Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
Gør brugen af cloud virkelig dine data mere udsatte, som overskriften i denne artikel indikerer? Nej er det korte svar – og det er heller ikke konklusionen i rapporten fra Verizon, der refereres til.
Hovedkonklusionerne i rapporten er, som jeg læser den, følgende:
- Brugen af cloud er kraftigt stigende og dermed vil andelen af hændelser, som har rod i cloudløsninger (24 procent ) også være stigende, men er IKKE overrepræsenteret i statistikken overhovedet.
- Fejlkonfigurationer og identitetstyveri er de to største kilder til sikkerhedshændelser – både i cloudløsninger og on-premise.
- Desværre har nogle små og mellemstore virksomheder en tendens til at overse, ignorere eller begå fejl, når de skal konfigurere deres brug af Cloud. Selv kendte og enkle best practices, som kunne øge modstandsdygtigheden, anvendes ikke og derfor bliver de nemmere ofre for moderne trusler.
Er det ikke bedre bare at lade være med at bruge cloud?
Det er nærliggende at konkludere, at ”hvis nu vi bare lader være med at bruge cloud, så er vi mere sikre?”
Naturligvis er du ikke det – og det er også én af rapportens konklusioner.
Brugen af cloud har nemlig, populært sagt, demokratiseret adgangen til avancerede teknologiske løsninger.
Gennem cloud-tjenester er den slags nu langt mere tilgængeligt. Også for SMV’er, hvor det tidligere primært var de store organisationer, som havde råd og kompetencerne til at bygge og anvende de avancerede løsninger.
Og her midt i en COVID-19 tid, har cloudtjenester i vid udstrækning bevist sit værd, ved at give folk muligheden for hurtigt, at kunne etablere sikre miljøer til at arbejde hjemmefra. Det har de eksempelvis nydt godt af hos ingeniørforeningen, IDA:
”I starten af Covid-19 hvor vores direktør sendte os alle sammen hjem, tog IDA medarbejderne deres bærbare under armen, og så kørte vi IDA videre hjemmefra. Sikkerheden ændrede sig ikke, da vi havde gjort os tankerne om hvordan sikkerhedsniveauet skulle være, og det er reelt det samme niveau, om man er hjemme, på hovedkontoret eller et andet sted i verden - det gør ingen forskel,” siger Jesper Brink Sørensen, Service Operation Manager, Ingeniørforeningen Danmark
IDA er et godt eksempel på, at man naturligvis ikke blot skal tage hovedet under armen, men overveje, hvilke trusler vi skal beskytte virksomheden, medarbejderne og vores data imod. Din virksomhed og medarbejdere vil altid være mål for cyberangreb, og specielt data vil konstant være udsat for risici for at blive fejlbehandlet eller uforvarende blive eksponeret for omverdenen mv.
Der er derfor stadig elementer af sikkerhed man selv skal overveje, implementere og vedligeholde. Men i skyen nyder du fordel af, at en del af kontrollerne håndteres af leverandøren.
Som Jacob Brønnum-Schou, CIO hos advokatfirmaet Kromann Reumert udtrykker det:
"Vi har valgt cloud ud fra et forretnings- og sikkerhedsmæssigt perspektiv. Cloud er et effektivt set-up, der giver os besparelser på sikkerhedsinvesteringerne og på selve driften. Dermed kan vi fokusere endnu mere skarpt på vores klientsamarbejde, vores forretningsudvikling og de skærpede krav med EU-persondataforordningen."
Er der så hjælp at hente fra cloudleverandøren, til at øge sin modstandsdygtighed?
Jeg har noteret mig, at en anden klummeskribent her i Computerworld påstår, at man er overladt til sig selv, hvis ens data hos Microsoft bliver angrebet.
Det er naturligvis ikke sandt.
Lad os bare slå fast én gang for alle, at dine data ER sikre og godt beskyttet i moderne professionelle cloudløsninger.
Tager man et kig på den mængde af sikkerheds- og privacy-kontroller, som er implementeret, vedligeholdt og certificeret i for eksempel Microsoft Cloud, står det hurtigt klart, at den del typisk ikke kan matches i den enkelte virksomheds (stor som lille) eget driftsmiljø.
At det forholder sig sådan, frigiver ressourcer i virksomheden til at optimere udnyttelsen cloud-platformen. For eksempel med fokus på at konfigurere brug af tjenesten optimalt og bruge teknologien til at opbygge den nødvendige modstandsdygtighed, overfor de største og mest overhængende trusler.
"Cloud out of the box er lige så sikkert som on-prem IT, og dertil kommer, at de mange sikkerhedsfunktioner, der kan tilkobles cloud, nok gør cloud endnu mere sikkert," siger Jacob Brønnum-Schou, CIO i Kromann Reumert
Uanset hvilken virksomheds-cloudtjeneste man benytter fra Microsoft – mange anvender Office365 eller Microsoft365 – så har man adgang til det såkaldte ’Security Center’, som er omdrejningspunktet for både at forstå hvilke trusler miljøet er udsat for og for at få vejledning om, hvordan man kan opbygge modstandsdygtigheden.
Security Center kan give dig svar på spørgsmål som:
- Bruger jeres medarbejdere tjenester udenfor din normale portefølje til at dele data – og hvilke?
- I hvilket omfang er medarbejderne udsat for forsøg på phishing, ransomware eller andre malwareangreb?
- Er brugsmønstrene i jeres miljø normale eller er der indikatorer på, at I er penetreret, at medarbejdere uforvarende udsætter virksomheden for risici eller at en insider måske er i gang med at foretage direkte kriminelle handlinger?
- Hvor godt er I forberedt på DDOS angreb?
- Hvordan sikrer I, at medarbejderne har adgang til de data, og kun de data, de har behov for?
- Hvordan kan I begrænse skaden, hvis et cyberangreb giver udefrakommende adgang – hvordan kan I segmentere og hurtigt isolere den enhed eller den identitet, som benyttes til angrebet?
- I hvilket omfang er jeres backupstrategi i stand til at bringe jer tilbage, hvis skaden skulle ske?
- Hvordan får I overblik over, hvilke klassifikationer af data, I har hvor i organisationen?
- Hvad er de sikkerhedsmæssigt ’lavthængende frugter, som I kunne fokusere på, for at forbedre modstandsdygtigheden? Hvordan kommer I i gang med dem, og hvad vil resultatet typisk være i form af ressourcer, I skal bruge vs. hvor meget I opnår sikkerhedsmæssigt?
- Og mange, mange flere…
Man vælger selv, hvor fokus skal ligge, og hvilke risici man anser for at være de vigtigste at håndtere først. Udgangspunktet er nemlig, ikke overraskende, den risikovurdering, som lovgivningen alligevel pålægger alle, der er ansvarlige for persondata, at foretage.
Arbejdet skal gøres, uanset om man anvender cloudtjenester eller ej – det bliver blot lidt nemmere hvis man udnytter styrken i et cloudmiljø.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.