Artikel top billede

Sikkerhed faktisk ok: Her er det største problem ved cloud

Mange er bekymrede over sikkerheden ved cloud. Men det er faktisk slet ikke det største problem ved cloud. Det ligger et helt andet sted.

Computerworld News Service: Sikkerheden er fortsat den største forhindring til anvendelsen af cloud computing i erhvervslivet.

En analytiker fra analysehuset Gartner vurderer dog, at den største bekymring ikke bør være, om dataene kompromitteres i skyen, men derimod at der kan forekomme cloud-udfald i forbindelse med eksempelvis it-nedbrud eller strømsvigt, der kan føre til tab af data.

Der er ifølge cloud-sikkerhedsanalytiker Jay Heiser fra Gartner den udbredte opfattelse, at den væsentligste risiko ved at anvende cloud er, at følsomme data kan blive lækket.

Men det har man ikke set meget af, påpeger han.

Sony fik kompromitteret oplysninger om et potentielt tocifret antal millioner af kunder i 2011 i forbindelse med selskabets brug af cloud, ligesom der har været en håndfuld andre brud på sikkerheden, hvor personhenførbare oplysninger er blevet lækket fra skyen.

Dårlige til at håndtere udfald

Men udfald af cloud-tjenester og deraf følgende tab af data er mere almindeligt og det er desuden noget, mange virksomheder er dårligt forberedt til at håndtere.

Se blot på nogle af de større udfald, der er sket de sidste få år. Den førende cloud-leverandør Amazon Web Services har oplevet tre store udfald de sidste to år.

Efter et udfald i april 2011 af 2011 Elastic Compute Cloud (EC2) gik visse data uopretteligt tabt, fortæller Heiser.

Og i 2010 mistede Evernote 6.000 kunders data, mens Carbonite i 2009 mistede en del af sine kunders backup, fortæller han.

Opgradering fører til udfald

Mange af disse hændelser sker på grund af fejl i forbindelse med opgradering af systemer, påpeger han.

Amazon forklarede for eksempel sit seneste udfald med, at der var ved at blive installeret nyt hardware i datacenteret.

Det udfald resulterede i, at Reddit, Imgur og andre populære websteder var nede, og Amazon Web Services gav efter hændelsen rabat til de ramte virksomheder.

Så få har regler på plads - hvad gør vi?

Sådanne hændelser er sket gang på gang og vil efter al sandsynlighed ske igen, påpeger Heiser under et webinar afholdt af Gartner denne uge.

På trods af at dette er en af de største faktiske risici ved brug af cloud, kan Heiser fortælle, at kun halvdelen af de virksomheder, som Gartner for nylig adspurgte, har en proces til at evaluere deres processer til driftskontinuitet.

Han tilføjer, at risikoen for brud på sikkerheden selvfølgelig ikke skal ignoreres, men at driftskontinuiteten i forbindelse med nedbrud hos cloud-leverandøren er en mere akut problemstilling.

Langsomt ved at tage hånd om det hele

Cloud-branchen er dog langsomt ved at tage hånd om disse problemstillinger, men alle spillere lige fra leverandører til brugere og tredjeparts-organisationer, der arbejder med at forbedre cloud-sikkerheden, kan og bør ifølge Heiser lægge en større indsats.

Leverandørerne har tilsyneladende ikke været meget for i serviceaftalerne at komme ind på gendannelse efter tab af data.

"Det er stadig en udbredt anke, at cloud-tjenesteleverandørerne er uklare i mælet om, hvad de specifikt gør for at beskytte deres kunder," siger han.

Nogle leverandører holder kortene tæt til kroppen, fordi det angiveligt kunne repræsentere en sikkerhedsrisiko, hvis de oplyste for meget.

Mange leverandører hævder at have et meget højt niveau af oppetid og sikkerhed, men giver ifølge Heiser ikke kunderne mange muligheder for at kontrollere disse påstande.

Også køberne kan dog ifølge Heiser lægge en større indsats.

En af de første ting, man som bruger bør gøre, er, at fastsætte hvor stort et behov forskellige data har for beskyttelse.

Det er et udbredt problem, at der foreligger en ufuldstændig eller ikkeeksisterende klassifikation.

"Hvis køberen ikke selv kender sikkerhedskravene for specifikke data sammenlignet med andre data, så er det svært at vurdere, om leverandøren kan levere en tilstrækkelig sikkerhed," argumenterer han.

Der findes tredjeparts-organisationer, der arbejder med at udvikle standarder og certificeringer på området, men de står ifølge Heiser stadig svagt.

For eksempel har Cloud Security Alliance gjort en del overordnede ting for at håndtere en række forskellige emner, men Heiser tvivler på, hvor dybdegående disse initiativer har været.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere