- En etterretningstjeneste kan være interessert i din virksomhet. Det er ikke nødvendigvis hackeren på gutterommet vi advarer mot, men stater med store ressurser i ryggen, sier seniorrådgiver Roar Thon i Nasjonal sikkerhetsmyndighet (NSM).

Store mengder av sensitive personopplysninger og informasjon av kritisk art for samfunnet er lagret i nettskyer, en slags oppbevaringsboks for informasjon på internett som mange kan ha tilgang til på en gang.

Mørketallsundersøkelsen for datakriminalitet for 2013 som er utført av Næringslivets sikkerhetsråd, viser at over 30 prosent av virksomhetene i deres undersøkelse bruker gratis skytjenester. Bare et fåtall har retningslinjer for bruk av disse.I tillegg til bedrifter bruker også noen offentlige etater og enkeltpersoner nettskyer som digital lagringsplass.

Tilgjengelighet

- Skytjenester gjør at du kan ha større grad av tilgjengelighet til dine egne data. Det er både økonomiske og av og til sikkerhetsmessige argumenter for at det kan være lurt å benytte skytjenester, sier Roar Thon.

- Men bedriftene må være mer bevisste på hva slags leverandører de benytter til å håndtere sine data. Problemet er at de fleste nettskyer er utenlandske. Dermed er dataene fysisk lagret i andre land med annen lovgivning, sier Thon.

Han ber norske bedrifter om å være forsiktige med å bruke utenlandske nettskyer.

- Det er ikke sikkert det er like lurt å lagre sine mest sensitive data i skyen for så å la de ansatte ha tilgang til den informasjonen fra PC-er, nettbrett og mobiltelefoner uansett hvor de befinner seg i verden, sier han og legger til:

- Skytjenester er som en honningkrukke for hackere.

Mørketallsundersøkelse

Næringslivets sikkerhetsråd har gjennomført Mørketallsundersøkelsen 2014 om informasjonssikkerhet og datakriminalitet. Foreløpige tall for fjoråret som Dagsavisen har fått tilgang til, viser at i overkant av en tredjedel av virksomhetene som var med undersøkelsen, lagrer data i nettskyer. Av de private bedriftene som er spurt, svarer 30 prosent at de bruker gratis nettsky­tjenester. 37 prosent av de offentlige sier de gjør det.

Et annet spørsmål er om virksomhetene har egne IT-avdelinger eller setter ut dette arbeidet. Undersøkelsen viser at 64 prosent av virksomhetene hadde satt ut hele eller deler av driften av IT-systemene sine. Dette kan gjøre dem sårbare om de ikke stiller krav til leverandøren.

Kristine Beitland er direktør i Næringslivets sikkerhetsråd. Hun forteller at Informasjonssikkerhetsutvalget bestående av private selskaper, Norsk senter for informasjonssikkerhet, Kripos, Datatilsynet og NSM sammen skal se nærmere på tallene og komme med anbefalinger om hva virksomhetene må gjøre for å sikre seg bedre.

- Sikkerhetsbildet blir stadig mer komplisert, og utviklingen skjer i et galopperende tempo. Man må tenke sikkerhet helt fra man oppretter en tjeneste, sier Beitland og peker på at mange ledere mangler kompetanse.

Datatilsynet

- Flere har begynt å levere nettsky-løsninger til offentlig sektor, sier Bjørn Erik Thon, som er direktør i Datatilsynet.

Datatilsynet vet ikke hvor mange kommuner og offentlige etater som bruker nettskyer til lagring av data.

- Utviklingen går veldig fort. Det er naturlig nå i lys av Snowden-avsløringene å ta en ny vurdering av dette markedet. Dette har vært en vekker.

Datatilsynet har vært inne i to saker der kommuner har tatt i bruk skytjenester. Datatilsynet mottok en klage på Narvik kommunes bruk av skytjenesten Google Apps. Og Moss kommune ba selv om veiledning i bruk av Microsoft Office 365. Datatilsynet kom fram til at disse to kommunene hadde holdt seg innenfor lovverket.

Ifølge personopplysningsloven skal man vurdere risikoen ved slik virksomhet, sier Thon som mener det er tryggest å bruke norske skyløsninger. Han sier at både bedrifter og offentlige etater bør ta en skikkelig vurdering av hva slags data som skal flyttes og hvilken risiko dataene i så fall utsettes for.

- Det bør være fysiske stengsler for hva man kan gjøre når det gjelder behandling og lagring av sensitive dokumenter, sier Thon.

Han sier at det er data som er lite sensitive som kan flyttes ut i skyen: Som kalendere, e-post-funksjoner og timelister.

ester.nordland@dagsavisen.no

Suksess for norsk nettsky

Den norske nettskyen Jotta Cloud blir nedringt av europeiske bedrifter etter Snowden-saken.

Microsoft, Google og Amazon kan tape 35 milliarder dollar i kontrakter etter Snowden-avsløringene. Markedet reagerer etter avsløringene. Nå jubler flere norske selskaper. De har fått mange nye kunder. Norske Jotta Cloud har økt kundemassen sin med nesten 30 prosent på et halvt år.

- Problemet går tilbake til 2001 og det som den gang som ble innført som en anti-terrorlovgivning i USA, sier Roland Rabben, som er direktør og gru:nder av nettskytjenesten Jotta Cloud.

- Da endret amerikanske myndigheter noen viktige kriterier for hvordan de kan hente ut data om mistenkelige personer. I Norge har vi et prinsipp om at politiet skal ha en rettskjennelse og at det skal være skjellig grunn til mistanke. Men i USA fikk man mulighet til å hente ut data uten en rettskjennelse - bare ut fra ren mistanke.

- Så kom Snowden-avsløringene som viste at USA har satt overvåking i system. Man kan hente ut data rett fra surverne til Google, Facebook og Microsoft. Data er søkbart i stor skala. Her er det rom for misbruk og mistolkning.

- Norge må sørge for at NSM stiller til rådighet norsk programvare, i stedet for at man tar i bruk nettskyer man ikke helt vet helt hvor kommer fra, sier Gisle Hannemyr, som er lektor ved Institutt for informatikk ved Universitetet i Oslo.

Han mener Forsvarets forskningsinstitutt kan utvikle noe slikt.

- Google og Microsoft bruker kryptering i sine tjenester, men det spekuleres i om denne krypteringen kan knekkes. Dette hevder Snowden, og jeg er en av dem som tror på ham. Han sier det er plantet sikkerhetshull i amerikansk programvare for å gi etterretningstjenesten innsyn. Da er man prisgitt amerikansk lovgivning, sier Hannemyr.

Han håper Datatilsynet eller Nasjonal sikkerhetsmyndighet tar grep om denne problematikken.

«Problemet er at de fleste nettskyer er utenlandske.»

Roar Thon, Nasjonal 
sikkerhetsmyndighet