Med lagring i nettskyen er informasjonen lett tilgjengelig enten man sitter med PC-en på kontoret, eller står med mobilen i hånden på kundebesøk.
Flere enn halvparten av norske virksomheter tillater sine ansatte å bruke personlige skytjenester som Skype, Dropbox og Google Docs i jobbsammenheng, viser en undersøkelse Telenor-eide Datametrix har gjennomført.
Direktør for produkt- og forretningsutvikling i Datametrix, Geir Kalleberg, er overrasket over antallet virksomheter som tillater dette. Han synes det er foruroligende at sensitive data lagres på tjenester som ikke er ment for å lagre denne type data.
Jack Fischer Eriksen, direktør i Næringslivets Sikkerhetsråd, ser de samme tendensene i Mørketallsundersøkelsen 2014, hvor det blant annet fremkommer at én av tre virksomheter benytter seg av gratistjenester som Gmail og Dropbox i tillegg til betalingstjenester.
Én av fem vet ikke hvor dataene blir lagret, og mer enn halvparten vet ikke om offentlige myndigheter har tilsynsrett.
- Det er bekymringsverdig både med tanke på beskyttelse av virksomhetssensitiv informasjon og personvern, da mange av systemene vil kunne inneholde personopplysninger, sier Fischer Eriksen.
Manglende risikovurdering
Datatilsynet er enige i at bruk av private skytjenester kan være problematisk i jobbsammenheng, og at mange bedrifter ikke er flinke nok til å risikovurdere dataene sine.
- Virksomheter plikter å ha kontroll på hvordan beskyttelsesverdige personopplysninger er sikret og hvordan lagringspartneren håndterer dataene, sier avdelingsdirektør i Datatilsynet, Helge Veum.
Han peker på at det gjerne er klare forskjeller på avtaler virksomheter og private inngår med skyleverandører.
- Når bedrifter innfører kontrollmekanismer som skal kontrollere hva slags informasjon som blir lastet opp av de ansatte på deres personlige skytjenester, vil det kunne være en inngripen i ansattes privatsfære. Derfor må en være åpen om slike tiltak, ha dialog med de ansatte og tilpasse tiltaket til behovet, sier Veum.
Vidar Sandland i Norsk senter for informasjonssikring (NorSIS), mener sikkerheten i skytjenestene som oftest ikke er bedre enn det brukernavnet og passordet du bruker.
- Vi er i utgangspunktet positive til skytjenester, men det forutsetter at man kun benytter skytjenester som tilbyr sikker kommunikasjon og at det benyttes totrinns verifisering i forbindelse med pålogging. Hvis du lagrer sensitiv informasjon i skyen, bør disse i tillegg krypteres. Man bør også være klar over at mange skytjenester ikke har noen garanti mot datatap, så jevnlig backup er viktig, sier Sandland.
- Velg tjeneste etter behov
Torgeir Waterhouse i IKT Norge er derimot mer pragmatisk, og mener at det ikke handler om tjenesten, men om at bedriften gjør en sikkerhets- og risikovurdering og velger skytjeneste ut fra det, samt hva som er mest praktisk i hverdagen.
- Hva slags data og hvor sensitiv informasjon er det snakk om, og hvilke eventuelle lovmessige krav som må oppfylles, må være hovedkriteriet for valg av tjeneste. Lagrer du lokalt eller på minnepinner er det også mange farer og ulemper. Skal man sikre seg mot alle potensielle trusler man hører om, må man vente tredve år før det kommer en sikker skytjeneste, sier Waterhouse.
Slik bruker du nettskytjenester:
Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Virksomheten må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få.
Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er bedriften som har ansvar for at lovens krav følges.
Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av bedriften og sikrer at databehandleravtalen følges.
Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.
Kilde: Datatilsynet
Følg oss på Twitter: @RIKSdigital