Datatilsynet afviser for tredje gang Google Apps i Odense

Datatilsynet er stadig ikke tilfreds med den dokumentation, Odense Kommune har fremlagt om planerne for at bruge Google Apps. Projektlederen er ikke længere overrasket over tilsynets nidkærhed.

Tredje gang var ikke lykkens gang. I en ny afgørelse har Datatilsynet udbedt sig yderligere dokumentation, før tomlen kan vendes opad til Odense Kommunes ønske om at bruge den cloud-baserede kontorpakke Google Apps til at udveksle elevplaner i skolesystemet.

Læs også: Nu venter afgørelsen: Odense er klar til Google-gyser i Datarådet

»Jeg ved sgu ikke rigtig, hvad jeg skal sige til det. På en måde kommer det ikke bag på mig,« siger lederen af Pædagogisk Medie Center i Odense Kommune, Alan Sørensen til Version2.

Han henviser indirekte til, at Odense Kommune efter Datatilsynets første afvisning af ansøgningen blev opfordret til at svare på 14 'tunge' spørgsmål om Google Apps og den påtænkte brug. Da disse spørgsmål var besvaret, kom der så 14 nye spørgsmål fra Datatilsynet.

Læs også: Datatilsynet griller Odense med 14 nye spørgsmål om Google Apps

Og nu er meldingen fra tilsynet altså, at det stadig ikke er godt nok.

»Som sagen foreligger, er det Datatilsynets opfattelse, at der på en række punkter, jf. nedenfor, er problemer i forhold til kravene i persondataloven og sikkerhedsbekendtgørelsen. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps. Datatilsynet modtager gerne sagen til fornyet udtalelse, hvis Odense Kommune arbejder videre med sagen og søger efter løsninger på de påpegede problemstillinger,« skriver Datatilsynet i sin afgørelse.

Læs også: Odense til Datatilsynets Apps-afvisning: Vi lægger os ikke ned i støvet

Alan Sørensen vil gerne bevare den konstruktive stemning og ved godt, at sagen bliver så minutiøst gransket, fordi den er principiel.

»Men noget af det virker altså stadig urimeligt. Umiddelbart ser det ud til, at de ikke anerkender Googles SAS 70 Type II certificering som værende god nok i forhold til DS 484. Og så synes jeg, det er tankevækkende, at den løsning, vi bruger i dag (Skoleintra, red.), sikkerhedsmæssigt er præcis som Google Apps. Eneste forskel er, at data ligger hos UNI-C i stedet for hos Google,« siger Alan Sørensen.

Odense Kommune har undervejs fået hjælp af IT- & Telestyrelsen til at svare på Datatilsynets spørgsmål, og Allan Peter Sørensen nu bede om mere støtte hos Google for at bryde igennem muren hos Datatilsynet, som han også har med om at få et møde med.

Læs også: Datatilsynet forbyder Google Apps i kommuner

»De er rigtig grundige - og nok også lidt for grundige. Men heldigvis har vi jo et velfungerende system til elevplanerne, og eleverne kan stadig skrive stil og lave historieopgave i Google Apps,« siger Alan Sørensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
chris warner

Lad mig indledningsvis først sige tak til folketinget for i tidernes morgen at have indført lovgivning, der har til hensigt at beskytte borgerne i Dk mod datamisbrug begået i "udlandet" og dernæst i samme åndedrag takke Datatilsynet for i det daglige at forsøge at administrere og balancere lovgivers intentioner.
Hvor den citerede leder har fået sin "demokratiske uddannelse" kunne være interessant at få at vide, men uanset om han burde have sine "skole penge retur" eller blot ikke er opgaven voksen er muligvis mindre interessant i denne sammenhæng.
Det kan godt være at det for en "administrator i Odense" er møg irriterende at en fjern myndighed i København lægger hindringer i vejen for en "nem" løsning - i sidste ende er det nok et udtryk for, at administratoren enten ikke har respekt for den demokratiske proces, eller muligvis (er forklaringen) at han blot er for snæversynet til at se konflikten. Nedennævnte citat lader ane, at det kniber med respekten for lovgivningen:

»Jeg ved sgu ikke rigtig, hvad jeg skal sige til det. På en måde kommer det ikke bag på mig,« siger lederen af Pædagogisk Medie Center i Odense Kommune, Alan Sørensen til Version2.........og
»De er rigtig grundige - og nok også lidt for grundige........"

Det principielle i sagen er at Datatilsynet ikke har en "jordisk chance" eller juridisk formuleret; myndighed/beføjelse/kompetance overfor Googles aktiviteter(ulovlige aktiviteter i forhold til danske regler) udenfor "Kongeriget", i modsætning til Uni-C´s aktiviteter, hvor Datatilsynet har både "hals- & hovedret" og mulighed for at kontrollere overholdelse af lovgivningen til beskyttelse af misbrug.
Lad os håbe at administratoren snarest bliver "med spiller" i stedet for at agere som en bekvem ”teenager”.

mw

  • 1
  • 0
Emil Moe

De må virkelig have mangel på teknisk forståelse i Odense, jeg ville personligt have det meget dårligt med, at alle mine oplysninger sendes til USA - forhåbentlig i det mindste krypteret. Kan de ikke bruge LibreOffice el., hvis det er fordi de har brugt alle pengene i kassen?

  • 0
  • 0
Thomas Husfeldt

Virkeigheden er at google apps og mange andre SAAS løsninger drøner frem, og vil blive anvendt uanset hvad man har af intentioner.

Hvis ikke datatilsynet meget snart forholder sig til virkeligheden (SAS 70), Cloud computing, og til at data ikke nødvendigvis ligger i DK, så fungere konceptet ikke.

Det svarer lidt til at købe et nyt TV, og stille det ud ud garagen indtil man har fået etableret en panser ruder og armeret dør, samt minieret græsplanen -- før at man tør tillade at TV'et kommer indenfor i stuen...
Mao. der vil helt sikkert ske alle mulige mere eller mindre smarte omgåelser, som er betydeligt værrer.

Men yes - der skal styr på sagerne, og det haster, men man er nød til at se på hvor verden er og starte derfra.

  • 0
  • 0
Daniel Udsen

som jeg læser det er der 3 primære kritikpunkter.

  1. Google har ikke underskrevet en aftale hvor de anderkender at dansk databeskyttelses lovgivning går foran deres alm privacy regler.

  2. Google har ikke garenteret at data kan slettes 110% på komunens foranledning samt at data altid sendes og opbevares "sikkert". samt at datatilsynet har adgang til at auditere på de parametre.

  3. Selve logon systemet er for simpelt og der er ikke lavet en ordenlig procedure for audit og logning af tilgang til data. Her bliver argumentationen lidt underlig af at DigitalSignatur nænvnes.

Det virker ikke som totalt urealistiske krav at stille og der er så vidt jeg kan læse ikke nogen steder hvor Tilsynet stiller hindringer op for at virtualiseret hosting kan bruges.

  • 0
  • 0
Anonym

Vi bemærker først og fremmest at Datatilsynet ikke har behandlet teknologien, dvs. at det reelt kun er behandlet som outsourcingaftale og ikke tager hensyn til den grundliggende manglende mulighed for at sikre cloud.

Jeg bider mærke i denne som sætter tingene på spidsen

Denne bestemmelse i aftalen forpligter efter Datatilsynets vurdering alene Google Ireland Limited til at behandle personoplysningerne i overensstemmelse med Google Inc.'s egen Privacy Policy. Odense Kommune instruerer således alene Google Ireland Limited til at behandle oplysningerne i overensstemmelse med Google Inc.-koncernens egne retningslinjer. En sådan instruks må efter Datatilsynets opfattelse anses for - rent materielt - at være uden indhold.

De danske datamyndigheder siger eksplicit at Googles Privacy Policy ikke er Privacy og dermed at Googles forretningsmodel er uforenelig med europæisk persondatalovgivning.

Det er et uløseligt problem fordi Googles forretningsmodel afhænger af at de kan misbruge data.

  • 0
  • 0
Anonym

@ Palle

Hvad tænker du på?

Google er IKKE en søgedatabase med salg er søgeord. Det var kun kickstarteren.

