Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«

11. maj 2021 kl. 03:4529
Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«
Illustration: Nanna Skytte.
Schrems II har gennem knap et år givet grå hår i hovedet på organisationer, der står med det ene eller begge ben i skyen. Hos Statens It vil man slet ikke levere cloud-tjenester, fordi det på nuværende tidspunkt ikke kan gøres på lovlig vis, lyder det.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Kunderne er gennem de seneste år væltet ind hos Statens It, der i 2016 fik til opgave at varetage it-driften for alle statslige institutioner bortset fra Skat, Forsvaret og Rigspolitiet.

Sidstnævnte er også på vej til Statens It, men selvom ansvaret vokser, er der en helt afgørende teknologi, som statens driftsorganisation ikke kan levere.

Kunderne kan ikke komme i skyen.

»Det er ikke noget, vi tilbyder som en service,« siger Helle Uldbæk Sørensen, der er DPO hos Statens It.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
29 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
29
13. maj 2021 kl. 16:20

Viser App'en alt data Microsoft henter? Jeg mener kun den viser deres Diag data. Men jeg kan tage fejl og de har åbnet mere op siden? Du kan dog få mere indsigt ved at oprette en Microsoft konto og login på din PC. Men har du lokal bruger, kender jeg ingen måde hvorpå du kan få den data din PC generere.

27
12. maj 2021 kl. 23:09

Jeg kender ikke til nogen der forsøger at identificere persondata i udadgående https trafik. Normalt vælger de hvilke domæner (hjemmesider) de vil tillade klienter at kommunikere med - og har så dermed valgt at stole på de sider.</p>
<p>Her ville rapportering til Microsoft formodentlig ikke blive godkendt, uden at man have en eller anden lovning fra Microsoft på hvad der blev sendt og en vurdering af at det ikke var problematisk.

Hvordan omsætter du det til praksis?Jeg vil ikke mene det er muligt at benytte et OS lavet af et usikkert 3. land og samtidig sikre at data ikke bliver sendt dertil når nu OS'et er bundet op på Cloud'en. Det er hele pointen. Jeg ved ikke om vi snakker forbi hinanden, eller fordi du ikke følge mig?

Jeg vil anbefale dig at åbne settigs i Windows, herefter en Wireshark. Læg mærke til, at hver gang du skifter settings side, genereres der pakker som sendes til Microsoft. Det er ikke lykkes mig at få indsigt i de pakker, hvad de indeholder. Et forsigtigt gæt er dog, om funktionerne er slået til/fra. Men du mente dette var muligt? I så fald må du meget gerne uddybe hvordan. I øvrigt, sendes der nu meget mere end blot statisik, når man læser Microsoft meget vage dokumentation.

26
12. maj 2021 kl. 13:17

Kunne ikke være mere enig :) Jeg forstå heller ikke helt den vedholdne påstand om at der kun skulle findes tre "cloud udbydere".

24
12. maj 2021 kl. 13:05

Jeg mener bare (som du selv er lidt inde over)

(dog er man ikke specielt i kontrol her - så det må være en kalkuleret risiko/tillidsforhold).

Man kan selvfølgelig tage nogle forholdsregler, evt. køre dedikerede servere i nogle sammenhænge.

Jeg mener bare, at at hvis man ikke har styr på sin infrastructur (IAC) og deployments (code og implementering). Så er sikkerheden ikke anderledes om du har dit eget cluster, datacenter eller man benytter Azure eller AWS.

Og min umiddelbare intuition siger mig at Azure per automatik vil være mål for de mest sofistikerede APT'er, dog ikke nødvindgivis på Hyper-V / VM niveau.

23
12. maj 2021 kl. 11:29

Cloud er - uanset hvilket jern du benytter - ikke mere sikkert end dine k8s deployments.

øhh? Den må du gerne uddybe.

Vi vælger at deploy'e k8s på jern vi lejer hos Hetzner. Så VED vi at sårbarheder såsom spectre, og VM escapes (at VM's på samme host) - som der jo kommer nogen jævnligt (i både KVM, VMWare og Xen mv.) IKKE vil være en sårbarhed der kan ramme os.

