Storegate svensk molnlagring med riktig säkerhet?

Storegate svensk molnlagring med riktig säkerhet?

Jag blev uppmärksam på Storegate’s molnlagringstjänst via If Skadeförsäkringen. If erbjuder en så kallad “Databrottsförsäkring” för små och större företag.
Som en del av denna försäkring ingår för dig som kund 5 GB lagring och backup hos Storegate.

5 GB backup ingår kostnadsfritt

If beskriver skriver på sin hemsida bland annat:
I samarbete med Storegate erbjuder vi ett enkelt och säkert sätt att lagra och skydda företagets digitala information, till exempel bokföring, presentationer och kundregister.
Dina digitala filer lagras direkt via webben på Storegates servrar och du får 5 GB kostnadsfritt via vår databrottsförsäkring.
Det finns bra säkerhetstips på If’s hemsida i kombination med marknadsföring av deras Databrottsförsärking. Här skriver man bland annat om lösenord.
Tommy Bårdevik, säkerhetsexpert på IBM skriver:
Människor använder för enkla lösenord, de har ofta samma lösenord för olika platser och de är inte tillräckligt kritiska till det egna användandet av mobila media, säger Tommy Bårdevik.
Två av de enklaste sätten att manipulera människor är att be om information via e-post, eller att få dem att installera skadliga programvaror. Ett exempel på sådan e-post är när en användare blir ombedd att uppge personliga data eller aktivt trycka på en länk för att verifiera att informationen är korrekt. En seriös verksamhet skulle aldrig skicka ut sådana generella bekräftelser till sina kunder. Ändå öppnar många människor suspekta meddelanden och trycker på länkar som i praktiken handlar om att ladda ned virus. Dessa mänskliga beteenden ger hackare ett fotfäste i verksamheten.
Slutligen gör man reklam för If’s försäkring:
Om ditt företag skulle drabbas av ett databrott kan en försäkring lindra konsekvenserna rejält. If har tagit fram en databrottsförsäkring som ger ditt företag ett gott skydd. Försäkringen innehåller ett samarbete med säkerhetsexperter på IBM.
Samarbetet mellan IF och Storegate nämns även på Storegate’s hemsida i en egen nyhet.

Storegate en trygg svensk molnlagringstjänst?

Besöker man Storgate’s hemsidan så blir det tydligt vad Storegate vill förmedla.
Tryggare med svensk molnlagring“.
“Storegate erbjuder lättanvända tjänster för företag som vill ha svensk lagring och svensk support under svensk lag. Storegate fungerar som Dropbox eller Onedrive men kan så mycket mer.”
“Självklart följer vi GDPR och tjänsterna har stöd för att även ert företag kan uppfylla kraven.”
Är det så tryggt med en svensk molnlagringstjänst när man jämför man sig med stora molntjänster som bland annat Dropbox? Ok, svensk lag gäller då företaget befinner sig i Sverige. Men det är det enda.

Tittar vi det där med “tryggare molnlagring”.

Säkerheten beskrivs med bland annat följande ord:
Kryptering
Alla filer som lagras i Storegates system är krypterade med en egenutvecklad systemgenererad krypteringsalgoritm.
Och här kommer vi till den första punkten i Storegats lösning som få mig att höja ögonbrynen.
En egenutvecklad krypteringsalgoritm? Hallåa! Varför använder man inte något som redan finns, något som är beprövat och säkert? (exempelvis AES)
En egenutvecklad krypteringsalgoritm. Det är ingen lek att ta fram en egen krypteringsalgoritm. Vi pratar alltså om en hemmagjord krypteringsalgoritm. Hur säker är den? Har den analyserats av säkerhetsforskare? Är den säkrare än välbeprövade AES?
Storegate använder en hemmagjord krypteringsalgoritm för att säkra kundernas data. Det finns ingen information om att Storegat’s egen krypteringsalgoritm har granskats av externa säkerhetsexperter. Och nu använder man denna hemmagjorda krypteringsalgoritm för att säkra kunders data säker? Hmm ….

Avsaknad av 2FA

Vi fortsätter med säkerheten. För att testa själva molnlagringstjänsten har jag skapat ett eget konto hos Storegate.
Väl inloggad med ett eget vald användarnamn och lösenord, kommer jag åt min mappstruktur. Kan ladda ner backup programvara eller programvara för synk av filer och börja använda den svenska molntjänsten. Säkerhetsmedveten som jag är vill jag aktivera 2FA (Tvåfaktor autentisering) för att ha ett extra skydd mot obehörig inloggning. Men nej! En sådan funktion finns inte hos Storegate!
Vänta nu, vi går tillbaka till det vi läste på If’s hemsida om IT säkerhet! Där pratar man om lösenord och phishing (nätfiske).
Människor använder för enkla lösenord ….
Två av de enklaste sätten att manipulera människor är att be om information via e-post….
Ett exempel på sådan e-post är när en användare blir ombedd att uppge personliga data … för att verifiera att informationen är korrekt.
Jag kan förstå att 2FA inte är aktiverad från början när man har skapat ett konto. Men att själva 2FA funktionen inte ens finns att aktivera för den som vill?!
Om en Storegate användare faller för ett riktat phishingförsök, så är angriparen med en enkel inloggning inne på personens / företagets backup och fil lagring. Hen kommer sedan åt alla filer och kan ta del av all information. – Plötsligt känns den säkra svenska molntjänsten inte lika säker längre. Detta på grund att säkerhetsfunktioner som bör vara standard år 2018 saknas hos Storegate.