Googles forretningsmodel er at dominere target marketing via en stadigt tættere profilering baseret på monopoliserede adfærdsdata leveret gratis af deres mange spywareservices som så samtidig fungerer som distributionskanaler af salget af misbrug af data til marketingkampagner.

De data som Google høster fra skoler i Odense via Google AppS glider direkte ind i marketingmaskinen og styrer via profileringen af skolebørn marketingkampagner og matchning på f.eks. Sputnik og millioner af andre sites.

Betvivler du dette 2 ?

Der er for mig at se kun en møde at sikre Google i forhold til Persondatalovgivningen - sikre at Google ikke er i stand til at koble 2 uafhængige transaktioner med den samme (for)bruger.

  • 0
  • 0
Palle Simonsen

@Stephan
Alt hvad jeg ser her, er en masse påstande uden nogen form for ræsonnement, bevis eller bare sandsynliggørelse. Eksempel:

Googles forretningsmodel er at dominere target marketing via en stadigt tættere profilering baseret på monopoliserede adfærdsdata leveret gratis af deres mange spywareservices

Det er bare en løs påstand, som der ikke føres nogen som helst bevis for i det efterfølgende. Hvilke spywareservices tænker du på?

De data som Google høster fra skoler i Odense via Google AppS glider direkte ind i marketingmaskinen og styrer via profileringen af skolebørn marketingkampagner og matchning på f.eks. Sputnik og millioner af andre sites

Ærligt talt. Børn der skriver engelskstile, danskstile, matematikopgaver - hvad ved jeg - måske samarbejder i mediafag. Igen hvor er beviset for eller bare sandsynliggørelsen af, at google har tænkt sig at udnytte disse danskstile o.lign som påstået?

Jeg oplever ingen målrettet markedsføring i min daglige omgang med google søgning, android eller google apps. Jeg oplever ret diskrete notitser, der er matchet på enkelt ord i de enkelt transaktioner (søgninger) jeg afstedkommer, men intet, der bare tilnærmelsesvis underbygger disse påstande.

Venligst,

  • 0
  • 0
Anonym

@ Palle

Google laver mange "fede" ting. Men altid med den twist at services skal indrapportere til Googles profileringsmaskine og skabe distributionskanaler til salg af Googles misbrug af profiler.

Google Analytics er formentlig den værste spyware, fordi den fodrer profileringsmaskinen med adfærdsdata fra millioner af websites som Google monopoliserer og byggede hele sin magtmaskine på.

I den helt lette ende. Du kan i dag som virksomhed købe en sticky kampagne hvor Google "forfølger" dig og overalt hvor du eksponeres for Googles mekanisme forsøges "lokket" tilbage til virksomhedens site.

Der er ingen som helst tvivl om datamisbruget.

Vil Google misbruge indholder fra Google Apps til profilering. Tjahh - Google misbruger indholdet af Gmail - hvorfor skulle Google pludselig have ændret strategi og forretningsmodel uden anden indtægtskilde?

Google siger klart selv hvad de vil - de bygger på den opfattelse at de kan kende dit behov inden du selv kender det. Ikke for at hjælpe dig, men for at sælge dig til højstbydende, som i praksis vil være den som bedst kan få dig til at agere IMOD din egeninteresse.

Det farlige ved Google er at du IKKE kan se, hvordan de agerer.

Du kan f.eks. ikke se hvordan Google vil manipulere med de individuelle søgeresultater og nyheder.

De vil nemt kunne afgøre f.eks. et folketingsvalg ved at flytte mange stemmer baseret på individualiserede politiske DM-kampagner som fremhæver forskellige pointer afhængig af dine afdækkede ideosynkrasier.

Det er formentlig selve årsagen til at Google officielt vil individualisere dem fordi dermed har man ingen måde at udlede den kommercielle forvridning af output. Du har intet "objektivt" søgeresultat at sammenligne med fordi alle får forskellige resultater hver gang.

Jeg har som fagmand (f.eks. har jeg undervist i 1:1 Direkt Marketing i mere end 10 år og er teoretisk specialiseret indenfor innovationstrategier) meget stor respekt for Googles eksekvering. Det er kommercielt flot gået.

