Lektor om sikkerhedsbrud i skyen: Leverandører står ikke alene med ansvaret

Illustration: NO_CREDITS
I en ny undersøgelse svarer hver omkring tredje adspurgte it-professionelle, at det udelukkende er cloud-leverandøren, som har ansvaret for sikkerheden i skyen. Det er bekymrende, og ansvaret er delt, lyder det fra ekspert i it-sikkerhed.

Virksomheder og organisationer med cloud-løsninger i deres it-infrastruktur kan ikke nøjes med at skyde ansvaret over på system-leverandøren, hvis der er et sikkerhedsbrud i skyen. Sådan lyder det fra Søren Debois, der er lektor og ekspert i it-sikkerhed ved ITU.

Reaktionen kommer på baggrund af en undersøgelse om sårbarheder i cloud-systemer som er gennemført af it-virksomheden Check Point. I undersøgelsen svarer 30 procent af de adspurgte it-professionelle, at det udelukkende er leverandøren, som er ansvarlig for cloud-sikkerheden og derfor bærer skylden i tilfælde af et sikkerhedsbrist.

Men sådan hænger det ikke sammen, og en virksomhed kan ikke bare fraskrive sig enhver form for ansvar efter at have købt et bestemt system, lyder det fra Søren Debois.

»Jeg er uenig i, at sikkerhedsansvaret kun ligger hos cloud-leverandøren. Der skal naturligvis tilbydes en sikker tjeneste, men den enkelte virksomhed, som bruger løsningen, skal sørge for, at tjenesten bliver sat ordentligt op og bliver brugt på en forsvarlig måde,« siger Søren Debois.

Som at sætte hegn op

Af undersøgelsen fra Check Point fremgår det, at 65 procent af de adspurgte har undervurderet skaderne ved cyberangreb, der rammer skyen, og ifølge ITU-lektoren følger der altid nye sikkerhedsudfordringer og risici med ved at bruge cloud-løsninger.

Han påpeger, at det er vigtigt at have sikkerhedsudfordringerne for øje, når en virksomhed overvejer at benytte sig af cloud-løsninger. Man skal blandt andet være opmærksom på, hvilke enheder man bruger til at logge på skyen med, hvem man deler filer med, og hvor filerne bliver gemt. Derudover er det op til de enkelte virksomheder og medarbejder at sikre almindelig beskyttelse gennem stærke kodeord og forsvarlig anvendelse af it-udstyret.

»Der er ingen systemer, som er mere solide end det svageste led. Sikkerheden i et cloud-produkt kan være nok så god, men det nytter ikke noget, hvis virksomheder og medarbejderne ikke selv sørger for at bruge systemerne med omtanke. Man skal være bevidst om, hvilke filer og data der opbevares i skyen, fordi disse filerne vil være mere udsatte, end hvis de lå lokalt på computeren. I skyen er du i princippet aldrig alene på skærmen, og man involverer i højere grad andre i sine data. Det åbner op for nye angrebsmuligheder,« siger Søren Debois.

Udover adfærdsændringer og overvejelser om, hvilke filer, der skal lægges i skyen, har den enkelte virksomhed også en forpligtelse i forhold til opsætning og implementering af it-infrastrukturen, lyder det fra Søren Debois.

»Det er ligesom at købe et hegn og så selv sætte det dårligt op. Det er jo ikke hegn-firmaets skyld.«

Phishing-angreb kan være et godt tegn

Ifølge Søren Debois er sikkerhedsniveauet højt hos de fleste større udbydere af cloud-tjenester, men det betyder ikke, at brugeren er ansvarsfri i forhold til anvendelsen af produkterne. Han peger på, at det generelt høje sikkerhedsniveau i systemerne kan være en af årsagerne til, at it-kriminelle i stadigt større omfang bruger andre angrebsstrategier, hvor det er medarbejderne, som man forsøger at udnytte.

»Man ser flere og flere forsøg på phishing-angreb, og det er på en måde et godt tegn, fordi man her udnytter uopmærksomhed fra brugeren i stedet for fejl eller huller i selve it-systemet. Det kan måske sige noget om, at systemerne har et vist sikkerhedsniveau i sig selv. Derfor er det vigtigt, at den enkelte virksomhed sørger for at uddanne medarbejderne, så de kan gennemskue den form for angreb,« siger han.

Hold fokus på udfordringen

En publikation fra Danmarks Statistik (side 8) viste, at halvdelen af danske virksomheder brugte cloud-computing i 2017, hvilket var en stigning på 13 procentpoint i forhold til tallene for 2014. Og fordi cloud-løsningerne giver virksomheder og organisationer adgang til it-ressourcer via internettet uden at skulle opbygge og vedligeholde egne it-systemer, er der god grund til udviklingen, mener Søren Debois.

»Al it-sikkerhed handler om afvejning, og cloud er ofte en billig og forholdsvis sikker model. Hvis jeg var en virksomhed, ville jeg da også holde et øje på cloud-løsninger, og det gælder også i det offentlige for blandt andet kommuner,« siger han og tilføjer:

»Det er bare vigtigt, at man også husker på, at man har et ansvar i forhold til ordentlig behandling og opbevaring af skrøbelig data. Virksomheder skal dog blive mere bevidste i forhold til at opbevare vores data forsvarligt, men det betyder ikke, at man skal holde sig fuldstændig væk fra cloud-løsninger. Det er en teknologi, der rummer en masse muligheder og som kan være effektiv og sikker, hvis den bruges forsvarligt. Derfor er det også vigtigt at holde opmærksomheden på, hvordan vi bruger skyen, og hvilke udfordringer det medfører.«

Skriv gerne din mening i Version2-debattten herunder. Hvem har det primære ansvar for sikkerhedsbrister i skyen?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...om bristen er i infrastrukturen (f.eks. i Office365) eller om bristen er på brugerens PC / eller brugeren selv.
* f.eks. vil Ransomware som kommer ind via brugerens PC er delt ansvar fordi der findes måder at detektere ransomware angreb på.
* Et angreb direkte på kundens Office365 tenant uden at kunden direkte er involveret er leverandørens problem.
* Et angreb som går efter at indsamle data fra kundens Office365/Dynamics365/Azure og går gennem kundens PC vil til enhver tid være kundens ansvar da skyen vil se det som legitim adgang.

NB. Microsofts platform er valgt i eksemplet fordi alle kender det og ikke fordi der er noget specifikt galt med det.

Log ind eller Opret konto for at kommentere