Loggningsfunkioner

När vi nu ändå tittar på det scenariot att någon obehörig lyckats komma åt molnlagringskontot, så vill man gärna se detta i någon form av loggar.
I mitt fall jämför jag Storegate med Dropbox, enbart som ett exempel.
I mitt Dropboxkonto kan jag enkelt se historiken på alla tidigare inloggningar via webbläsaren, med IP adress och land. Dessutom syns alla enheter som synkade med mitt konto.
Jämför vi det här med Storegate, så ser man enbart den aktuella pågående webbinloggningen. Ingen historik visas för användaren så man kan inte själv granska det som har hänt.
Visserligen visas synkade enheter liknande som i Dropbox, men varför ska en förövare installera Storegateklienten och synka filer den vägen, när man kan hämta allt direkt via tjänstens hemsida?

GDPR och det här med svensk säkerhet

Storegate gör mycket reklam om att man följer GDPR. Det finns dock inget krav att informationen måste sparas inom Sverige! (förutom Bokföringsinformation)
Det är lika lagligt att använda molntjänster som spara data i ett annat land inom EU och EES.
I GDPR står det även:
Om EU-kommissionen har beslutat att ett tredje land säkerställer en adekvat skyddsnivå får man föra över personuppgifter dit utan något särskilt tillstånd.
Mer specifikt säger man:
The European Commission has so far recognised Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay and the US (limited to the Privacy Shield framework) as providing adequate protection.
Tillbaka till Dropbox som ett alternativ som redan idag används av många personer, så försäkrar Dropbox att man uppfyller GDPR kraven den 25:e Maj 2018. Troligtvis kommer EU-användarnas data sparas på AWS servrar i Tyskland (EU) när lagen börjar gälla.

En molntjänst som inte är att rekommendera

Ett av principerna för behandling av personuppgifter i GDPR (Artikel 5 f) säger:
De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Eftersom 2FA saknas hos Storegate måste man som företagare vara försiktig med vilken information man sparar på Storegates molntjänst. Man kan hamna i sitsen att bryta mot GDPR.
Med tanken på ovan nämnda punkter vill jag avråda från att använda Storegate som molnlagringstjänst tills företaget har förtydligad sin hemmagjorda krypteringsalgoritm, samt infört 2FA för alla kunder. En utökad loggningsfunktion hade också varit önskvärd då andra molntjänster redan har sådant idag.
Innan dessa ändringar är gjorda känns det svenska molnet som Storegate erbjuder inte lika säkert som andra befintliga tjänster. Samtidigt visar det här exemplet, att en svensk molntjänst inte behöver betyda att den är säkrare bara för att informationen sparas i Sverige.
 

Uppdatering – 2018-07-09

Storegate har tydligen infört 2FA någon gång efter publiceringen av min artikel ovan.
Finns lite information om det på Storegats hemsida. Ser dock ut som det är något som kunden själv måste aktivera.
Dessutom skriver man att tjänsten medför vissa begränsningar:
OBS: När 2-stegsverifiering är påslaget kommer ”enkla inloggningar” sluta fungera. Exempelvis webDAV-anslutningar, Map Drive och anslutningar från gamla appar och klienter(AutoStore).
Det kan leda till att en del användare undviker att aktivera 2FA.
Även om 2FA finns på plats nu, så använder man fortfarande en egenutvecklad systemgenererad krypteringsalgoritm. (se ovan) 
 
Man kan tillägga att Storegate inte svarade på mail med referens till den här artikeln, trots att jag mailade företages kundtjänst och deras DPO (Data Protection Officer) som står som GDPR ansvarig på hemsidan. Gör man så som ett seriöst företag? Kanske har artikeln varit för obekväm?
 
Under tiden passar Storegate på att gör mycket reklam om en säker svensk molnlagringstjänst. Så klart hoppar man på “CLOUD Act” så fort den blir publikt med en egen blog artikel, för att passa på och marknadsföra sig själv igen.
Vill du använda en svensk molntjänst som inte lyder under CLOUD Act så är du välkommen till oss på svenska Storegate AB. Vi tror på företagets och individens integritet och vi garanterar att:
  • All information lagras i Sverige under svensk lagstiftning.
  • Storegate inte använder information som lagrats i annat syfte än att lagra den åt våra kunder.
  • Kunden behåller äganderätten till all information som lagrats i Storegates molntjänst.

Tyvärr känns det mest som att Storage försöker rida på GDPR och Cloud Act – ur marknadsföringssynpunkt. Utan att för den sakens skull leverera det marknadsföringen lovar.

Kommentarer är stängda.