Men tilsvarende - som - fagmand må jeg også sige at det er langt ud over lovlighedens grænser og værre - desideret samfundsdestruktivt.

Men de ovenfor nævnte problemer er kun i light-genren. Google er umættelg omkring persondata, misbrugsværdien mht. magt og profit uendelig og grænsen vil hele tiden bliver flyttet og overskredet stadigt mere. I Kina og Iran måske til meningskontrol. I Rusland måske til kriminalitet. I US er persondata næsten frit til salg og det kommercielle misbrug nærmest ubegrænset. Europas problem er først og fremmest det planøkonomiske misbrug - den naive opfattelse at staten kan "styre" økonomien og embedsmændene skal diktere "det gode liv" mens man paranoidt forfølger alle som ikke lever det.

Jeg ser kun en vej frem. Eftersom det er umuligt at regulere hvad Google misbruger data til, er man - af kritiske samfundshensyn til både demokrati og markedsdannelse - nødt til sikre at Google slet ikke kan få tilgang til de profileringsdata i en person/device henførbar form.

  • 0
  • 0
Palle Simonsen

@Peter, @Stephan
En hurtig søgning viser, at der er let-tilgængelige 'opt out' muligheder for ads og analytics. Derudover kan man jo altis anvende 'private browsing' eller på anden måde sikre at cookies ikke gemmes/anvendes og .js scripts ikke afvikles, hvis man er særlig nervøs. Dermed kan man forhindre / forminske google 'imperiets' og andres mulige dataindsamling.
Kender I andre tilsvarende internettjenester, der har en tilsvarende opt-out mulighed?

I privacy policy [http://www.google.com/intl/en/privacy/privacy-policy.html] kan jeg ikke finde noget der antyder, at danskstile og andet google docs indhold på nogen måde anvendes af google.

Ang. sagen (Datatilsynets afvisning af Odense kommune) har Bender Von Haller Dragsted en interessant fortolkning af afgørelsen her: http://www.bvhd.dk/videnbase/?task=show&uid=1356&target=&category=&cHash...
I bvhd's vurdering gælder afgørelsen også andre cloud udbydere og er også delvis gældende for private virksomheders brug af cloud. Desuden vurdere bvhd at datatilsynets afgørelser lægger en strengere linie end andre EU tilsynsmyndigheder og endelig at det ikke er sandsynligt, at store cloud udbydere [derfor] vil lave specielle knæfald for danske særregler.
Hvis denne tolkning holder, er danske myndigheder og tildels danske virksomheder dermed afskåret fra at anvende en række SAAS løsninger, muligvis visse PAAS løsninger og mindst sandsynligt gængse IAAS løsninger og dermed disse løsningers muligheder for rationalisering af it løsninger.
Dette er i min optik en langt væsentligere og mere relevant diskussion end at prøve at starte en 'heksehjagt' på enkeltudbydere baseret på påstande som i min lægmandsvurdering synes at være på kant med injurielovgivningen.

  • 0
  • 0
Palle Simonsen

@Peter
Hvad er det jeg skal opt-out af som modtager hvis du sender mig en mail fra gmail, som adskiller gmail fra en mail du måtte sende fra andre services såsom mail.dk, hotmail.com, en vilkårlig mailkonto hos en ISP o.lign?

  • 0
  • 0
Anonym

@ Palle

Der er tre grimme problemer samtidig.
Offentlig bureaukrati og magtmisbrug (f.eks. Odense i denne sag), Profilering/targetting - datamisbrug og magtkoncentration (f.eks. Google), fejldesignet teknologi (f.eks. Cloud uden transaktionsisolering uden for cloud),

Hver for sig er de seriøse problemstillinger som udgør en primær trussel mod Danmarks konkurrenceevne - sammen er det en skræmmende cocktail som truer selve retsstatens overlevelse.

Jeg er positivt overrasket over Datatilsynet, men har ikke tillid til at de holder fast overfor den massive spin og lobbyisme som pågår. Det institutionelle system er ikke klædt på til at håndtere disse problemstillinger

Omkring privacy policy
Googles "privacy policy" er ikke en pind værd. Den har primært til formål at omgå Europæisk lovgivning.

