Hvor sikkert er sikkert i skyen?

Hvor sikkert er sikkert i skyen?

Sikkerhetsvurderinger ved anskaffelse av skytjenester byr på en rekke utfordringer som mange i dag bruker store ressurser på. Hvordan kan bedrifter og offentlig sektor sørge for sikker behandling av data i skyen?

  • Sikkerhet
Motta nyhetsbrev fra Effektiv IT

Da Narvik og Moss kommune i 2012 ønsket å innføre bruk av skytjenester i sin offentlige forvaltning valgte Datatilsynet å bistå med risikovurderinger og juridisk veiledning. I samarbeid med leverandørene ble det forhandlet frem en databehandleravtale hvor forhold tilknyttet blant annet personopplysningsloven ble avklart.

Etter en grundig saksbehandling av sakene godkjente Datatilsynet bruk av skytjenester under visse betingelser. Forutsetningene for sikker bruk av skytjenester krever en grundige risiko- og sårbarhetsundersøkelse, en godkjent databehandleravtale i tråd med norsk lov og jevnlige sikkerhetsrevisjoner. Leverandørene av skytjenestene, i dette tilfellet Google Docs og Microsoft 365, valgte å tilpasse sine avtaler til disse kravene og anbefalinger fra Datatilsynet.

I stortingsmeldingen "Digital agenda for Norge" er det lagt opp til at det skal utarbeides en veileder, kravspesifikasjoner og standardavtaler for offentlige og private virksomheter som ønsker å ta i bruk skytjenester. Slike avtaler tar både hensyn til personopplysningsloven som sikrer personvernet og bokføringsloven som sikrer innsyn for skattemyndigheter.

Internasjonalt press for strengere lovverk

I etterkant av Edward Snowdens avsløringer ønsker Europakommisjonen en gjennomgang av lovverket for internasjonal datatrafikk.  «Safe Harbour»-avtalen mellom USA og EU skal sikre at personopplysningene behandles i henhold til EUs personverndirektiv men «sertifiseringen» blir kritisert for manglende oversyn og kvalitetskontroll.

«Safe Harbour»-sertifisering innebærer et selvpålagt krav om tiltak for sikkerhet mot datainnbrudd og innsyn ved politietterforskning. Siden sertifiseringen ikke krever godkjenning av en utenforstående part oppleves slike systemer som vilkårlige. USA har i tillegg antiterrorlovgivning, som Patriot Act, som sikrer myndighetene tilgang på bakdører inn i skytjenester.

Utfordringer ved anskaffelser av skytjenester

Selv om mange prinsipper for sikre skytjenester er på plass ligger fortsatt ansvaret og behovsanalysen hos det enkelte firma. Interesseorganisasjonen IKT-Norge har lenge bistått med å avklare de mange utfordringene bedrifter står ovenfor i slike anskaffelsesprosesser.

- Det største utfordringen er å vite hvilke data bedriften har i utgangspunktet og ut i fra det forstå sitt reelle sikkerhetsbehov. Hva er det de trenger å beskytte seg mot og så ta de rette beslutningene og stille krav på bakgrunn av dette, sier Torgeir Waterhouse i IKT-Norge til Effektiv IT.

- Med en bred tilnærming til problemstillingen må man skille mellom forskjellige typer data. Man har data som det er greit alle ser, hvis det er slike data man har er ikke sikkerhetsaspektet så viktig. Hvis det er data som er sensitive i en kort periode er det viktig at dette lagres sikkert i den perioden, mens hva som skjer etterpå ikke er så viktig. Du har data som det er krise å miste og du har data som det er greit at andre ser, forteller Waterhouse.

- Hvis data er driftskritiske må man stille helt andre krav til leverandøren. I dette landskapet må man gjøre vurderinger rundt tilliten til at data lagres i USA eller Europa. Når det gjelder «Safe Harbour»-avtalen handler dette om hvordan data beskyttes mot f.eks. NSA mer enn det handler om du kan stole på leverandøren. Det er stor forskjell på å beskytte data mot hackere eller mot NSA. Her må man være bevisst forskjeller i lovgivning fra land til land, sier han.

Avtaleverk og retningslinjer for anskaffelser av skytjenester

- Noen aktører har egen sikkerhetskrav som eksempelvis at data må lagres i Norge. Vi i IKT-Norge har avtaleverk som er tilpasset forskjellige krav. Det er i hovedsak to typer krav. Den ene er at du får satt opp en egen skytjeneste tilpasset dine krav, da kommer du langt med egne avtaler. I det man kaller «public cloud» må man akseptere tjenesten og vilkårene slik de er. Da er vi tilbake til å vurdere hva som er viktig for deg. Det viktigste man kan gjøre er å forstå hvilke data man har og hvilke lover og regler som gjelder for slike data. Det som er interessant er at man uansett må gjøre slike vurderinger uavhengig av om man bruker skytjenester, forklarer Waterhouse.

- Binding Safe Processor Rules handler om leverandørens beskrivelse av hvordan sikkerheten ivaretas. Kan vi stole på at folk gjør det de sier de skal gjøre? Vi er så vant til tilliten til eksempelvis banker, sykehus, strømleverandører eller bilverksted. Diskusjonen om å kunne stole på eksterne leverandører har vi hatt lenge - det er ikke noe nytt at vi må stole på leverandørene.

- Man har fortsatt en ide om at det sikkert fordi man lagrer data lokalt. Da kan den lokale IT-sjefen eller rådmannen gå ned i en kjeller å se på en fysisk boks og tenke at her er det sikkert. Det er ikke noe mer sikkerhet ved lokale lagring, sånn er det ikke med digital filer. IKT-Norge har lagd en guide for outsourcing som hjelper aktører i å ta de riktige beslutningene. Det vi trenger er bevisstgjøring i et samfunn hvor man lærer mens man går. Vi må være bevisste på hva vi har av data og hvilke sikkerhetsvurderinger som er relevante, avslutter Waterhouse.

Til toppen