Økt bruk av skytjenester bringer også med seg nye sårbarheter og økt risiko på andre områder. En migrering av eksisterende tjeneste («lift-and-shift») som er utdatert og sårbar er like sårbar om den kjører lokalt i datarommet eller om den kjører hos en skytjenesteleverandør. I enkelte tilfeller kan sårbarhetene øke ved bruk av skytjenester. Eksempelvis kan mange eldre IKT-tjenester, som ikke er laget for skyen, medføre økt sårbarhet og risikovandring ved å gi de økt eksponering fra en skytjeneste.

Selv om eksisterende applikasjoner kan virtualiseres ved hjelp av relativt enkel lift-and-shift, er dette ikke alltid en like god løsning på lengre sikt. Virksomheten har i henhold til ansvarsprinsippet det hele og fulle ansvaret for sikring av egne verdier, også ved bruk av skytjenester, og vil selv ha et delansvar avhengig av hva slags tjenestemodell som benyttes:

  • Software-as-a-service (Saas): Virksomheten har selv ansvar for å sikre data og tilgangsstyring.
  • Plattform-as-a-service (PaaS): Virksomheten har selv ansvar for å sikre data, tilgangsstyring og programvare/applikasjoner.
  • Infrastructure-as-a-service (IaaS): Virksomheten har selv ansvar for å sikre data, tilgangsstyring, programvare/applikasjoner, operativsystem og nettverkstrafikk.

Graden av kontroll mellom virksomhet og skytjenesteleverandør avhenger av type skytjeneste. Alt utenfor den stiplede linjen må virksomheten selv sikre.Graden av kontroll mellom virksomhet og skytjenesteleverandør avhenger av type skytjeneste. Alt utenfor den stiplede linjen må virksomheten selv sikre.

En underskog av skybaserte tjenester vokser nå frem, og disse er ofte leverandørspesifikke. Tjenester kan integreres, og muliggjør stor grad av innovasjon og kreativitet, som er kostnadsbærende selv for små virksomheter. Dette skaper også et uoversiktlig bilde av avhengigheter og verdikjeder for virksomheten selv. Kompleksiteten kan øke hvis virksomheten bruker og integrerer tjenester både fra ulike skytjenesteleverandører kombinert med noe «lokalt» og fra eget datasenter.

Ved utstrakt bruk av skytjenester er det lett å miste forståelsen av teknologien som bærer skytjenestene. I tillegg kan virksomhetens egen evne til å kravstille og følge opp leveransene svekkes. Det kan være krevende å forstå hvilken sikkerhetsfunksjonalitet som tilbys og om disse er relevante for virksomhetens behov. Når skytjenester understøtter virksomhetens forretningsprosesser, blir disse tjenestene strategisk viktig å ha kontroll på. Da er det særlig viktig å ha god sikkerhetsstyring og bestillerkompetanse ved bruk av skytjenester. For mer informasjon vises det til NSMs temahefte Sikkerhetsfaglige anbefalinger ved tjenesteutsetting.1