Oplysningerne bruges til at give vores brugere værdifulde produkter og tjenester.
http://www.google.com/privacy.html

Se her for detaljer http://www.version2.dk/artikel/16875-datatilsynet-griller-odense-med-14-...

Den siger netop IKKE at Google ikke bruger data - tværtimod ender den i Googles generelle pseudo-tilladelse til sig selv til at udnytte persondata som de har lyst til.

Omkring Opt-out

Det er ikke en løsning, men et forsøg på bortforklaring og at fralægge sig ansvaret.

Tilgangen er designet til at sikre at Google kan misbruge (både opsamle og udnytte) data og overlade hele ansvaret til borgeren/samfundet som ikke kan forsvare sig.

EU Persondatadirektiv gælder kilden - ikke udnyttelsen. Lovgivningen er rimelig, men fejlene opstår i tolkningen.

Skolebørn kan ikke opt-out af Google Apps i Odense og der er ingen (rets)sikkerhedsmodel.

Omkring Cloud generelt

Helt enig - reglen ud fra både en sikkerhedsmæssig og samfundsøkonomisk vurdering bør klart være

Ingen person- eller devicesehenførbare data i cloud.

Det er ikke nødvendigt, det er ikke samfundsgavnligt og det kan ikke sikres.

Google og Odensen kan "jo bare" designe løsningerne forsvarligt.
http://digitaliser.dk/resource/781482

At cloud udbredes er det ikke ensbetydende med at det kan forsvares at modeller uden sikkerhed udbredes. Det svarer til at man accepterer at fabrikker dumper deres giftige affald og spildevand urenset i vandløb bare fordi det er billigere og de "allerede gør det".

Omkring profilering generelt (uanset om det er i cloud):

Helt enig - kun et generelt forbud (allerede eksisterende, men ikke opretholdt administrativt) kan forsvares.

Det er noget andet med specifikke problemstillinger a la "Dårlig Betaler" eller "Dømt for xx".

Omkring Google specifikt

Der er intet injurende ved at gentage hvad Google selv siger og gør når det er relevant i den specifikke vurdering.

Google misbruger systematisk data i dag (opsamler og udnytter data på tværs af kontekst). Og Googles tidligere CEO Eric Schmidt har ved flere tilfælde gjort klart hvad man vil. Mange glemmer bare at lytte og indse implikationerne og magtmodellerne bag.

Det er fint at du kan en masse rent funktionelt - men Googles kommercielle datamisbrugende interesse- og magtmodel i form må bare ikke være en intravenøs del heraf. Vi kan ikke forsvare at bygge digitale samfund på dette grundlag - det er ganske enkelt uholdbart.

Og ja - det er normativt ment - velvidende er det danske institutionelle system er svagt på principper og samfundsøkonomisk forståelse.

Normative principper for det digitale samfund er ganske enkle og konsistente med eksisterende lovgivning hvis den blev blev overholdt

  1. Ingen person/device henførbare data i Cloud.

  2. Infrastruktur må ikke kunne koble 2 uafhængige transaktioner med den samme borger (hvorvidt en domstol kan er et helt andet spørgsmål)

  3. Den offentlige sektor må ikke sælge borgernes data eller adgang til de digitale netværk til kommerciel misbrug - hverken direkte eller indirekte.

Jeg skal være den første til at klappe over nye tiltag - men de skal være lovlige og bygge på forsvarlige samfundsprincipper. At reducere mennesker til produkter falder ikke indenfor nogen af disse kategorier.

Googles "privacy policy" og "opt-out" er er mest af alt et forsøg på omgåelse og ignorere ansvaret.

Hvis Google vil ind i den offentlige sektor, så må det ske med sikkerhedsmodeller som kan garantere mod misbrug. dvs. sikre ved kilden/klient-side at Google ikke serverside kan koble 2 uafhængige transaktioner med den samme borger/device(/formentlig heller ikke organisation).

Kort sagt - det er et forbløffende sundhedstegn for retssamfundet og samfundsøkonomien at Datatilsynet siger fra. Min frygt er at lobbyismen skaber illusionen at man kan så meget som overveje kompromiser.

