Op mod 90 procent af de cloud-services, som bliver brugt i virksomheder, har aldrig fået det blå stempel i firmaets it-afdeling og fører i stedet en tilværelse som såkaldt skygge-it, hvor både jura, it-sikkerhed og kontrol med egne data kan blive ofret.

Den opsigtsvækkende påstand kommer fra Peter Koch, partner og salgsdirektør i den nordsjællandske infrastrukturleverandør Credocom, som i sidste uge gav et indlæg ved it-sikkerhedskonferencen Infosecurity i København.

»Ud af den samlede sum af cloud-services, som en virksomhed trækker på, er det typisk omkring ti procent, som er sanktioneret af firmaets it-afdeling,« siger Peter Koch, som samtidig afliver myten om, at det meste skygge-it består af familiefotos eller private Dropbox- og Skype-konti.

»Af de 90 procent, der ligger derudover, er det cirka tre fjerdedele, som bliver brugt direkte i business-sammenhæng. Det kan være helt enkle services som eksempelvis billed- og dokumentbehandling. Men vi ser også hele afdelinger, der går på nettet og finder fælles CRM- eller collaborations-værktøjer,« siger Peter Koch.

Han understreger, at brugen af skygge-it ikke i sig selv er en dårlig ting, men at det skal kontrolleres og være synligt. Ellers kan det får store konsekvenser for virksomheden.

»Lige her og nu er det mest akutte problem, at den udbredte brug af de her services betyder, at virksomhederne ikke vil kunne leve op til kravene i GDPR (EU’s kommende persondataforordning, red.). Men det udgør også et sikkerhedsproblem.«

»Der er sjældent styr på, hvilke data man lægger op, og hvordan de bliver behandlet af serviceprovideren. Vi ser eksempler på, at man via accept af brugerbetingelserne afgiver rettigheder til sine data, eller at man pludselig har sagt ja til, at data kan blive delt med andre brugere,« fortæller Peter Koch, som illustrerer sin pointe med en opfordring til at granske sin samvittighed.

»Spørg dig selv, om du har læst Dropbox’ brugerbetingelser fra ende til anden. Det har du med 99 procent sikkerhed ikke. Ikke fordi Dropbox er nogle banditter, men fordi det illustrerer, hvor ukritisk brugerne anvender de services, der er tilgængelige,« lyder det fra Peter Koch.

Han fortæller også historien om en virksomhed, der hævdede, at man udelukkende brugte CRM-ydelser fra Salesforce. Men en monitorering af virksomhedens it-systemer og medarbejdernes klienter fandt hele 53 andre CRM-systemer, som var i brug.

Eksemplet illustrerer ifølge Peter Koch, at brugen af uautoriserede services har et større omfang, end de fleste tror.

»Når vi er ude hos kunder, ser vi typisk, at deres ansatte tilsammen bruger mere end 1.000 forskellige cloud services, som hver især udgør et både juridisk og sikkerhedsmæssigt problem. Den gode nyhed er så, at der er findes værktøjer, der dels sætter tal på omfanget og kontrollerer, om de mange forskellige services kan give virksomheden problemer.«