Computerworld News Service: Sikkerheden er fortsat den største forhindring til anvendelsen af cloud computing i erhvervslivet.
En analytiker fra analysehuset Gartner vurderer dog, at den største bekymring ikke bør være, om dataene kompromitteres i skyen, men derimod at der kan forekomme cloud-udfald i forbindelse med eksempelvis it-nedbrud eller strømsvigt, der kan føre til tab af data.
Der er ifølge cloud-sikkerhedsanalytiker Jay Heiser fra Gartner den udbredte opfattelse, at den væsentligste risiko ved at anvende cloud er, at følsomme data kan blive lækket.
Men det har man ikke set meget af, påpeger han.
Sony fik kompromitteret oplysninger om et potentielt tocifret antal millioner af kunder i 2011 i forbindelse med selskabets brug af cloud, ligesom der har været en håndfuld andre brud på sikkerheden, hvor personhenførbare oplysninger er blevet lækket fra skyen.
Dårlige til at håndtere udfald
Men udfald af cloud-tjenester og deraf følgende tab af data er mere almindeligt og det er desuden noget, mange virksomheder er dårligt forberedt til at håndtere.
Se blot på nogle af de større udfald, der er sket de sidste få år. Den førende cloud-leverandør Amazon Web Services har oplevet tre store udfald de sidste to år.
Efter et udfald i april 2011 af 2011 Elastic Compute Cloud (EC2) gik visse data uopretteligt tabt, fortæller Heiser.
Og i 2010 mistede Evernote 6.000 kunders data, mens Carbonite i 2009 mistede en del af sine kunders backup, fortæller han.
Opgradering fører til udfald
Mange af disse hændelser sker på grund af fejl i forbindelse med opgradering af systemer, påpeger han.
Amazon forklarede for eksempel sit seneste udfald med, at der var ved at blive installeret nyt hardware i datacenteret.
Det udfald resulterede i, at Reddit, Imgur og andre populære websteder var nede, og Amazon Web Services gav efter hændelsen rabat til de ramte virksomheder.
Så få har regler på plads - hvad gør vi?
Sådanne hændelser er sket gang på gang og vil efter al sandsynlighed ske igen, påpeger Heiser under et webinar afholdt af Gartner denne uge.
På trods af at dette er en af de største faktiske risici ved brug af cloud, kan Heiser fortælle, at kun halvdelen af de virksomheder, som Gartner for nylig adspurgte, har en proces til at evaluere deres processer til driftskontinuitet.
Han tilføjer, at risikoen for brud på sikkerheden selvfølgelig ikke skal ignoreres, men at driftskontinuiteten i forbindelse med nedbrud hos cloud-leverandøren er en mere akut problemstilling.
Langsomt ved at tage hånd om det hele
Cloud-branchen er dog langsomt ved at tage hånd om disse problemstillinger, men alle spillere lige fra leverandører til brugere og tredjeparts-organisationer, der arbejder med at forbedre cloud-sikkerheden, kan og bør ifølge Heiser lægge en større indsats.
Leverandørerne har tilsyneladende ikke været meget for i serviceaftalerne at komme ind på gendannelse efter tab af data.
"Det er stadig en udbredt anke, at cloud-tjenesteleverandørerne er uklare i mælet om, hvad de specifikt gør for at beskytte deres kunder," siger han.
Nogle leverandører holder kortene tæt til kroppen, fordi det angiveligt kunne repræsentere en sikkerhedsrisiko, hvis de oplyste for meget.
Mange leverandører hævder at have et meget højt niveau af oppetid og sikkerhed, men giver ifølge Heiser ikke kunderne mange muligheder for at kontrollere disse påstande.
Også køberne kan dog ifølge Heiser lægge en større indsats.
En af de første ting, man som bruger bør gøre, er, at fastsætte hvor stort et behov forskellige data har for beskyttelse.
Det er et udbredt problem, at der foreligger en ufuldstændig eller ikkeeksisterende klassifikation.
"Hvis køberen ikke selv kender sikkerhedskravene for specifikke data sammenlignet med andre data, så er det svært at vurdere, om leverandøren kan levere en tilstrækkelig sikkerhed," argumenterer han.
Der findes tredjeparts-organisationer, der arbejder med at udvikle standarder og certificeringer på området, men de står ifølge Heiser stadig svagt.
For eksempel har Cloud Security Alliance gjort en del overordnede ting for at håndtere en række forskellige emner, men Heiser tvivler på, hvor dybdegående disse initiativer har været.
Oversat af Thomas Bøndergaard
