler er der, og hvilke risici er rimelige at tage? Hvad er OK at lægge internt og eksternt? Hvad siger loven om, hvordan informationerne skal håndteres, og hvad siger firmaets egen policy?

– Visse informationer bør måske slet ikke komme ud af huset, mens andre kan sendes i en almindelig e-mail, siger Per Hellqvist.

Så hvordan skal brugerne kunne holde styr på, hvad der gælder? 

Per Hellqvist er enig i, at det kan være kompliceret – især fordi klassificeringerne ofte ændres. I mindre virksomheder er det som regel nok at uddanne brugerne. I større organisationer kan det derimod være værd at anskaffe et DLP-system (Data Loss Prevention), som implementeres i netværket og forhindrer, at informationerne spredes på forkert måde.

– Vi ved, at medarbejderne oftest ikke laver fejl med vilje, men ved uheld og med gode intentioner. For eksempel kan jeg måske sende en følsom fil til min Gmail eller lægge den i min private Dropbox, så jeg kan arbejde videre med den om aftenen, når ungerne er faldet i søvn, fortæller Per Hellqvist.

En anden mere indirekte risiko ved cloud-løsninger er, at medarbejderne anskaffer dem på egen hånd uden at tænke på sikkerheden.

– Her er det vigtigt at bede alle om at være åbne om, hvilke cloud-løsninger de bruger, så it-afdelingen kan tilbyde sikre alternativer. Men hvis it-afdelingen ikke kommer med alternativer, så er løbet kørt. Menneskets drivkraft til at effektivisere sit arbejde er utrolig stærk, siger Per Hellqvist.

Som afslutning slår han et slag for, at sikkerheden ikke skal opfattes som et problem eller en udgift, men som en mulighed for at arbejde mere mobilt. 

– Du tager ikke af sted på ferie uden at låse fordøren. Og du fører ikke følsomme data uden for huset, hvis du ikke kan beskytte dem, mener Per Hellqvist. 

Kontakt en af vores rådgivere på tlf. 7013 7040.


Tekst: Hanna Larsson
Illustration: Nils-Petter Ekwall

Sidst opdateret: 1 juli 2022

Tags