Videnskabsminister siger ja til cloud-løsninger i det offentlige
Ja, ind med skyen, ud med forvirrende regler. Sådan kan man i grove træk opsummere videnskabsministerens svar på, om det offentlige Danmark skal have lov til at bruge public cloud-løsninger.
Videnskabsminister Charlotte Sahl-Madsen har svaret på et spørgsmål stillet af Per Clausen (EL) i Folketinget angående anbefalingerne fra Rådet for Større It-sikkerhed, som fraråder at offentlige institutioner bruger cloud-løsninger på grund af for dårlig kontrol med data.
Men ministeren er dog til dels uenig i denne konklusion. Hun har rådført sig med IT- og Telestyrelsens samt It-sikkerhedskomiteen, og på baggrund af svarene, mener hun ikke, at der ud fra et teknisk synspunkt er grund til at stille højere sikkerhedsmæssige krav til cloud-løsninger end til traditionelle løsninger, hvor man gemmer sine data på en server i kælderen eller hos en it-leverandør et andet sted.
»I mange tilfælde kan en professionel cloudleverandør faktisk levere et højere niveau af sikkerhed end en lokal it-afdeling,« skriver Videnskabsminister Charlotte Sahl-Madsen og fortsætter:
»Jeg kan på baggrund af IT- og Telestyrelsens og It-sikkerhedskomiteens faglige vurdering derfor ikke genkende billedet af, at sikkerheden ved cloud computing ud fra en generel og teknisk betragtning skulle være en hindring for, at offentlige myndigheder kan komme i gang med at anvende cloud computing, ikke mindst set i lyset af at der for mange offentlige myndigheders vedkommende eksisterer store mængder af ikke-sensitive data, hvor man jo umiddelbart kan gå i gang med at skabe erfaringer med anvendelsen cloud computing.«
Persondataloven forvirrer for meget
Ministeren understreger dog, at følsomme data skal være underlagt streng sikkerhed, og at kunden skal tjekke om sikkerheden er i orden og om cloud-leverandøren lever op til de gældende krav og regler.
Men et af problemerne ved at indføre kommercielle cloud-løsninger har dog indtil videre været, at reglerne i persondataloven er for svære for kommunerne at efterleve og forstå. Der er nemlig mange gråzoner, hvor det er svært at gennemskue, om data følsomme eller ikke-følsomme.
Et eksempel er sagen, hvor Odense Kommune indtil videre har fået afslag af Datatilsynet til at benytte Google Apps. Og det vil videnskabsministeren gerne ændre på.
»I forhold til om det nuværende regelsæt gør det vanskeligere at anvende cloud computing er der nedsat en tværministeriel arbejdsgruppe, der skal stille forslag til eventuelle tilpasninger af persondataloven og øvrige relevante love og regler, der unødigt vanskeliggør anvendelsen af cloudteknologier. Jeg forventer, at arbejdsgruppen afslutter sit arbejde i efteråret 2011,« står det i svaret.
Hybride cloud-løsninger er fremtiden
Rådet for Større It-sikkerhed mener også, at der skal oprettes en afgrænset cloud-løsning for det offentlige, som er placeret i Danmark. Men ministeren skriver, at der også skal åbnes op for, at det offentlige kan eksperimentere med kommercielle public clouds, fordi de er de billigste løsninger:
»Det største potentiale i forhold til cloud computing findes i offentligt udbudte, kommercielle cloudløsninger. På længere sigt er det derfor min holdning, at vi i det offentlige skal udforske, hvordan vi i højere grad kan udnytte de offentligt udbudte cloudløsninger, hvor det giver mening.«
»Det er også derfor, at vi i ministeriet har en høj prioritering af arbejdet med alternative sikkerhedsmodeller og lignende tiltag såvel nationalt som på EU-niveau, som kan gøre det muligt at benytte offentligt udbudte, kommercielle skyer (public clouds) på betryggende vis.«
Kommentarer (7)
Det er måske rigtigt, at en professionel sky-leverandør kan tilbyde højere sikkerhed på nogle punkter. Og der er heller ikke den store forskel på at lægge tingene i skyen eller at lægge driften hos en ekstern leverandør.
Men problemet opstår for alvor, når data og/eller medarbejdere hos leverandøren ligger uden for Danmarks grænser.
Hvis data ligger i et andet land, så vil adgang til data også være underlagt dette lands love. Dette kan blandt andet medføre, at det lokale politi/efterretningsvæsen kan opnå adgang til data på andre vilkår, end dansk lov fastsætter.
Hvis medarbejderne sidder i et andet land, så vil de ikke nødvendigvis kunne retsforfølges for brud på f.x. persondataloven.
Så spørgsmålet er ikke så meget om man taler sky eller outsourcing af drift. Det handler mere om, hvilket land servere og medarbejdere opholder sig i.
-
5 -
0
Hvad mener videnskabsministeren Charlotte Sahl-Madsen mon med det???
For danske skatteborgere?
For danske virksomheder (DanID fx.)?
For politikerne?
Grundloven, Forvaltningsloven etc. etc. etc. er allerede blivet "kigget efter i sømmene"!!!!!
mvh
Villy
-
3
-
0
Er der ikke nogen der kan forklare hvad forskellen er på en "cloud-løsning" og et antal redundante servere et sted?
-
0
-
0
Citat: "Men et af problemerne ved at indføre kommercielle cloud-løsninger har dog indtil videre været, at reglerne i persondataloven er for svære for kommunerne at efterleve og forstå."
At loven er svær at efterleve er en dårlig begrundelse for lovændring - mange har også svært ved at overholde færdselslovens bestemmelser om maksimal hastighed...
(slut på dårlige analogier..)
Alle oplysninger der kan henføres til personer burde betragtes som følsomme personoplysninger. Det er muligt at de ikke er følsomme lige nu, men det kan være de bliver det.
Samfundet ændrer sig hele tiden og med de store mængder data der kan rummes på lille plads, profesionnelle it-kriminelle, tvivlsomme styreformer i de lande der rummer server-farme, og data der lægges på nettet (tilsigtet og utilsigtet) af virksomheder og myndigheder med mulighed for lagring i søgetjenester og statens arkiver, kan der virkelig samles mange brikker. Disse data kan med fremtidens datakraft (mis)bruges på måder som vi ikke forestiller os i dag.
England (og sikkert også andre lande) har jævnligt sager med data der flyder og tabes/stjæles.
Aktuel er nogle aviser i søgelyset - godt nok "kun" med aflytning af telefoner osv., men med den moral vil disse aviser sikkert ikke holde sig tilbage når de eller deres lejesvende bliver dygtige nok, og får værktøjerne, til at hente data fra servere eller andre steder.
-
1
-
0
Jeg er godt klar over at den siddende regering helst vil outsource det meste. Det er på nogle punkter også helt OK. Jeg synes dog at det ville være en god idé hvis man gik i gang med at designe en "Cloud-DK" implementering, ejet af staten, administreret af eksterne. Det må da være en god kompromis :-)
På den måde har man hånd om sikkerheden. Om det så er bedre end de eksisterende kan man så spørge sig, men man har hånd om tingene. Næste skridt kunne være at tilbyde den løsning til de danskere som betaler skat i DK.
På den måde mener jeg at man slår flere fluer med ét smæk.
- Hånd om sikkerheden.
- Øget forskning/viden i DK
- Løsning købes ikke i udlandet og der med penge ud af landet.
- God service til borgerne.
Det samme er tilfældet med infrastrukturen. Det er en fatal fejl at man overlader det til adskillige kommercielle udbydere. Infrastrukturen gør iværksættes af staten for at sikre en positiv udvikling.
-
2
-
0
Ret beset handler det her jo om stordrift og at spare penge. Og at staten vil det, kan vi vel kun være glade for.
Problemet ligger vel dels i, at temmelig mange p.t. råber cloud uden at have gennemtænkt det helt, dels i at man ikke bare sådan kan "cloud-ificere" alting uden temmelig betydelige omkostninger - og dels i at loven på flere områder forbyder flytning af danske persondata til udlandet.
For at tage det sidste problem først, er jeg helt enig med Charlotte i at persondataloven bør revurderes.
Men persondataloven eksisterer jo også for at sikre sig mod andre landes "indbrud" i danske data. Her tænker jeg f.eks. på den amerikanske Patriot Act, der giver den amerikanske sikkerhedstjeneste lov til at rode i alle data, der måtte befinde sig på amerikansk eller canadisk jord - det vil altså også sige vores evt personfølsomme data.
Jeg er med på, flere af de store cloud-udbydere, herunder Microsoft, har datacentre andre steder end i USA - men hele stordriftsideen med cloud er, at man som udbyder kan flytte data og ressourcer. Og derfor har man pt ingen garanti for, at de danske data kun eksempelvis er i Irland.
Derfor er en dansk-baseret cloud-løsning ikke en skidt ide. Igen - det hele handler om stordrift - og vel ikke så meget om hvem der leverer den.
Der er i min verden ikke så meget nyt i cloud-begrebet. Men godt at der er noget mere fokus på det, end der har været de sidste mange år.
Nu skal vi bare have skilt salgs-gas fra virkelighed og igang med at implementere det, hvor det giver mening - og lade være, hvor det ikke gør endnu!
-
0
-
0
