Lagringstjänsterna på nätet lockar med låga priser och enkel installation. Men de ger upphov till nya hot som säkerhetsavdelningarna måste börja hantera.
Dessa är:
- Var kommer filerna att lagras och hur kommer de att delas?
- Vem kommer att få tillgång till filerna?
- Hur kommer tjänsten att skydda filerna?
- Vilka typer av filer kommer att tillåtas i lagringstjänsten?
– Om en leverantör inte uppfyller valen, bör säkerhetsfolket utvärdera andra alternativ, säger Adam Gordon.
Fildelning utanför it-avdelningen innebär att denna förlorar kontroll. Ingen it-avdelning kan garantera tillgänglighet till en tjänst som stängs ned helt och hållet.
Just detta drabbade många användare av tjänsten Megaupload som stängdes, utan möjlighet till åtkomst till filerna, oavsett om de hade legitim tillgång till tjänsten.
– Sådana situationer leder till att kunderna ställer sig frågan om vem som har tillgång till filerna och om någon exempelvis kan radera dem, säger Adam Gordon.
På samma sätt måste molntjänster skydda tillgången till individuella konton. Cyberkriminella kan också genomföra attacker med hjälp av plattformar inne i dessa tjänster. Ofta är tjänsterna effektivt skyddade från intrång utifrån, men det är svårare om hoten uppstår inne i tjänsterna eller inne i företagen.
Hackare kan exempelvis lagra och dela data i tjänsterna. Ofta är skyddet hos företagen bristfälligt samtidigt som tjänsterna kan gå förbi olika säkerhetshinder, utan att vare sig användare eller administratörer märker detta förrän det är för sent.
Fyra aspekter att tänka på
Fillagring Box ger kunderna ett tjänstenivåavtal som garanterar 99,9 procent upptid och erbjuder kompensation när så inte sker. Företaget erbjuder en enhetlig infrastruktur för alla kunder som betalar utifrån fyra geografiska områden, med tre huvudsakliga datacenter. En fjärde anläggning erbjuder backuplagring för krypterade data som alltså kan återvinnas.
Dropbox erbjuder garantier för upptider, men berättar inte exakt vilka tjänstenivåer som gäller. Företaget erbjuder specifika kontrakt, med lagring via Amazons S3-tjänst och spegling av krypterade data i olika datacenter.
Åtkomst Box finns i en gratisversion, men företag med många användare som använder tjänsten tenderar att teckna företagskonton. Tjänsten blir komplicerad när företagen har samarbetspartner som använder tjänsterna utan att vara anställda. Vid tillfällen har Box godkänt att anställda i företag fått sina privata konton konverterade till företagskonton. Box har lovat att detta inte ska ske igen.
Dropbox och andra tjänster kan användas för datastölder. Dropbox skyddar sig mot otillbörlig tillgång genom tvåfaktorsautensiering samt verktyg för identitets- och åtkomsthantering utifrån kundernas preferenser. Företaget samarbetar med exempelvis Okta, Ping Identity, One Login och Centrify.
Dataskydd Box överför filer i sessioner som är SSL-krypterade, samt krypterar övrig överföring med 256-bitars AES-kryptering. Box är även ISO 27001-certifierat och erbjuder SSAE 16 SOC 2, Type 2-rapportering. Box arbetar även med industriramverk som bygger på PCI och Hipaa.
Dropbox stöder TLS 1.0 och upp till 1.2 och SSL v3 för filöverföring. Företaget erbjuder en säker tunnel för upp till 256-bitars kryptering. Dropbox använder också 256-bitars AES-kryptering för lagrade data. Vidare så delar Dropbox upp filerna i delar, där alla anonymiseras och tilldelas ett värde. Dropbox planerar också att införa ISO-standarden 27001 för 2013 i år.
Filrestriktioner Box har inbyggda skydd för att undvika attacker inifrån tjänsterna. Lagringstjänsten har inga restriktioner i vilka filer kunderna kan ladda upp, men fungerar inte heller som en miljö för att exekvera filer. Skript och andra exekverbara filer kan inte köras inuti lagringstjänsten. Box möjliggör skanning av lagringstjänstens innehåll för att identifiera möjliga hot. Dessutom är möjligheten att konvertera filer begränsad till kända filformat som doc, txt och xls.
Dropbox möjliggör lagring av alla typer av filer, men ställer krav på användarna att inte missbruka tjänsten. Företaget går igenom rapporter och tips om missbruk och vidtar nödvändiga åtgärder.