Hur ska man tänka kring molntjänster och datasäkerhet?

Hur ser riskexponeringen ut för ett företag som kör sina program och databaser i ett internt nätverk kontra ett företag som jobbar i en molnlösning?

– Man kan huvudsakligen dela in de olika säkerhetsrelaterade frågeställningarna i två delar: de som rör datasäkerhet utifrån att hindra intrång, och de som rör förlust av data på grund av haveri, oaktsamhet, felaktigt användande osv. Vad gäller det förstnämnda finns inget säkrare än att ha data på icke-nätverks- eller internetanslutna datorer då det är den vägen intrång typiskt sker, men inte alltid. I praktiken blir det dock väldigt tungrott att ha sin administration på det viset i och med att datorn man jobbar på inte får ha en uppkoppling för att uppnå denna säkerhet. Här gäller det också att hålla flera tankar i huvudet samtidigt, för när det gäller den andra riskkategorin är det tvärtom så att internet i praktiken är ett krav för att uppnå den redundans som krävs för att uppnå maximal säkerhet mot dataförluster och säkrad tillgång till de tjänster man förlitar sig på. Det handlar alltså om att sprida riskerna genom att via nätverk – i praktiken internet – ha kopior av det data man arbetar med. Det här är ju något som alla affärssystemleverantörer i dag har gjort till en del av sitt ­utbud, och de nyttjar även möjligheterna i nätet att jobba med dubbletter av de servrar som erbjuder programmen, för att på så sätt säkerställa maximal tillgänglighet till tjänsterna. Så i det ­läget är alltså internet en förutsättning för både säkrare data, och ökad tillgänglighet.

Den andra kategorin är enligt min erfarenhet den som ­drabbar användarna i allmänhet. Dvs att man har tappat sin dator, fått den stulen, hårddisken har kraschat, man har fått virus, osv. Denna kategori är väsentligt mycket mera förekommande än de som fått sitt data stulet via intrång utifrån, så min åsikt är att man bör kalkylera sina risker utifrån den verklighet man vill ­gardera sig för. Att jobba med datasäkerhet är ett hantverk och ett yrke i sig, så har man inte någon datasäkerhetsansvarig i den egna organisationen innebär molnlösningarna definitivt en ­säkerhetsnivå som annars är mycket svår att uppnå på egen hand.

”– Har man inte någon ­datasäkerhetsansvarig i den egna organisationen innebär molnlösningarna definitivt en säkerhetsnivå som annars är svår att uppnå på egen hand. ” 

Jag var nyligen inne på en ­molntjänstleverantörs webbplats där jag först möttes av rubriken ”Lagring av data i molnet ger ökad säkerhet” och sedan ”Eventuella utmaningar kring datasäkerhet och molntjänster”. Nu var det här en partsinlaga så vi kan nog stryka ordet ”eventuella”. Hur ska det här dubbla budskapet tolkas?

– Ja, hur lagring av data i molnet ökar säkerheten har jag varit inne på i svaret ovan – dvs genom redundant lagring av all viktig data, både separerad på flera platser, men också säkerhetskopierad över tid så att återställningar är möjliga med olika tidsintervall bakåt i tiden. Vad gäller utmaningarna är det ju så att det då också finns risker i det. Tjänsterna kan vara utsatta för intrångsförsök, och det är en ständigt pågående kamp att alltid ligga ­stegen före illvilliga aktörer. Men detta gäller ju även egna datorer med internetanslutning, så jag vill ändå hålla det för troligt att tjänsteleverantörernas förmåga överlag är större än de flesta ­användares att hålla det egna datat säkert.

När det gäller datasäkerhet;
vilka är de största riskerna och hur förebygger man dem?

– Dataförlust är det största hotet, och där skulle jag säga att man ska se till att använda en tjänst där detta ingår som en del av lösningen, så att du som kund helt kan tappa din dator och ändå inte förlora någon viktig data. Och sedan det som vanligtvis upprepas – man ska ha koll på sina lösenord, inte dela dem med någon, och se till att byta dem regelbundet. Använd tvåfaktors­autentisering där det erbjuds, osv. Lämna inte din dator ­obevakad eller i inloggat läge, oavsett om du använder en molntjänst eller lokal lagring.

Har jag som användare ett större ansvar för ­datasäkerheten när jag använder molntjänster än när jag jobbar lokalt?

– Njae, men ansvaret tar sig kanske lite andra uttryck. Att hålla koll på lösenord och inloggade lägen kan bli viktigare, och också säkerheten på din internetuppkoppling, medan vikten av att ­arbeta med egna backuplösningar, och ständigt upprepade tester av att dessa håller måttet, naturligtvis minskar dramatiskt.

Hur jobbar ni på Björn Lundén för att maximera datasäkerheten i era molntjänster?

– Vi jobbar med ledande bransch­experter inom både data­säkerhet, kommunikationssäkerhet och regel­verk/lagkrav och compliance. Av lätt insedda skäl är det svårt att prata mer i detalj om vad vi gör då det kan göra arbetet ogjort.