Lobbyisterne forsøger at flytte diskussionen fra om profileringsmaskinen må få persondata til at det er borgerens eget ansvar at beskytte sig mod det systematiske datamisbrug.

Nej - fuldt stop - det er er hverken sikkerhedsmæsigt eller samfundsøkonomisk "proportionalt"

Cloud kan ikke sikres. Interesser lyver ikke. Og statens magtmonopol må ikke misbruges.

Lad os nu lige huske hvad demokrati og markedsøkonomi bygger på - umistelige rettigheder og forbrugerens frie valg som drivkaft for fremskridt. Magten definerer ikke retten

  • 0
  • 0
Palle Simonsen

@Stephan
At gentage påstande gør dem ikke sande, selv om der er historiske forlæg for effektiviteten af dette (Kartago).

Det står enhver frit for at sætte sig ind i sine potentielle it leverandøres forretningsbetingelser og afgøre om man kan leve med disse og, som Odense kommune gør, følge gældende regler og lovgivning der i dette tilfælde bl.a. pålægger en udtalelse og afgørelse fra datatilsynet.

Cloud kan ikke sikres.

Dette er et generaliserende udsagn, der ganske enkelt ikke er sandt og hvis det - som rent tankeeksperiment var sandt - gælder også at "outsourcing kan ikke sikres."

forbrugerens frie valg som drivkaft for fremskridt.

Det er det samme frie valg, som forbrugeren åbenbart skal fratages, når det gælder cloud løsninger ... eller?

Er det fremskridt hvis datatilsynets afgørelse betyder, at danske institutioner og muligvis også danske virksomheder afskæres fra at anvende gængse cloud løsninger?

Mht. beskyttelse af data er vi på linie - der er vel ingen der er interesseret i at hverken en offentlig myndighed eller private virksomheder spiller hasard med følsom data om enkeltpersoner - men hvad hvis et individ udstiller sig selv med cpr, helbredsproblemer etc. på f.eks. facebook - skal det forbydes? eller skal man 'bare' have nogle OBS udsendelser og brochurer om sund omgang med webtjenester?

Jeg har på fornemmelsen, at dette kan blive ved i lang tid, da vi nok ser ret forskelligt på hvorvidt cloud er en trussel eller et fremskridt.

Venligst,

  • 0
  • 0
Anonym

Palle

Læs nu hvad man henviser til - læs f.eks. her om Skatte-casen.
http://digitaliser.dk/resource/781482

Cloud er en teknologisk mulighed som skal bruges med omtanke og navnlig designes så der aldrig kommer personhenførbarhed ind i cloud-applikationen. Du kører heller ikke 250 km/t på motorvejen mod køreretningen uden sikkerhedssele blot fordi det er det på papiret hurtigste.

Markedet kræver rammer for at det frie valg giver mening. Aftaler skal overholdes og bad guys skal straffes/stoppes.

En af tidens helt store trusler mod markedsdannelsen er det hastigt accelererende misbrug af persondata fordi det svækker det frie valg og underminerer slutkundens forhandlingsposition og åbner for hele bredsiden af sikkerhedstrusler og magtkoncentration.

Google er en af de absolut værste måske kun overgået af den planøkonomiske stat. At kombinere disse 2 med persondata i cloud er 3 grove fejl på samme tid.

Odense MÅ IKKE træffe beslutninger om at sælge persondata til misbrug. Odense har ikke ret til at træffe et sådan valg på borgeres og slet ikke på skolebørns vegne - det er magtmisbrug.

Datatilsynet siger fra her - og det fortjener ros. Men vi kender Datatilsynet som et impotent kontor for blåstempling af hvad som helst. De makker ret som alle de andre gange, hvis de bare trykkes lidt på maven af lobbyisterne. Når man kan "godkende" (bureaukratisk dukke hovedet) NemId, Sundhed.dk, e-Boks og biometrisk ansigtsgenkendelse i Tivoli, så skal man ikke have for store forventninger.