Det kan det jo hvis man kører på andres VM platform - men det arbejder VM providerne selvf. meget på at holde ting opdateret og sikre sig godt imod (dog er man ikke specielt i kontrol her - så det må være en kalkuleret risiko/tillidsforhold).

22
12. maj 2021 kl. 11:21

Kan du anbefale en god HTTPS-proxy der kan bruges til formålet? Kan du fortælle lidt mere om hvordan pakker fjernes, når de indeholder persondata?

Jeg kender ikke til nogen der forsøger at identificere persondata i udadgående https trafik. Normalt vælger de hvilke domæner (hjemmesider) de vil tillade klienter at kommunikere med - og har så dermed valgt at stole på de sider.

Her ville rapportering til Microsoft formodentlig ikke blive godkendt, uden at man have en eller anden lovning fra Microsoft på hvad der blev sendt og en vurdering af at det ikke var problematisk.

Jeg bruger selv privoxy (privat proxy på min egen skrivebordsmaskine) - og mange sætter browseren op så den proxy'er trafik frivilligt igennem en proxy - som kan være f.ex. squid eller envoy (begge open source) og der er mange andre.

Udfordringen ved at lukke ned for dele af kommunikationen til Microsoft, kan få systemet til at opføre sig uhensmæssigt. Min pointe er, at Windows er et Cloud OS og vil derfor i fremtiden forhåbentligt skabe samme påstyr.

Vi kører ikke Microsoft nogen steder - så den slags problemer har vi ikke, men jeg formoder at det indgår i ens valg af Windows 10 - når man som firma vælger den slags - jeg kan ikke forestille mig andet :)

At sige at Windows 10 er et "cloudos" (hvad er definitionen for det?) - bare fordi de sender brugsstatistikker (som jeg forstår det er) til Microsoft - tænker jeg vil være en forkert label.

Jeg kunne hurtigt finde en forklaring på hvad man skal slå fra i windows 10 for at undgå det: https://www.zmescience.com/tech/windows-10-information-microsoft/

Der også beskriver hvilke konsekvenser det så har, men jeg bruger ikke windows 10, så jeg har ikke testet den :)

21
12. maj 2021 kl. 11:06

Spændende hvis det er muligt. Jeg havde ellers en forventning om at disse data var krypteret med en hardcoded nøgle i selve systemet; og at det reelt var tale om forretningshemmelighed.

Kan du anbefale en god HTTPS-proxy der kan bruges til formålet? Kan du fortælle lidt mere om hvordan pakker fjernes, når de indeholder persondata?

Udfordringen ved at lukke ned for dele af kommunikationen til Microsoft, kan få systemet til at opføre sig uhensmæssigt. Min pointe er, at Windows er et Cloud OS og vil derfor i fremtiden forhåbentligt skabe samme påstyr.

20
12. maj 2021 kl. 09:56

. Data er krypteret over 443 (udgående) og det er kun Microsoft der ligger inde med den private nøgle.

Jeg gentager så lige det jeg skrev:

For det første skrev jeg at al uønsket trafik normalt ville være blokeret og når det gælder trafik over HTTPS - så skrev jeg at man typisk ville have en proxy til HTTP(S) trafik - og der vælger mange at køre MITM (dvs. de udsteder cert for alle domæner - og kan dermed se AL trafik - det kræver så klienterne har firmaets CA - men det har den normalt) - ELLER de kan se SNI - og dermed se hvilket domæne der vil snakkes med og i begge tilfælde vil man typisk kun tillade trafik til godkendte sites - så sådan trafik vil alligevel blive blokeret, medmindre nogen har taget en snak med leverandøren af softwaren (her MIcrosoft) og fået information der gør de føler de skal tillade den trafik).

Så som udgangspunkt tror jeg ikke ret mange fornuftige firmaer overhovedet tillader den trafik - uden at have tiltro til at det ikke er et problem (og her er det jo så leverandørtillid - og skulle der ske noget - må loven jo dømme som den vil - det problem har firmaet jo selv valgt, hvis de tillader trafikken).

19
11. maj 2021 kl. 19:50

Cloud er - uanset hvilket jern du benytter - ikke mere sikkert end dine k8s deployments. Hvis du nøje læser betingelser igennem hos eks. Azure så får du lov at betale for HA. Så har du nok ret i at især Azure og GCP er fedtet godt og grundigt ind i en stor rodebunke af Apps (vendor lock-in) til folk der ikke har noget begreb om k8s, DevOps, systemadministration, IT-sikkerhed eller programmering. Det kan næsten ikke blive mere usikkert.

18
11. maj 2021 kl. 16:33

Jeg er med på der kan laves foranstaltninger og der er vi enige. Men jeg er nysgerrig på, hvordan du ved Windows 10/Windows Server vil skille snot fra kanel? Styresystemet laver et utal af forbindelser til Microsoft domainer, som kan indeholde personfølsomme data. Data er krypteret over 443 (udgående) og det er kun Microsoft der ligger inde med den private nøgle. Jeg har brugt Windows i mange år, men skiftede til Linux efter Windows 10 blev lanceret. Jeg forsøgte selv at få systemet til at stoppe med at ringe hjem, men det lykkedes jeg aldrig med. De Windows server jeg har i privaten, er alle taget af Internettet, netop af den grund.

17
11. maj 2021 kl. 15:40

kedelig Exchange server, hvis den ikke kan modtage og sende post

Generel regel -hvis serveren kan tilgås udefra - skal den IKKE kunne gå ud selv. Jeg kender ikke mange fornuftige folk, der ikke har lukket en exchange server af så den KUN kan sende mail ud (og få ind) via en postfix smtp relay server..så JA exchange servere skal også lukkes af :)

en FTP server må selvf. have åben for ftp IND (typisk SFTP ;) - men skal ikke have adgang UD til internettet.

Windows 10 klienter - der findes HTTP proxy's man typisk anvender - for at de IKKE har direkte adgang til internettet (hvis du har siddet i en bank - vil det være sådan f.ex.).

Jeg ved ikke om du bevidst misforstår mig, eller ?

Generelt "principle of least priviledge" - så adgang de IKKE behøver, skal de IKKE have - og "mellemmænd" til de protokoller der skal kunne snakkes - således at angribere skal finde huller BÅDE i mellemmandens implementation af protokollen OG det bagvedliggende måls implementation.

Der finde standard løsninger på dette til de fleste services man kunne finde på at køre.

Summa Summarum en windows server "ringer ikke hjem" til nogen som helst - og det har iøvrigt heller ikke noget med GDPR at gøre - da den ikke giver MS adgang til kunde informationer via en sådan udadgående dialog (men jeg ville da stadig lukke af for den).

16
11. maj 2021 kl. 15:14

Niels Madsen

Nej! GDPR giver i sammenhæng med anden lovgivning en lang række problemstillinger, hvor der er modsatrettede hensyn. Med andre ord kan en snæver fortolkning af en sag som ulovlig alene ud fra GDPR nemt være forkert, da andre hensyn kan veje tungere og derved hvis sagen kommer for en dommer få rettens ord for at være lovlig.

Hvis alting var så sort/hvidt som din udlægning, som var der ikke brug for advokater eller retssale...

15
11. maj 2021 kl. 15:11

Det vil være en ualmindelig kedelig Exchange server, hvis den ikke kan modtage og sende post, en Webserver der kun virker lokalt, FTP mv. :) Nu nævner du selv WSUS med Internetadgang.

Windows Server, er blot Windows 10 + roles/features. Så alle Windows 10 klienter skal også udelukkes fra Internettet? :)

14
11. maj 2021 kl. 12:49

Der bør nævnes i artiklen at Statens IT har GovCloud som servicetilbud og hvorfor det ikke er relevant i denne sammenhæng.

13
11. maj 2021 kl. 12:45

Windows Server med Internetadgang

Men det er da vel INGEN ansvarlig sysadmin der gør? Jeg har altid blokeret internetadgang for servere - og med WSUS - får de jo deres opdateringer fra den og ikke fra microsoft direkte..

At blokere - og logge evt. forsøg er den billigste måde at opdage potentielle driftsproblemer (at dine servere/services afhænger af noget eksternt for at fungere) og sikkerhedsproblemer på.

12
11. maj 2021 kl. 12:42

De vi oplever nu, er kun toppen af isbjerget. Installeres der en Windows Server med Internetadgang, sendes der data til Microsoft - underforstået NSA. Det samme hvis der bruges Windows 10, Office pakken, MAC mv. Så vil det i fremtiden ikke være muligt at bruge Windows 10 og Apple i det offentlige, hvor der er personfølsom data involdveret?

11
11. maj 2021 kl. 11:26

Der er hetzner og OVH f.ex. (i tyskland og frankrig henholdsvis) gode alternativer, som gør det super nemt at få nye (fysiske! - så man VED hvilken performance man kan regne med) servere.. Og så administrerer vi vores med Puppet - der f.ex. tilføjer serveren til en af vores kubernetes clustre - og på den måde får vi nemt samme funktionalitet med automatisk skalering af vores k8s sky.. Dog ikke med helt samme reaktionstid og man betaler for én måned af gangen.. Man kan dog supplere med VM ressourcer (som det er hos AWS - så her er det meget sammenligneligt)..

Hvis nogen havde behovet kunne man jo passende samle denne ticket op: https://github.com/kubernetes/kops/issues/8983 - hvor nogen havde prøvet at få tilføjet understøttelse af Hetzner's VM cloud til KOPS (som mange bruger til at opsætte deres kubernetes clustre hos cloud providere) - eller man kunne sponsorere en til at arbejde på det.. og Hetzner vil da sikkert gerne samarbejde hvis nogen større tog en snak med dem om det.

Eller man kan benytte OVH - de har et Openstack API - se https://api.ovh.com/openstack-swift-for-pcs-howto.xmlog openstack er understøttet af kops allerede (som er et officielt tool under kubernetes til at udrulle kubernetes via cloud/api tjenester).

Eller man kan bruge terraform op imod hetzner (og mange flere cloud providers): https://computingforgeeks.com/deploy-vm-instances-on-hetzner-cloud-with-terraform/

De er bare små - så det er ikke dem man finder først på internettet, hvis ikke man ved hvad man skal søge på.

10
11. maj 2021 kl. 11:15

Statens IT kunne sagtens drive deres egen cloud - og gør det faktisk også i det små. Den hedder GovCloud og er semi-næsten-produktionsmoden.

Desværre er den kun gearet til web-vendte systemer, og den er ret dyr at bruge. Der er naturligvis heller ikke nogen services som f.x. Office365.

Problemet for Statens IT er nok, at de uværgerligt vil blive sammenlignet med professionelle cloud-leverandører. Og der fejler Statens IT stort på alle parametre: Pris, oppetid, services, sikkerhed, fleksibilitet osv.

9
11. maj 2021 kl. 11:04

Ja, der er mange muligheder og jeg har evalueret en lang række alternativer i EU.

Beskriv dit behov, hvilke cloud- ydelser har du brug for?

Så skal jeg nok foreslå et par alternativer.

p.s. Dennis - om alternativerne kan levere præcis den specifikke ydelse du har brug for er jo uvæsentligt. Du skal bruge alternativer. Det er ikke frivilligt :-) Det gælder jo bare om at finde den løsning der kommer tættest på.

8
11. maj 2021 kl. 10:57

Flere har i denne tråd nu påpeget, at der ikke kun er den amerikanske marked hvad angår cloud, og at der findes nok europæiske cloud-udbydere.

