Datatilsynet advarer cloud-kunder: »Det er vigtigt, at man har en exitstrategi«

24. juni kl. 10:106
Datatilsynet advarer cloud-kunder: »Det er vigtigt, at man har en exitstrategi«
Illustration: Pressefoto/Datatilsynet.
Alt for mange danske cloud-kunder mangler en strategi for, hvordan de kommer ud af aftalen, lyder det fra Datatilsynet, der samtidig opfordrer alle til at få en strategi på området, der kan flytte alle services væk fra leverandøren på 30 dage.
Artiklen er ældre end 30 dage

Langt flere danske kunder hos amerikanske cloud-leverandører skal have en klar strategi for, hvordan man kommer ud af samarbejdet, lyder anbefalingen fra Datatilsynet.

Tjenesterne er spredt vidt og bredt i det danske samfund, men mange organisationer har haft store udfordringer med at finde lovlige måder at bruge dem på. Og så skal man hurtigt kunne trække stikket, understreger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet, overfor Version2.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
6 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
24. juni kl. 14:08

Udover det ønskelige i at kunne skifte leverandør har jeg svært ved at se udfordringen hvis man følger best practice - dvs. sikkerhed i dybden, der omfatter kryptering af data ved lagring og transport samt maskering af data under brug i det omfang det er nødvendigt - alt sammen med Bring-Your-Own-Key (BYOK) samt en zero-trust architecture. Dette vil betyde at data er utilgængelige for alle der ikke er autoriseret til brug og har fået verificeret sin identitet for den konkrete anvendelse.

De beskrevne scenarier bliver dermed ikke-kritiske.

Ville man kunne bryde gennem denne sikring? -Ja, selvfølgelig - med de rette midler kan "alt" lade sig gøre - den nemmeste måde er dog at aflæse autoriserede brugeres skærm og tastetryk fra en bygning på den anden side af vejen. Den eneste måde at undgå dette på er at arbejde i en server-bunker uden galvanisk forbindelse til omveredenen - og det er ikke særlig praktisk for de fleste medarbejdere... I praksis må man dog nok sige at risikoen er minimal grænsende til ikke eksisterende; medmindre der er seriøse mistanker om alvorlig kriminalitet (læs terror eller tilsvarende).

Har jeg overset noget?

4
24. juni kl. 12:38

Præcis @henrik Morell.. Sikre sig i mod vendor lockin - og evt. køre multi-cloud - så man kan migrere imellem de 2 hvis nødvendigt og dermed "flytte hvad der er nødvendigt" først - uden at alt er nede imens.

3
24. juni kl. 12:27
  • Muligvis kører Sundhedsplatformens Epic-tilknytning ikke i clouden, men problemet er vel det samme, da Epic - så vidt jeg ved - ikke kan leve op til GDPR's krav?

Så Sundhedsplatformen skal vel også skynde sig at finde en exit-strategi?

Tør nogen tænke tanken?

1
24. juni kl. 10:56

30 dages exittid er da fuldstændig urealistisk for bare en middelstor virksomhed! Det er jo ikke tegnefilmsfirmaer!

6
24. juni kl. 14:54

@Michael Deichmann, hvis det er det varsel som cloudleverandøren giver dig, jf. kontrakten, så er det jo det inden for det varsel man som kunde skal kunne handle og flytte sit workload.

Jeg tænker at det er de færreste kunder med et middel til stort cloud workload, der kan flytte inden for 180 dage, 1-2 år er måske mere realistisk. Så der er sikkert mange der nu begynder at kigge på exitplaner på samme måde som business continuity og disaster recovery, altså begynder at undersøger workloads og vurdere og tester at man kan flytte inden for den tid der er aftalt i kontrakten.

2
24. juni kl. 11:33

Man skal vel "bare":

  1. Undgå at bruge leverandørspecifikke services eller versioner.
  2. Have oprettet en installation et sted i EU hos en uproblematisk leverandør
  3. Lave migreringstest

Alternativt overveje om det så er muligt at bruge AWS, Azure osv.