EU-byrået for kybersikkerhet, Enisa, (European Network and Information Security Agency), har publisert en 123 siders utredning om problemer rundt sikkerhet og personvern knyttet til nettskyen: Cloud Computing: Benefits, risks and recommendations for information security.

Utredningen bekrefter at nettskyen, som selvbetjent metode å levere tilgang til IT-ressurser på – arbeidsflater, applikasjoner, infrastruktur eller rå datakraft – har klare forretningsmessige fordeler. Bedrifter nøler likevel med å hoppe på den nye modellen, fordi det er reist tvil rundt sikkerhet, ansvar og personvern.

Ifølge Enisa tilsier egenskaper som skalerbarhet og smidighet at nettskyen ikke bare er problematisk fra et sikkerhetssynspunkt, men kan også gi klare fordeler. En velkonstruert sky kan være robust og gi brukerne bedre vern enn de hadde hatt enkeltvis, selv om konsentrasjonen av ressurser og data gjør den desto mer tiltrekkende for angripere.

Rapporten peker på flere storskalafordeler for sikkerhet. All sikkerhet blir rimeligere jo mer man kjøper. En nettskyleverandør får følgelig mer av alle mulig sikkerhetsverktøy enn det alle kundene kunne skaffet seg til sammen for samme investering. Sikkerhet er en naturlig faktor for å differensiere mellom ulike nettskyleverandører, slik at konkurransen vil bidra til bedre sikkerhet. Smidigheten som karakteriserer nettskyen gjelder også dens evner til kyberforsvar. Siden nettskyleverandører tar seg betalt etter bruken av tjenestene, vil de også ha på plass ordninger som forenkler arbeid som revisjon og etterforskning. Enhetlige ordninger for fikser og oppdateringer bidrar til å øke sikkerheten.

Samtidig er det også fare for økt risiko ved overgang til nettskyen.

Enisa peker på at kunden overgir kontroll på flere områder som kan påvirke sikkerheten, og at det ikke er gitt at avtaler om garantert tjenestenivå kan kompensere for dette. Den som overgir seg til en nettskyleverandør vil oppleve at det kan være svært vanskelig å trekke seg fra kundeforholdet med alle data, applikasjoner og tjenester i behold. Det er videre usikkerhet knyttet til i hvilken grad leverandøren man forlater, faktisk sletter alle opplysninger fra det opphørte kundeforholdet.

Kommer det nye offentlige krav til sikring av tjenester og informasjon, er man prisgitt leverandøren: Det kan i verste fall innebære at man ikke lenger har påkrevet offentlig godkjenning for ens egen forretning. Lagring av personopplysninger i en omfattende nettsky kan lettere komme i strid med nasjonale bestemmelser enn lagring man selv har full kontroll over. Til slutt peker rapporten på at en utro innsider kan gjøre langt mer skade hos en nettskyleverandør enn i et mindre miljø.

Rapporten analyserer tre scenarier fra et sikkerhetsmessig synspunkt: Små og mellombedrifters overgang fra tradisjonell IT til nettskytjenester, hvordan nettskyarkitekturer påvirker tjenesters tilgjengelighet, og nettsky brukt innen offentlige tjenester som helse.

Rapporten gir bedrifter en sjekkliste for å vurdere alternative nettskyleverandører opp mot hverandre fra et sikkerhetssynspunkt. Den viser også hvordan kunden kan klargjøre ansvarsforholdene, og hva som kan være en mest mulig hensiktsmessig fordeling mellom leverandør og kunde, ikke bare for det tekniske, men også for det juridiske og det fysiske.

Enisa anviser en del oppgaver til EU-kommisjonen: Detaljer i dataverndirektivet må oppdateres, det må lages regler for hvordan nettskytilbydere skal informere kundene om sikkerhetsbrudd, ansvarsfordeling der kunder bruker nettskyen til egne e-handelstjenester må klargjøres, og kommisjonen oppfordres til å avklare hvordan nettskyleverandører skal forholde seg til medlemslandenes ulik håndtering av personvernet.