Gæstebloggen

Pas på lokkende salgstaler om clouden: Ansvaret for dine data ligger stadig hos dig

Medmindre du har sovet under en sten, så er du nok bekendt med, at stadig flere virksomheder søger mod skyen, hvad end det er i forbindelse med eksekvering af applikationer, servere eller de mere gængse arbejdsværktøjer såsom Microsoft Office 365, Teams og lignende.

Og der er fart på rejsen til skyen. Microsoft ramte over 200 millioner månedlige brugere af Office 356 med over 3 millioner nye brugere hver eneste måned siden november 2015. Den seneste vækst ser vi hos kommunikationsplatforme med mulighed for at afholde videokonferencer såsom Microsoft Teams på grund af den verserende COVID-19 pandemi.

Alene i april måned voksede Teams’ brugerskare med over 70 procent til 75 millioner daglige brugere – i Italien alene lå tallet på 775 procents vækst.

Der er altså mange, som rykker mod skyen, hvad end det er Microsoft, Google eller sågar Salesforce, verdens mest benyttede CRM-platform, som har været en SaaS-platform siden .com-bølgen.

Frederik Schouboe er CEO og medstifter af den danske it-sikkerhedsvirksomhed Keepit, som beskæftiger sig med backupløsninger af virksomhedsdata i skyen. Illustration: Keepit

Salgstalerne går på stabilitet, 24/7-tilgængelighed til data og ikke mindst ”skalerbarhed,” som hjælper mange virksomheder med hurtigt at kunne tilpasse sig vækst eller pludseligt opståede situationer – som eksempelvis COVID-19. Hele cloud-bevægelsen er i mine øjne en af de mest afgørende industrimæssige
revolutioner i nyere tid og vil være grobund for vækst i mange år frem, jo flere som udnytter fordelene i skyen.

Cloud er mere sikkert end on premise, men…

Samtidig lover cloud-udbyderne sikkerhed, og der er ingen tvivl om, at dataene i Microsoft og Googles datacentre er nogle af de bedst sikrede i hele verden. Langt mere sikre end hvad end jeres virksomhed kunne opbygge i jeres eget serverrum.

Men det betyder ikke, at det dermed er beskyttet, når der sker noget med jeres data. Skrevet med småt er dataenes velbefindende stadig virksomhedernes eget ansvar, hvilket mange virksomheder ikke er bevidste om. Det betyder, at hvis en virksomhed bliver ramt af et ransomware-angreb, som også rammer cloud-dataene, så står du på egne ben.

Det var præcis, hvad der skete i 2017 under NotPetya for Maersk. Imens Maersk havde en synkronisering af al deres data, heriblandt deres Active Directory, så havde de ingen point in time-backup, skulle alle servere gå ned på samme tid, og det er præcis det, der skete i forbindelse med Petya. Det betød, at Maersk var fuldstændig lammet uden en centraliseret backup.

Vi andre er ikke Maersk og kan ikke bare ringe til Microsofts CEO – og selv med den mulighed tog det Maersk flere måneder at komme oven på igen. SaaS udbyderne er kun ansvarlige for at opretholde deres tjeneste – ikke for at sikre dine data. Det ansvar ligger stadig hos dig, præcist som det gjorde med lokalt installerede software programmer.

Herunder finder du tre konstruktive og relativt overkommelige råd til, hvordan du allerede fra starten af beskytter dine data i skyen.

1: Kend din cloud-udbyders begrænsninger

Hvis du havde opbevaret alle dine ejendele hos et storage-hotel, vil jeg vædde med, at du havde en god række spørgsmål: Hvordan er mine ting beskyttet, hvem passer på det, kan jeg altid tilgå mine ting, hvad sker der, hvis det hele brænder ned og har I en forsikring?

Det samme bør du tænke, når du overvejer cloud platforme: Eksempelvis byder Microsoft på en oppetid på 99,9 procent og markedets højeste fysiske og digitale sikkerhedsniveau, men når den 0,01 procent sker, og du ikke kan tilgå forretningskritiske data, så er der ingen hjælp at hente. Eller værre endnu: hvis du mister data fx som følger af hackers eller fejlagtig sletning af data – ligger Microsoft ikke inde med en opdateret sikkerhedskopi.

Derfor skal du kende de begrænsninger, som hver platform har, hvad angår it-sikkerhed. Kun på den måde er det muligt at opbygge et ordentligt sikkerhedsniveau.

2: Opbyg første barrikade: dine ansatte

Cloud-platformenes sikkerhedsniveau er skyhøjt (hø hø), men en kæde er ikke stærkere end det svageste led.

Det kræver blot en phishing-mail, og så er hele virksomheden lagt ned. Derfor skal du have inkorporeret ordentlige sikkerhedspolitikker på, hvordan ansatte tilgår dataene i skyen, men lige så meget deres adfærd i forbindelse med at åbne filer i mails og så videre. Det er skræmmende banalt, men det er samtidig en af de mest almindelige årsager til succesfulde cyberangreb.

Dertil kommer en ordentlig brugerkontrol. Organisationer administrerer op til tusindvis af ansatte og brugere, der får adgang til cloud-applikationer og -tjenester, hver med forskellige roller, rettigheder og behov.

Og husk lige at følge op på deres kodeord. I 2019 var det igen 12345, som var det mest benyttede kodeord i verden…

3: Backup af cloud-data

Pudsigt at en backup-mand anbefaler, at du tager backup af dine data. Men når alt kommer til alt, så er den bedste sikring af dine cloud-data, at du har regelmæssige kopier, som du gemmer andetsteds. Det mest anbefalelsesværdige er en cloud-orienteret version af den klassiske 3-2-1-plan med tre kopier, hvoraf mindst én er gemt offsite, altså på en anden lokation end din SaaS udbyder.

Microsoft har en skraldespandsfunktion i stil med den på dit skrivebord, men har filerne ligget der i 30 dage, eller bliver de aktivt slettet forinden, så er der ingen hjælp at hente, ingen backup. Det samme gælder platforme som Google Drive og Dropbox.

Derfor skal du have en backup – og det er fuldstændig lige meget, om du har den on premise eller hos en udbyder: Den bedste backup du kan få, er en du rent faktisk foretager.

Relateret indhold

Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Microsoft og Googles datacentre er nogle af de bedst sikrede i hele verden

Hvordan ved vi dette? Er der nogen der læser dette, der selv har gennemgået sikkerheden hos fx MS, Google eller AWS?

Nå jeg skriver gennemgået, så mener jeg ikke at man har læst hvad de selv skriver, men at man har besøgt en eller flere af dem og konstateret med egne øjne at sikkerhedssetuppet er så godt som det siges og at det gælder både det fysiske og det logiske.

  • 8
  • 0
#4 Rune Hansen

The Big hack: https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-chin...

Har desuden svært ved at se hvorfor man som virksomhed bør benytte nogen af de tre populærer udbydere. Der er kun en eneste ting: Deep learning (træning af modeller), da det giver god mening at “leje” 200 tpu’er eller cpu’er i 20 minutter frem for at købe dem. Alt andet er “varm luft” og bekostelig dovenskab.

  • 1
  • 0
Log ind eller Opret konto for at kommentere