Har du lagt merke til at det bygges nye datasentre uten at du får vite hvem som skal lagre dataen sin der? Det er det faktisk en veldig god grunn til.
Vi tok en prat med sikkerhetssjef i Green Mountain, Thor Randulff, om hvorfor det er så mye hemmelighetskremmerier rundt datasentre.
Hvorfor er det hemmelig hvem som er kundene i et datasenter?
Green Mountain designer, bygger og drifter datasentre. De selger lagringsplass til små og store selskaper, både private og offentlige. Noen ganger velger kundene å dele offentlig hvor de lagrer dataene sine, men de fleste kundene er hemmelige.
– Mange av kundene våre leverer samfunnskritiske tjenester, og ønsker derfor ikke å fortelle omverdenen hvor de holder hus. Det kan gjøre dem sårbare, sier Randulff.
Hvor sikkert er et datasenter?
Når vi snakker om datasentersikkerhet er det viktig at vi skiller mellom to former for sikkerhet – fysisk sikkerhet og cybersikkerhet. En datasenteroperatør som Green Mountain har ansvaret for den fysiske sikkerheten til anlegget, mens kundene selv har ansvaret for den digitale sikkerheten (cyber security) til egne data. Det er kundene selv som eier og drifter serverne i datarommet og de data det inneholder.
Datasenteroperatøren har altså ingen tilgang til dataene og systemene som befinner seg på disse serverne. De ansatte hos en datasenteroperatør har normalt heller ikke fri tilgang til kundenes datarom. All tilgang skal godkjennes av kunde, adgang overvåkes og loggføres.
Datasenteroperatøren ivaretar den fysiske sikkerheten til datasenteret gjennom tiltak som videoovevåking, døgnkontinuerlig sikkerhetspersonell, elektronisk adgangskontroll med adgangskort og biometri, fysiske barrierer m.m.
Randulff forklarer videre: Hvis et helseforetak, for eksempel har sine servere hos oss, og noen ønsker å ramme eller skade dette foretaket, er det enklere dersom de vet hvor dataene er lagret. De fleste selskaper og offentlige virksomheter som bruker datasentre, ønsker ofte å ha sine data flere plasser. – Det betyr at de kan ha data lagret på flere ulike datasentre, ofte også i flere ulike land, noe som gjør dem mindre sårbare, forklarer Randulff. Til syvende og sist er det altså kunden selv som velger om det skal være åpent kjent eller ikke hvor de lagrer dataene sine.
Sikkerhetsloven
Norsk sikkerhetslov trådte i kraft i 1.januar 2019, og har som hensikt å forebygge, avdekke og motvirke sikkerhetstruende virksomhet. Virksomheter som er underlagt sikkerhetsloven, anses som spesielt viktige for Norges sikkerhet, og de får et økt ansvar for å sikre virksomheten. I oktober 2023 ble Green Mountain underlagt sikkerhetsloven. – Årsaken til det er fordi vi direkte understøtter den grunnleggende nasjonale funksjonen som er definert til å være «evne til å ivareta datalagring og prosesseringskapasitet i Norge», forklarer Randulff.
Green Mountain er den første og foreløpig eneste datasenteraktøren i Norge som er underlagt sikkerhetsloven, men det forventes at flere sentrale datasenteraktører i Norge underlegges loven i nær framtid.
Den fysiske sikkerheten
Det er Green Mountain som drifter bygningsmassen og infrastruktur som støtter datasenteret, og har derfor ansvaret for den fysiske sikkerheten. – Det er begrenset med folk som har tilgang, vi har elektronisk adgangskontroll, fysiske barrierer, kameraovervåkning med opptat, sikkerhetsbemanning 24/7, og det er kundene selv som styrer hvem som har adgang til sine rom, forklarer Randulff.
Det er svært vanskelig for uvedkommende å komme seg inn på området til et datasenter, og ikke minst inn i datahallene som huser serverne.
På en annen side er kundene selv som har ansvaret for den digitale sikkerheten, altså selve dataen som lagres på kundenes servere. Så når man snakker om Cyber Security er det kundenes domene, mens den fysiske sikkerheten er datasenterets ansvar.