Shadow Cloud - Hva er det og hvordan skjer det?

Hva er Shadow Cloud? Har du betenkeligheter med å legge din bedrifts data i skyen? Så mange som 90% av bedrifter har per i dag tatt et bevisst valg om å benytte en form for skytjeneste. Web hosting, CRM systemer, og ikke minst backup og Disaster Recovery blant de mest populære skytjenestene som bedrifter benyttet seg av.

Det viser seg imidlertid at virksomheter som ikke ønsker å bruke skytjenester, allikevel ender opp med å spre deler av sin bedriftsinformasjon til skytjenester via fenomenet som kalles Shadow cloud.

Shadow cloud eller Shadow IT er en betegnelse på IT prosjekter som håndteres utenfor bedriftens IT avdeling, eller uten at at IT avdelingen er klar over hendelsene. Selv det mest rutinerte IT avdelingen kan vanskelig ha kontroll på hva de ansatte gjør til enhver tid. Shadow cloud oppstår vanligvis ikke på grunn av hackere eller ondsinnede angrep på bedriften din. Det er bedriftens ansatte som skaper skyen, ofte helt ubevisst.

Hvordan skjer det?

Vi er i dag omgitt av et utall av teknologiske hjelpemidler som alle kan kobles mot en skytjeneste. Dette gjelder for eksempel din epost, dokumenter, filer, musikk, datamaskiner, nettbrett, programvare eller mobiltelefonen.

Teknologien for skytjenester har blitt så tilgjengelig, så enkel, og av så høy kvalitet at det nå nesten er vanskelig å unngå å sende data til skyen. Flere av oss har sikkert opplevd å sende sine data til en skytjeneste selv om det var utilsiktet.

Har du for eksempel opplevd at bilder fra telefonen dukker opp på din jobb pc uten at du vet når eller hvordan dette skjedde? Lading av mobil via jobb-pc, og klikke bort en dialogboks på mobilskjermen er alt som skal til. Eller har du klikket på sky-knappen som har dukket opp i hurtigmenyen til PDF dokumenter? Gjett hvor destinasjonen for dokumentet ditt er da?

De fleste av oss har en privat mailkonto fra en av de store tilbyderne, for eksempel en Google. Åpner du et jobbdokument her, og lagrer det, så ligger det lagret i Google Drive sin skytjeneste. Kjøper du en Apple Iphone må opprette icloud konto for å bruke telefonen. Alle bildene dine kopieres automatisk til skyen, forutsatt at den ikke er full. Tar du da et bilde av et jobbdokument, ligger det både på telefonen din, og hos Apple.

Hvem skaper Shadowclouden?

Det viser seg at to grupper av ansatte er utpeker seg spesielt ved å legge data i uautoriserte nettskyer. Den ene gruppen er de ivrigste og mest motiverte arbeidstakerne. Denne gruppen jobber ofte utenfor kontoret, og utenom vanlige arbeidstider. De har ofte ikke tålmodighet til å vente tilkoblingsproblemer til bedriftens systemer, og da ender gjerne arbeidsgiverens informasjon i en ekstern sky.

Den andre gruppen er paradoksalt nok ansatte i IT avdelingen, eller andre ansatte med gode IT kunnskaper. Denne gruppen er så teknologisk oppdaterte at de vet om eller har laget seg alternative kontoer for skylagring. De er raske til å ta i bruk ny teknologi, og på denne måten blir de synderne.

Shadowcloud er et fenomen som øker i størrelse. En undersøkelse for McAfee viste at 80% av respondentene (IT ansatte og IT ledere) rapporterte at de hadde benyttet seg av skylagringstjenester som ikke var godkjent av IT avdelingen.

Er Shadowcloud bra eller dårlig?

Det sier seg selv at utstrakt bruk av Shadowcloud utgjør en sikkerhetsrisiko for bedriften. For det første er det veldig vanskelig å identifisere omfanget av data på avveie, samt hvilken informasjon som ligger lagret i fremmede skyer. Konsekvenser av lagring ukjente skytjenester kan være datatap, at konfidensielle data håndteres i strid med lover og regler, og tap av forretningshemmeligheter og immaterielle rettigheter for bedrifter. Med strengere regler for håndtering av persondata i EU, kan bøter for brudd på datasikkerhet bli opptil 4% av en bedrifts bruttoomsetning.

