Mens den juridiske debat raser om de store amerikanske cloud-udbydere, melder et andet og mere positivt perspektiv sig på banen. En typisk dansk virksomhed er bedre garderet mod hacking, hvis den lægger sine it-systemer hos en veletableret cloud-udbyder, end hvis den har sine egne servere stående.
Sådan lyder vurderingen fra Thomas Lund-Sørensen, som er chef for Center for Cybersikkerhed.
– Der er rigtig mange danske virksomheder og privatpersoner, som vil være rigtig godt tjent med at anvende en god cloud-løsning ud fra en sikkerhedsmæssig betragtning, siger han.
Thomas Lund-Sørensen anbefaler ikke specifikt, at man bruger de store amerikanske cloud-udbydere. Han vurderer, at der findes europæiske alternativer. Men hvis man vil sikre sig mod hacking, gør man klogt i at finde en veletableret spiller, siger han.
– Hvis man driver en cloud-løsning med en vis størrelse og et vist rygte, så er der – alt andet lige – et meget større fokus og en meget større ekspertise inden for sikkerhedsmæssige dimensioner, end der typisk vil være i en lille virksomhed, siger cybersikkerhedschefen.
Juridiske spørgsmålstegn
Der er på det seneste rejst store juridiske spørgsmålstegn ved amerikanske cloud-udbydere som Amazon Web Services, Microsoft Azure og Google Cloud. Derfor er det usikkert, hvordan virksomheder i EU fremover kan lagre persondata hos de amerikanske udbydere på lovlig vis – af den simple årsag, at man risikerer overvågning fra den amerikanske stat, og det rimer dårligt på GDPR.
Når vi har sikkerhedshændelser i Danmark, er der ofte ikke det fulde overblik over, hvordan netværket egentlig er skruet sammen
Thomas Lund-Sørensen, chef for Center for Cybersikkerhed
Mens debatten raser i EU, er det fra et hacking-perspektiv en god idé at gå med en af store udbydere.
– Hvis du driver en moden cloud-virksomhed, har du nogle helt faste protokoller og standarder for, hvordan man sikrer sikkerheden. Og hvordan man håndterer sikkerhedshændelser. Får man et ry for dårlig it-sikkerhed, har man ikke så meget forretning, siger Thomas-Lund Sørensen.
Danskere har rod i teknikken
Når virksomheder driver deres egne servere, skal de selv være opmærksomme på sårbarheder, opdateringer og logning. Og det går ofte galt, forklarer Thomas-Lund Sørensen.
– Når vi har sikkerhedshændelser i Danmark, er der ofte ikke det fulde overblik over, hvordan netværket egentlig er skruet sammen, fastslår han.
Og dén usikkerhed skaber problemer. Hackertruslen er i vækst, og hackere leder med lys og lygte efter sprækker hos danske virksomheder. I den seneste trusselsvurdering fra Center for Cybersikkerhed kan man læse, at hackerne har oprustet og fundet på nye kneb under Covid-19-pandemien.
”Ændringerne betyder, at danske virksomheder og myndigheder står over for kriminelle netværk med nye værktøjer og måder at angribe på”, står der.
Intet er helt sikkert
Det er sværere at hacke sig ind hos de store cloud-udbydere, siger Thomas Lund-Sørensen, men risikoen er ikke lige nul.
– Der er to ting, der gør cloud-leverandørerne attraktive for hackere. Det ene er, at de har behov for stor oppetid. Derfor kan et angreb mod udbyderen være rigtig interessant, set med kriminelle hackeres øjne. Den anden ting er muligheden for spionage. Hvis hackeren kan komme ind og få adgang til en cloud-udbyder, så kan han måske også få adgang til udbyderens kunder, forklarer Thomas Lund-Sørensen.
Men hans overordnede anbefaling står ved magt:
– For langt de fleste vil en cloud-løsning give mindre virksomheder en større sikkerhed end det, de selv kan præstere. Der er mange positive ting at sige om cloud computing, siger han.
Thomas Lund-Sørensen, den amerikanske stat kan tvinge sig til data hos amerikanske cloud-udbydere. Er det et sikkerhedsproblem for danske virksomheder?
– Jeg vil hellere angribe det på en anden måde: Man skal altid lave en risikovurdering ved valg af ekstern it-leverandør. Og hvis den risikovurdering går på, at man lægger data op, som ikke er sensitive, så er det ikke et problem. Men meget tit er der tale om data, der har en mere varieret karakter. Her er risikovurderingen det instrument, der sikrer, at man får stillet de rigtige krav til den beskyttelse, som de forskellige data har brug for, siger Thomas Lund-Sørensen.
– Set med mine GDPR-lægmandsøjne står vi i et vadested, hvor man er nødt til at sikre sig specifikt, at den lovgivning, vi er underlagt i Europa, faktisk bliver overholdt, også når vi bruger cloud-løsninger udenfor EU, siger han.