Virksomheder sender følsomme data i skyen lige til at opsnappe

Rigtig brug af kryptering kan ifølge fagfolk være et godt redskab til at sikre kontrol over følsomme data, når man lægger dem i skyen. Alligevel er det kun de færreste som har indført kryptering.

Kun en tredjedel af virksomhederne krypterer altid følsomme data, som opbevares i skyen.

Det viser en ny undersøgelsen blandt 5.000 virksomheder, kaldet Global Encryption Trends Study, som er sponsoret af Thales e-Security and Vormetric.

Den manglende beskyttelse indebærer, at følsomme oplysninger relativt nemt kan opsnappes af både efterretningstjenester og hackere.

I Danmark er følsomme oplysninger defineret som oplysninger om f.eks. helbred, medlemsskab af fagforening, væsentlige sociale problemer og som skal opbevares under en høj sikkerhedsmæssig beskyttelse.

Situationen forværre af, at stadigt flere lægger følsomme oplysninger i skyen - faktisk mere end halvdelen ifølge undersøgelsen.

Yderligere 28 procent forventer, at de er vil lægge fortrolige eller følsomme data i skyen i de næste 12 til 24 måneder.

Med andre ord forventeret altdominerende flertal at gemme sådanne data i skyen senest i 2018.

Behold nøglen selv

Datatilsynet anførte i en artikel på Version2 i december, at kryptering ikke er et gyldigt overførselsgrundlag. Tager man det ad notam er kryptering altså om ikke ligegyldig, så ikke godt nok.

Der skal altså andre garantier på bordet som - måske - kan være afløseren for Safe Harbor, den såkaldte EU-U.S. Privacy Shield-aftale. Den vurderes pt. af databeskyttelsesmyndighederne for, om den yder et tilstrækkeligt grundlag.

Læs også: Datatilsynet vil ikke anerkende kryptering af persondata som alternativ til Safe Harbour

Men lytter man til professor Ivan Damgaard, Aarhus Universitet, så er han uenig i, at kryptering ikke er et velvalgt redskab til at beskytte data med.

Han har tidligere udtalt til Version2, at det vigtige for at bevare kontrollen med ens data under opbevaring i skyen er, at krypteringen overholder de gældende AES-standarder, og at man håndterer nøglen på den rigtige måde.

I den sammenhæng er det afgørende, at man selv håndterer nøglen.

Dr. Larry Ponemon, formand og stifter af The Ponemon Institute, fastslår også, at det er vigtigt, at alle typer af data krypteres ordentligt, uanset hvor de er gemt.

»Kæmpe datalæk og cyberangreb har gjort det til en hastesag i virksomhederne at forbedre deres sikkerhedsniveau, og kryptering vil stadig være en klar indikator på en stærk position på området,« siger han til Zdnet.

Som udgangpunkt kan resultatet tolkes således, at de it-ansvarlige opfatter fordelene ved cloud computing som større i forhold til de risici, der er forbundet med at lægge følsomme eller fortrolige data i skyen.

Dog er der stor forskel i tilgangen til data af den art, når man ser på forskellige lande.

Tyskland er kendt for at være verdens mest strikse land, når det gælder fortolkningeen af, hvad der er en sikker opbevaring af følsomme data. Det ses bl.a. ved, at myndigheder i landet var blandt de første til at reagere på Safe Harbor-dommen og gribe ind over for overførsel af tyske persondata til USA.

Men også den udvikling, hvor Deutsche Telekom skal drive et datacenter for Microsoft, viser for mange, at tyskerne gerne vil være herre over egne data.

Over 61 procent af de tyske respondenter i undersøgelsen angiver, at deres organisation har indført en omfattende krypteringsstrategi.

I den modsatte ende af skalaen finder man Australien og Mexico, hvor kun 26 procent angiver det samme.

4 ud af 10 har ingen beskyttelse

Hvor hver tredje som nævnt har en totaldækkende kryptering, har 44 procent af virksomhederne en eller anden kryptering af data i skyen, mens 39 procent angiver, at de har ingen planer om beskyttelse.

Faktisk angiver hver anden, at den mest største trussel mod at følsomme eller fortrolige data kommer i de forkerte hænder er medarbejderfejl.

Kun lidt over en fjerdedel mente, at hackere og cyberkriminelle faktisk udgør en stor trussel mod tab af data.

Ser man på dataniveau er medarbejder- og HR data, sammen med betalings-data den type data, der oftest krypteres.

Muligvis vil afløseren for Safe Harbor-regimet, som der er kommet på bordet, i fremtiden kunne udgøre et nyt anerkendt grundlag for at opbevare følsomme data på amerikanske cloudtjenester.

De europæiske databeskyttelsesmyndigheders fælles persondatagruppe, Artikel 29-gruppen, er i gang med at studere det nærmere indhold af det nye ”EU-U.S. Privacy Shield”, som er en aftale mellem EU-Kommissionen og de amerikanske myndigheder og som er tænkt som en afløser for Safe Harbor-ordningen.

Gruppen forventes i april 2016 at færdiggøre en analyse af ”Safe Harbor-dommens” betydning for bl.a. de øvrige overførselsgrundlag og derefter komme med en udtalelse.

Taler vi brug af indiske eller kinesiske servere eller cloudtjenester er sagen en helt anden. Her skal man selv sikre et juridisk grundlag, som dokumenterer, at data overføres og opbevares som de skal ifølge den europæiske persondatalovgivning.

Global kryptering og Key Management Trends blev første gang gennemført i 2005.

Kommentarer (4)

Claus Juul

Hvordan sikre en virksomhed der ikke er teknologi specialister, at de sikre data (kryptere) på den rigtige måde? For mange virksomheder vil det bare ikke være muligt at gennemskue hvilke løsninger der er gode nok, hvis kryptering blev accepteret som en valid måde at komme uden om problamatikken vedr. Hvor data gemmes i skyen.

René Nielsen

Man kan komme langt med et par konsulent timer, sværere er det ikke

Enig - men folk skal jo vide det!

For nogen tid siden hvor vi sad med nogle venner opdagede jeg at "hun" sendte "hjemmearbejdet" op på Dropbox således at hun kunne tilgå det hjemmefra.

Regneark med CPR, religion, adresser - hele svineriet for en skole (klasselister). Det vidste hun da ikke, at de må man ikke for IT havde hjulpet med at få Dropbox op at køre.

Jeg sagde hun burde bruge VeraCrypt og en USB nøgle - men hvad siger i? For jeg mener slet ikke at Dropbox er lovlig til den slags personfølsomme oplysninger!

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen