Sikkerhetsbyråer Høydepunkter Cloud Computing Risiko

Cloud computing-brukere står overfor problemer, blant annet tap av kontroll over data, vanskeligheter som viser overholdelse og ytterligere juridiske farer når data går fra en juridisk jurisdiksjon til en annen, ifølge en vurdering av cloud computing-risiko fra det europeiske nettverket og informasjonssikkerhetsbyrået (ENISA).

Byrået fremhevet disse problemene som de mest alvorlige konsekvensene og er blant de mest sannsynlige for selskaper som bruker cloud computing-tjenester, ifølge ENISA.

ENISA undersøkte de eiendelene som selskapene legger i fare når de slår å cloud computing, inkludert kundedata og eget rykte; Sårbarhetene som finnes i cloud computing-systemer;

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Når du flytter til skybaserte datatjenester, må bedrifter ha hånden over kontroll til skyleverandøren på en rekke problemer, noe som kan påvirke sikkerheten negativt. For eksempel kan leverandørens bruksvilkår ikke tillate portscanninger, sårbarhetsvurdering og penetrasjonstesting. Samtidig kan servicenivåavtaler (SLAer) ikke inkludere disse tjenestene. Resultatet er et gap i forsvar, ENISA sa i rapporten.

Overholdelse kan også vise seg å være et stort problem dersom leverandøren ikke kan tilby de riktige nivåene av sertifisering eller sertifiseringsordningen ikke er tilpasset for skygtjenester, sier rapporten.

En av fordelene med skygtjenester er at data kan lagres på flere steder, noe som kan lagre dagen i tilfelle en hendelse i et av datasentrene. Det kan imidlertid også være en stor risiko hvis datasentrene er lokalisert i land med et rystet lovsystem, ifølge rapporten.

Andre bekymringsområder er leverandørlåsing, manglende mekanismer som skiller forskjellige selskaper, styringsgrensesnitt som får tilgang til hackere, data ikke slettet riktig og ondsinnede innsidere.

For å minimere disse risikoene foreslår rapporten en liste over spørsmål som et selskap trenger å spørre potensielle cloud-leverandører. For eksempel, hvilke garantier tilbyr leverandøren at kundenes ressurser er fullt isolerte, hvilket sikkerhetsutdanningsprogram det kjører for ansatte, hvilke tiltak som er truffet for å sikre at tredjeparts servicenivåer er oppfylt, og så videre.

Til slutt en god kontrakt kan redusere risikoen, ifølge rapporten. Bedrifter bør spesielt være oppmerksomme på deres rettigheter og forpliktelser knyttet til dataoverføringer, tilgang til data ved lovhåndhevelse og meldinger om brudd på sikkerheten, sa det.

ENISAs rapport er imidlertid ikke all dømmekraft og dysterhet. Bruk av cloud computing-tjenester kan resultere i mer robust, skalerbar og kostnadseffektiv beskyttelse mot visse typer angrep, ifølge rapporten. For eksempel kan evnen til dynamisk allokering av ressurser gi bedre beskyttelse mot DDoS-angrep (distributed denial-of-service), sier ENISA.