Virksomheder som Microsoft høster i øjeblikket frugten af det stigende brug af hjemmearbejde og virksomheders eskalerede cloudstrategier. Deres cloudplatform, Microsoft Azure, vokser nemlig markant, nu hvor både små og store virksomheder får øjnene op for fordelene ved cloud.

Jeg skal være den første til at sige, at Microsoft leverer topklasse software, der hjælper os alle med at udføre vores arbejde, hvor og hvornår det passer os. Men de er ikke et it-sikkerhedsfirma. Det erkendte Ole Kjeldsen, der er sikkerhedschef for Microsoft Danmark, også selv, da han over for ITWatch fortalte, at deres kunders it-sikkerhedsniveau ikke nødvendigvis stiger, blot fordi de vælger Microsofts cloudløsninger. Det løser ikke virksomheders it-sikkerhedsudfordringer med et fingerknips at gå i clouden, ligesom det heller ikke betyder, at virksomhedsledere kan læne sig tilbage og lade cloududbyderen stå til ansvar for deres it-sikkerhed.

Det er virksomhedsledere, it-beslutningstagere og bestyrelser, der har ansvaret for, at virksomhedens data er sikker. Cloududbyderen har naturligvis ansvar for sikkerheden i deres egen infrastruktur og sørger for, at virksomheder altid kan tilgå deres data. Men hvis f.eks. Microsoft skulle blive ramt af cyberangreb, og virksomheder har lagt alle deres dataæg i én cloudkurv, er det på eget ansvar. Ligesom det er eget ansvar, hvis de ikke har backup på egne servere, og de bliver ramt. Desværre lader det til, at danske virksomheder ikke kender til dette ansvar. Vores undersøgelse af Dattos danske MSP-partnere viser nemlig, at hele 69 % af deres kunder, der især består af mindre virksomheder, ikke er klar over, at de har ansvaret for backup af egne data – også når de er lagret i clouden.

Det er altså ikke fordi clouden – hverken hos Microsoft eller andre udbydere – ikke er sikker. Den er meget sikker. Og jeg er da også selv fortaler for at rykke væk fra serverrummet og ud i clouden, hvor data er samlet og mere tilgængeligt. Det er bare vigtigt for virksomheder at forstå, at ansvaret for egne data i sidste ende er deres alene. Selvom det er fristende at skyldfralægge sig, peger pilen ikke hverken på cloududbyderen, it-serviceleverandøren eller en stakkels medarbejder, der har fået rollen som it-ansvarlig, fordi der ikke var andre, der ville.

Mere af det hele

Ole Kjeldsen fortæller ligeledes i sit interview med ITWatch, at han forventer ”mere af det hele”, når det kommer til at vurdere fremtidige sikkerhedstrusler. Mere ransomware, mere phishing, mere CEO-fraud osv. Det er også, hvad jeg ser i mit daglige arbejde hos Datto.

Danmark er et højt digitaliseret land med gode forretningsforbindelser og aftaler med andre lande. Det gør også, at vi er i høj kurs som aldrig før for cyberkriminelle, hvilket også ses ved angreb som dem på Mærsk, Demant, Vestas osv.

Hvad der imidlertid skal tages højde for er, at ca. 98 % af virksomhederne i Danmark er kategoriseret som små- og mellemstore virksomheder - og det er altså de færreste, der når op på en størrelse som Mærsk og Vestas med deres volumen af data. Det betyder, at vi ikke kan forvente, at cyberkriminelle udelukkende går efter de store. SMV’er skal i lige så høj grad værne om deres data - for i hænderne på andre, kan de være lige så værdifulde og altødelæggende som data fra Mærsk.

Det er en udfordring, at SMV’er ikke har det samme forsvarsværn som de store. It-ressourcerne er ofte knappe, og det ses på virksomhedernes cyberforsvar. Det er bekymrende. Det koster nemlig i gennemsnit 1 mio. kroner i nedetid for virksomheder, der bliver ramt af ransomware - og som om det ikke er nok, viser det sig også, at 43 % af danske virksomheder, ifølge deres MSP’er, har mistet data som følge af manglende backup. For har man ikke backup, kan man ikke nødvendigvis få værdifulde data tilbage, efter de har været i tasterne på hackere, og det kan i høj grad påvirke bundlinjen.

Så uanset om virksomheder vælger Microsoft eller en anden udbyders cloudløsning, skal det være med i overvejelserne, hvordan de sikrer backup af deres data. For med Microsofts egne ord kan de ikke løse alle virksomheders sikkerhedsproblemer, blot fordi de lagrer virksomheders data. Clouden er ikke uigennemtrængelig og løfter ikke automatisk virksomheders it-sikkerhedsniveau – det skal virksomheder stadig selv tage ansvar for.

Microsofts sikkerhedsboss: Cloud er ingen garanti for it-sikkerhed

Klumme: It-projekter giver mest værdi med ægte partnerskaber

Klumme: Brugertillid er en forudsætning for kunstig intelligens