  • 0
  • 0
Michael N. Steen

@Stephan

  1. Infrastruktur må ikke kunne koble 2 uafhængige transaktioner med den samme borger (hvorvidt en domstol kan er et helt andet spørgsmål)

Hvordan kunne du forstille dig at sikre dette? Jeg har en (1) IP-adresse, så alle mine transaktioner/søgninger/web requests kan vel kobles sammen via denne, for slet ikke at tale om det unikke browser og OS-aftryk vi stort set alle har.

Dette er ikke udtryk for uenighed mht. problemstillingen, eller at vi ikke skal prøve at gøre noget ved det, men er vi ikke ved at være i den situation, at potentielle misbrugere kigger os over skulderen, uden at vi kan gøre ret meget for at forhindre det?

  • 0
  • 0
Anonym

@ Michael

Som jeg sagde - det er normative nødvendige forudsætninger for den digitale verden kan være både fremgangsrig og sikker.

I takt med at digitaliseringen flytter stadigt tættere på og bliver stadigt mere intim og allways-on (telemedicin, location-based services etc.) - er vi nødt til at distribuerer kontrollen klient-side og gøre den session-isoleret.

Hvordan kunne du forstille dig at sikre dette? Jeg har en (1) IP-adresse, så alle mine transaktioner/søgninger/web requests kan vel kobles sammen via denne, for slet ikke at tale om det unikke browser og OS-aftryk vi stort set alle har.

Lad os nu ikke gå i panik - men huske at den værste trussel IKKE er en ubekendt kriminel 3. part men den database, du kommunikerer med eller via.

IP og digtal fingerprinting er reelt de nemme problemstillinger. Varianter af proxying og filtersupport kan klare det. Problemet er et infrastrukturen er indrettet til at kontrollere og eje dig - hvor den burde være indrettet på at beskytte dig og understøtte markedsdannelsen.

Di skal jo også kunne betale, indgå aftaler, modtage varer, kommunikere, få services etc. Dvs. der er mange aspekter af infrastruktur som skal allignes rigtigt. Men det er både muligt, nødvendigt og stærkt samfundstjenligt - det kræver dog at staten kommer tilbage på det demokratiske og markedsvenlige spor.

Hvordan de respektive hensyn opnås er et andet spørgsmål - det kan ske på mange måder og med varierende grad af sikkerhed og kvalitet. Homogenitet er IKKE et mål - tværtimod.

Cloud er nye strukturer som dem skal vi lave ordentligt - hvordan vi rydder op i historisk legacy er så typisk en problemstilling man løser via indkapsling og virtualisering så man kan omlægge asynkront, dvs. hver part for sig.

I EU-projektet HYDRA som udviklede Model-drevet peer-to-peer middleware til at gøre alle devices interoperable, erkendte vi at IPv6 allerede er forældet fordi den lækker information.

Vi var derfor nødt til at etablere en ren session-identifier ovenpå for at beskytte mod for IPv6-devices, dvs. etablere en proxy mellem devices og nettet.

HYDRA er så vidt jeg forstår lige på trapperne som LGPL på sourcefourge.
http://www.hydramiddleware.eu/news.php

HYDRA løser ikke alle problemer, sikkerhedmsodellen skal opgraderes, der mangler support for flre infrastrukturkanaler og JXTA er ikke ren peer-to-peer - men det er et kæmpe skridt i den rigtige retning.

HYDRA var i starten fokuserer på cloud, dvs. det er tænkt ind

  • 0
  • 0
Kasper Bergholt

Odense Kommunes udsigter til at bruge Google Apps bliver måske forringet som følge af de vidtrækkende muligheder amerikanske myndigheder får for at tilgå datasæt på baggrund af formodet mistanke. Emnet var oppe at vende i forbindelse med VmWare World i Bellacenteret sidste uge. Så længe hovedvirksomheden er en amerikansk juridisk entitet, dækker The Patriot Act. Det er altså ikke nok, at Google garanterer, at data placeres på serverparker i Europa, så længe hovedvirksomheden er amerikansk, er der muligheder for at amerikanske myndigheder kan få udleveret data.

Læs evt. mere her:
http://mediebevaegelsen.dk/amerikanske-cloudloesning

Alt godt,

Kasper

  • 0
  • 0
Log ind eller Opret konto for at kommentere