Fortifikationsverket, en svensk myndighet specialiserade inom området skydd av kritisk infrastruktur, varnar för okritiskt användande av molntjänster för affärskritisk data.
I gårdagens upplaga av Svenska Dagbladet riktar Henrik Thernlund, säkerhesskyddschef på fortifikationsverket, skarp kritik till företag för deras vårdslösa hantering av affärskritisk kritisk data.
”Företagsledningarna har ingen aning om hur illa de hanterar sin affärskritiska data, de är blåögda och förlorar affärer på det”, säger Thernlund och poängterar att företagsledningar ofta inte ens är medvetna om att deras data hanteras och lagras i främmande länder där företagsspioneri är utbrett.
I flertalet länder, ofta lågkostnadsländer med utbredd korruption, är industrispionage som avlyssning och kopiering av data en utbredd verksamhet. Tyvärr är kryptering inte någon garanti för konfidentialitet då myndigheter i många länder kräver tillgång till alla kryptonycklar.
Som boende och uppvuxna i en stark demokrati med låg korruption där integritet och datasäkerhet värderas högt, har svenska företag en ofta blåögd inställning till hur deras data hanteras. Även om man kan vara medveten om att risker finns och därför säkerställt att till exempel finansiella system och CRM är placerade inom landets gränser, så kan backuper ofta lagras i lågkostnadsländer. Att anlita ett svenskt företag är inte heller med automatik en lösning på problemet då många av dessa använder sig av datacenter i lågkostnadsländer för drift och lagring av sina tjänster. Tyvärr är många molnleverantörer benägna att sopa problemen med industrispionage och avlyssning under mattan. Dels beroende på att de tjänar på att ha datacenter, support och liknande i lågkostnadsländer men även på grund av att många leverantörer av molntjänster på grund av tekniska begränsningar har svårt att garantera att kunders data alltid lagras i ett specifikt land eller på en specifik plats
Henrik Thernlund nämner också de risker som kunder löper genom att använda använda propreitära applikationer för affärskritisk data. Detta kan göra att företagets data är svårt eller till och med omöjlig att exportera eller återskapa om man av någon anledning vill avsluta förbindelsen med leverantören.
Molntjänster har många fördelar som skalbarhet och flexibilitet och de allra flesta företag har mycket att tjäna på att implementera dem. Artikeln visar dock på hur viktigt det är att göra detta på ett genomtänkt och säkerställa att den lösning som implementeras är säkert för intrång och dessutom att all data fortfarande tillhör kunden och enkelt kan återtas eller föras över till en annan leverantör.
För de flesta företag är det en god start att dels kräva av sin leverantör att deras data inte förs utanför landets gränser. Detta kombinerat med att användandet av standardapplikationer för molntjänster och undvika leverantörsspecifika lösningar är en bra grund för införande av en säker och effektiv molntjänst. Givetvis skall man också säkerställa att SLA är enligt praxis och nästan ännu viktigare, se till att leverantörens supportorganisation klarar av att hantera eventuella problem som uppstår.
