Nye teknologier introducerer ofte også nye risici. Men andre risici elimineres samtidig. For at sikre fuld compliance skal den offentlige sektor i Danmark blive bedre til at vurdere, hvordan der etableres det rigtige juridiske og sikkerhedsmæssige grundlag for at tage Hyper Scale Cloud Computing i anvendelse.
Den offentlige sektor i Danmark bruger i stigende grad cloud computing. Det er der mange gode grunde til, og det fremgår også af den fælles offentlige digitaliseringsstrategi, at den offentlige sektor skal have muligheden for at benytte cloud-løsninger, hvor det giver værdi og er forsvarligt forretnings- og sikkerhedsmæssigt.
Cloud-løsninger skaber øget innovationskraft, skalérbarhed og bedre transformationsmuligheder. Og cloud computing forbruger samtidig langt mindre energi end traditionelle on-premise løsninger. Sidstnævnte kan bidrage til, at myndigheder kommer deres klimamålsætning et skridt nærmere. Men med nye teknologier, samt indsamling og behandling af øgede datamængder, følger øgede krav til sikkerhed og compliance og ikke mindst til måden, vi vurderer potentielle risici på.
Juridiske compliance er ingen garanti for optimal sikkerhed
I løbet af det seneste år er alle juridiske elementer af betydning for anvendelse af cloud computing afklaret. Dermed er eventuelle fortolkningsmuligheder og konkrete blokeringer nu kraftigt reduceret. Vejen er således banet for, at det offentlige kan tage fat på en reel vurdering af potentialet i og målsætninger for anvendelse af cloud computing, samtidig med at de, som altid ved behandling af personoplysninger, skal foretage en reel risikovurdering.
Implementering af nye IT-løsninger bør altid og helt naturligt inkludere en vurdering af sikkerheden, kontrol med behandlingen, databeskyttelse samt generel compliance med love og reguleringer. Med cloud-løsninger inkluderes et nyt lag til listen af opmærksomhedspunkter. Og her er der vigtigt at være bevidst om, at juridisk compliance ikke altid er lig den bedst mulige sikkerhedssituation.
Dén opnås ved, at den dataansvarlige stiller sig selv følgende spørgsmål:
- Hvordan laver jeg den bedst mulige risikovurdering, der sammenligner min eksisterende løsning med en cloud-løsning – og skal jeg foretage mere end én type vurdering?
For en organisation i den offentlige sektor vil det typisk være nødvendigt at foretage både en ’almindelig’ risikovurdering (fx ud fra ISO27005 standarden), OG en konsekvensanalyse som beskrevet i GDPR artikel 35. Microsoft stiller de relevante informationer til rådighed til begge typer – se side 68 i dette Cloud Governance whitepaper. (engelsk version her)
- Giver risikovurderingen mig det nødvendige beslutningsgrundlag til at vælge den bedst mulige løsning?
Ud fra en sikkerhedsmæssig betragtning, ja. Derudover vil det være naturligt at vurdere de enkelte alternativer ud fra flere andre kategorier som økonomi, fleksibilitet, bæredygtighed etc. (Læs yderligere i dette notat)
- Hvad er Hyper Scale Cloud Computing sammenlignet med Private Cloud eller hosting ud fra et sikkerhedsperspektiv?
Alene gennem brug af HSCC får man adgang til et sikkerhedsmæssigt miljø, der altid er tidssvarende, og som dermed har en langt højere modstandsdygtighed over for moderne og hastigt udviklende trusler. (Læs mere om vurderingskriterierne her.
Mange lande adopterer i disse år en ’Cloud First’-politik. Udgangspunktet er, at cloud computing har potentiale til at medføre store besparelser, effektivitetsgevinster og muligheder for at understøtte den nødvendige digitale transformation. En ’Cloud First’ politik gør det nødvendigt for alle offentlige organisationer som minimum at overveje, om cloud er den rigtige arkitektur ud fra såvel et omkostnings-, fleksibilitets- og naturligvis sikkerhedsperspektiv. Og sidstnævnte indebærer en risikovurdering, der tager højde for andet og mere end den juridiske compliance.