Det er et problem for IT avdelingen når de mister kontroll over bedriftens data, ettersom bruken av Shadowcloud skjer under radaren. Shadowcloud er allikevel ikke uten fordeler. Når teknologien for skylagring er tilgjengelig, enkel og billig bidrar det til å løse problemer for IT avdelingen. Ansatte blir mer uavhengig av hjelp fra avdelingen, men løser sine egne problemer med å benytte seg av tilgjengelig tjenester. Den tilgjengelige, enkle og rimelige muligheten til å lagre data gjør også at mange ansatte blir mer effektive i sitt arbeid, ettersom de sjeldnere stoppes av kapasitetsbegrensninger.

Hvilke tiltak mot Shadowcloud bør IT avdelingen gjøre?

Selv om Shadow cloud kan lette presset på IT avdelingen med både supporthenvendelser og mindre administrasjon av teknisk infrastruktur, er det viktig å huske at de fortsatt er ansvarlige for sikkerheten til sin bedrifts informasjon, og for å overholde lover og regler for datahåndtering.

Det er viktige å huske på at virksomheten selv i første forsvarslinje i forhold til datasikkerhet. De bør ha en klar policy på hvilke skytjenester de skal bruke, og sørge for at denne leverandøren tilfredsstiller alle krav datasikkerhet. IT avdelingen bør også bygge en intern sikkerhetskultur som bevisstgjør de ansatte på hvor de lagrer dataene sine.

Om valg av skyleverandør og sikkerhet

Når din bedrift skal velge en skyleverandør er det svært mange betraktninger som skal tas. Noen viktige punkter å tenke på i forhold til informasjonssikkerheten er:

  • Hvor lagres dataene dine fysisk? Blir de lagret i Norge eller i utlandet? Dette har konsekvenser for om det er Norske eller utenlandske lover som gjelder for utlevering av konfidensielle data.
  • Nasjonaliteten til selskapet som håndterer dataene dine. Hva slags lover må skyleverandøren etterfølge? Amerikanske, Europeiske eller Norske regler? Etter den nye Europeiske personvernlovgivningen inntrer i 2018 stilles vil det stilles strengere krav til håndtering av personopplysninger for Norske bedrifter. En potensiell skyleverandør må kunne vise til compliance i forhold til disse kravene.
  • I hvilken grad kan leverandøren vise til rutiner og kultur for informasjonssikkerhet? Hva slags prosesser har de på plass for å ivareta din bedrifts data? Er de sertifiserte på informasjonssikkerhet, eksempelvis ved en ISO 27001 sertifisering?

I noen tilfeller kan det å velge en skyleverandør faktisk være bedre og enklere å forholde seg til enn mindre gode sikkerhetsløsninger i ens egen virksomhet. Dette er fordi profesjonelle skyleverandører er avhengig av compliance i forhold til regelverk for å være en seriøst aktør i markedet.

Les mer om våre IT-tjenester og løsninger

Les mer: 4 skytrender for 2018

29 juni 2018

Sikre sensitive data i skyen

Den økte tjenestefiseringen i IT-bransjen betyr at mer og mer informasjonen blir håndtert i skytjenester, noe som krever høy bevissthet av bestillere innen virksomheter der man håndterer konfidensiell eller annen sensitiv informasjon.

12 juli 2019

Årsaken til økende IT-brister

Pasientsamtaler ble lagt ut på nett og utenlandske aktører fikk tilgang til viktige styresystemer. Dette er bare to av de store sikkerhetshull som har fått oppmerksomhet i det siste. Bak flere av dem finnes det – ja, nettopp, den menneskelige faktoren.

10 juni 2019

Hvem er egentlig ansvarlig for IT-sikkerheten?

Sikkerhetseksperten Roar Thon deler sine innsikter rundt hvordan man legger en god strategi rundt IT-sikkerheten sin.

24 mai 2019

Hva er fordelene med et skyadministrert nettverk?

Skyadministrert nettverk innebærer en rekke fordeler sammenlignet med tradisjonelle løsninger. Har du skiftet ut ditt gamle nettverk enda?

23 mai 2019

Datakriminalitet koster mer enn naturkatastrofer

Den kraftig økende datakriminaliteten koster individer, organisasjoner og samfunnet enorme summer hvert år. Undersøkelser viser at nordiske bedrifter ofte mangler et grunnleggende forsvar mot disse angrepene.

15 april 2019

Dustin designer IT-infrastruktur for verden

PatientSky er en åpen plattform som gjør livet lettere for omsorgsgivere og deres kunder, takket være en robust infrastruktur som garanterer drift- og datasikkerhet.

13 mars 2019