Må jeg høre nogle af de eksempler, I har? For hvis disse sikrer et minimums sikkerhedsniveau, som kan gå an, og som ikke væsentligt formindskes (herunder tænker jeg også driftssikkerhed, m.fl.) sammenlignet med Microsoft, Google, AWS, IBM, etc, så vil dette være en fremragende vej at gå ned ad.

Men jeg frygter lidt, at der enten ikke er tale om at sikkerhedsniveauet er sammenligneligt på de væsentligste punkter med big techs sikkerhedsniveau, og at man derfor skal indgå en kompromis: enten høj sikkerhed (med bagdøre til efterretningstjenester) eller mindre høj sikkerhed med højere kontrol.

Men igen: jeg kender ikke til EU-clouds og er meget nysgerrig at høre, hvilke der findes herhjemme.

@Johnny Lüchau & @Casper Petersen: Har I gode bude på EU-clouds?

7
11. maj 2021 kl. 10:07

Det er vigtigt at man hos Statens IT, såvel som hos alle andre offentlige og private organisationer, holder sig for øje hvad opgaven går rent faktisk ud på:

**Man skal sørge for at der ikke er risiko for at borgernes/kundernes personhenførbare data falder i hænderne på nogle som ikke giver data den samme beskyttelse som vi har hos EU-firmaer. **

Glem alt om tomme løfter og ugyldige gummi-aftaler og bare fokuser på det, så bliver alting meget nemmere.

Og som andre har sagt: Cloud betyder ikke "amerikanske udbydere". Der er mange spændende og lovlydige alternativer i EU. Bare spørg.

6
11. maj 2021 kl. 09:36

Og hvis statens it-forbrug ikke er nok, så kan man tage regioner og kommuner med.

5
11. maj 2021 kl. 09:34

Hvorfor kan, eller vil, Microsoft ikke tilbyde en office 365 licens til staten, hvor sofwaren er installeret på et lokalt datacenter som er eget af staten. I sådan en situation er dataerne stadigvæk bestykket.

4
11. maj 2021 kl. 09:16

Der er da flere europæiske cloud udbydere som kun har datacentre i Europa (eu), og som ikke koster mere end fx AWS. Hvorfor ikke bruge dem.

Jeg undre mig oftere over hvorfor Danmark er så USA fikseret.

3
11. maj 2021 kl. 08:56

Jammen for statens genier er "Cloud" jo bare en smart betegnelse uden anden mening end hvad Microsoft eller Amazon's konsulenter har bildt embedsmændene ind.

-Nå, men jeg skal ned på posthuset for at betale mit Yahoo abonnement for denne måned. Ellers mister jeg min email på den der 'Internet', så I må have mig undskyldt så længe.

2
11. maj 2021 kl. 08:47

"Så I vil ikke stå med ansvaret for, at der måske/måske ikke sker nogle tredjelandsoverførsler, der ikke er GDPR-compliant?

»Det vil vise sig, hvis der skulle komme en sag på det en dag. For os er der forskel på, om det er en beslutning, der er truffet, før eller efter de er overgået til os.«"

Det er vel nok betryggende at høre at borgernes "databeskyttelsesrådgiver", DPO'en hos Statens IT, ikke vil gribe ind overfor kriminalitet så længe deres "kunder" allerede på forhånd var kriminelle. Det er dansk offentlige forvaltning i en nøddeskal.

1
11. maj 2021 kl. 08:40

Ideen med "cloud" er vel netop ikke at det så skal køre hos AWS eller Microsoft. Men at der er self-service og elastisitek på (forskellige) compute-resourcer.

Jeg kan ikke forstå, hvis Statens It ikke skulle have volumen nok til at det giver mening at drive 3-4 datacentrer rundt omkring i Danmark, så de kan tilbyde cloud-services på deres eget hardware.

Jeg forestiller mig nærmere, at det er samarbejdet med "kunderne", der er den virkelige begrænsning i, at deres leverandører har nogen antagelser, som ville skulle tilrettes - og det change-management er bare en mere besværlig diciplin end system-udvikling.