Sikkerhetsekspert: Å bruke skytjenester for jobb-lagring er som russisk rulett

Lagrer du av og til jobb-filer i Dropbox, Google Docs eller iCloud? Det er som å spille russisk rulett med bedriftens sensitive data, mener sikkerhetsekspert.

Antall alvorlige dataangrep mot norske bedrifter ligger an til å være dobbelt så høyt som i fjor.

Norske sikkerhetsmyndigheter har lenge jobbet for å gjøre bedrifter klar over de digitale farene, og stadig flere styrerom tar inn over seg hva som må til for å beskytte dataene internt.

Likevel er ikke alle kommet i mål, ifølge sikkerhetseksperter.

En undersøkelse blant ledere i 300 norske virksomheter viser at 53 prosent sier at de tillater at ansatte bruker private skytjenester i jobbsammenheng. Undersøkelsen ble utført av Norstat.

Dette er som å spille russisk rulett med sensitiv data, mener produktdirektør Geir Kalleberg i Datametrix, som bestilte undersøkelsen.

Innbrudd

Blant de mest vanlige skytjenestene som brukes i dag, er Dropbox, iCloud, Microsoft One Drive og Google Docs, der du kan sende og lagre dokumenter.

Når du lagrer et dokument hos en av disse tjenestene, kan du hente det frem igjen fra en hvilken som helst annen enhet, om du logger inn på tjenesten. I tillegg kan du dele dokumenter åpent og uten sikkerhet, om du velger det.

Det har flere ganger blitt kjent at uvedkommende personer har fått tak i informasjon fra private kontoer i skytjenester.

Blant annet da hackere fikk tak i nakenbilder av kjendiser som Jennifer Lawrence, Ariana Grande og Kate Upton, ved å bryte seg inn i deres iCloud-kontoer.

Bare i oktober ble det kjent at iCloud-kontoer i Kina ble hacket, og at hundrevis av Dropbox-passord ble lekket via en tredjepart.

Kalleberg i Datametrix peker at passordsikkerhet er en av de største farene ved skylagring.

– Mange bruker de samme passordene hjemme og på jobben, og kobler skytjenester mot bedriftens sensitive nett. Jeg savner at bedriften kartlegger reelt omfang og vurderer sikkerheten av det de ansatte gjør, sier Kalleberg.

Konkurrenter

Han forteller at bedrifter de møter ofte svarer at de ikke har så viktig informasjon.

– Da spør jeg om de ikke gjør avtaler, legger strategier og deltar i anbudsrunder, og hva som kan skje om intern informasjon om disse prosessene havner i hendene til konkurrentene, sier Kalleberg.

Seniorrådgiver Vidar Sandland ved Norsk senter for informasjonssikring (NorSIS) sier at man må være bevisst på hva man lagrer i nettskyer.

– Det er ikke stor fare knyttet til å lagre foredrag eller annen informasjon som ikke er sensitiv der, da skal det deles likevel. Men om det er bedriftssensitivt burde du kryptere informasjonen, sier Sandland til E24.

Kryptering

Han forteller at man kan kryptere informasjonen ved å for eksempel bruke WinZip, og legge på et passord. Da er informasjonen du lagrer like tilgjengelig, men det øker sikkerheten betraktelig.

– Hvis du tar disse forholdsreglene, så er det relativt trygt. Du burde også bruke totrinnsbekreftelse på sky-kontoen, noe som er tilgjengelig på alle de store tjenestene, sier Sandland.

Han skjønner godt at noen ønsker å bruke skyene i jobbsammenheng.

– Tjenestene gjør mye enklere, du må bare passe på sensitiv informasjon. Sikkerheten er ikke bedre enn brukernavnet og passordet du bruker, men om du også krypterer og legger på passord er det enda litt sikrere, sier Sandland.

God løsning

Han tror behovet for å være mobile er viktig for ansatte, og at behovet for skyløsninger ikke vil forsvinne.

– Men folk er ikke klar over hvor informasjonen som lagres i en nettsky ligger, om det er i Norge eller et annet land. Alle vet nå at etterretningsselskaper følger med, men vet man hvem andre som også kan få tilgang? spør Kalleberg.

Advokat Jon Wessel-Aas har også tidligere påpekt at folk burde være klar over hvor de nettskyene de bruker, lagrer informasjon, og hvor selskapet som eier den holder til. Dette etter at det ble kjent at amerikanske myndigheter kan få lovlig tilgang til norske e-poster.

– Det betyr først og fremst at folk må være klar over hvor selskapet holder til når de velger leverandør av lagringstjenester og e-poster. Det er ikke nødvendigvis norske lover som gjelder, sa Wessel-Aas.

Du har krav på å få vite hvor dataene oppbevares så lenge du kjøper tjenesten av noen som er etablert i Europa.

Les også:

Nettsky-forsker: - Norge tenker mer på sikkerhet enn prisApples iCloud utsatt for hackerangrep i Kina- Du må forutsette at passordet ditt havner i feil henderForbrukerrådet klager inn Apples iCloud-vilkår