It-eksperter advarer offentlige myndigheder mod cloud-tilbud fra KMD

6. januar 2014 kl. 09:4923
Af frygt for NSA-spionage advarer flere it-sikkerhedseksperter offentlige myndigheder mod at takke ja til KMD’s nye cloud-løsning, der lægger personfølsomme oplysninger om danskerne i hænderne på en amerikansk virksomhed.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

I et stort salgsfremstød lokker KMD danske myndigheder til at lægge deres it-drift ud i skyen og dermed optimere omkostningerne. Problemet er, at KMD’s samarbejdspartner er amerikanske Microsoft, og set i lyset af NSA-afsløringerne og den hemmelighedsfulde FISA-domstols beføjelser, vækker det stor bekymring blandt it-sikkerhedseksperter. Det skriver Politiken.

Tidligere sikkerhedsrådgiver hos Microsoft, Caspar Bowden, er blandt de kritiske røster, og han mener, at KMD’s hybrid cloud-løsning serverer danskernes personfølsomme oplysninger på et sølvfad for NSA.

»I forbindelse med mit arbejde dengang gik det op for mig, at den amerikanske lovgivning er indrettet på en måde, der gør, at jeg nu advarer regeringer og virksomheder mod at gøre netop det, KMD gør i Danmark lige nu«, siger han til Politiken.

Han bakkes op af juraprofessor og ekspert i forfatningsret, Jens Elo Rytter, der i følge Politiken mener, at danske myndigheder bør tænke sig meget grundigt om, inden de takker ja til den nye cloud-løsning.

Artiklen fortsætter efter annoncen

»Grundlæggende er vurderingen, at så snart du sender dine data ud i skyen, så har du mistet kontrollen. Der er temmelig stor risiko for, at NSA har meget vid adgang til de informationer, man vil lægge op i denne her Microsoft-cloud - eller en hvilken som helst anden amerikanskejet sky«, siger han til Politiken.

Hos KMD forsikrer de dog om, at sikkerheden er i orden. Den danske it-udbyder tilbyder oven i købet en løsning, hvor særligt følsomme oplysninger bliver på dansk grund i KMD’s egne datacentre og derfor ikke vil være helt så tilgængelige for det amerikanske efterretningsagentur.

KMD oplyser til Politiken, at ingen endnu har købt den nye løsning.

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
Erik Jensen
6. januar 2014 kl. 22:56

Vi vil gerne have at de kan kigge med i så meget som muligt. Vores lands leder siger selv at det er i orden og hun er jo BFF med deres leder. Hun vil ikke risikere at de bliver sure så hun ikke kan lave nye selfies.

  • more_vert
    • insert_linkKopier link
17
Slettet bruger
6. januar 2014 kl. 19:13

KMD er da ikke dansk..?

Advent International is an American global private equity firm focused on buyouts of companies in Western and Central Europe, North America, Latin America and Asia. The firm focuses on international buyouts, growth and strategic restructuring in five core sectors.

  • more_vert
    • insert_linkKopier link
18
Christian Schmidt
6. januar 2014 kl. 20:57

KMD er da ikke dansk..?

Det kan måske diskuteres (det er et definitionsspørgsmål, som ikke er relevant her), men i hvert fald er det et datterselskab af et amerikansk selskab og derfor også underlagt Patriot Acts bestemmelser om aflytning (så vidt jeg kan læse mig til). God pointe!

  • more_vert
    • insert_linkKopier link
12
Jesper Ravn
6. januar 2014 kl. 16:49

Forhåbentlig kommer der snart en politisk løsning på dette rod. Ser ud til, at både EU og USA arbejder på sagen nu. Se nedenstående links for mere info.

Restoring Trust in EU-US data flowshttp://europa.eu/rapid/press-release_IP-13-1166_en.htm

White House Publishes Report on Government Surveillance Programshttps://www.huntonprivacyblog.com/2013/12/articles/white-house-publishes-report-government-surveillance-programs/#more-5647

  • more_vert
    • insert_linkKopier link
8
Carsten Jørgensen
6. januar 2014 kl. 14:18

I internationale virksomheder er det normalt ikke nødvendigt at involverer lokale parter, det hele kan ordnes fra USA.

Der er i dag ikke krav om at man skal informerer lokalt, men området er dækket af paragraf 43A i den nye EU Databeskyttelseslov - i ved, den lov Danmark og England er modstandere af.

  • more_vert
    • insert_linkKopier link
7
Kim Østergaard Christiansen
6. januar 2014 kl. 13:54

Når NSA kan aflytte telefoner verden over og generelt gøre lige hvad der passer dem. Så har jeg svært ved at se nogen som helst måde at holde dem ude. Om det så ligger på en server i Danmark eller USA. Hvis man kunne "fængsle" nogen fra NSA, så jeg er da ret sikker på at et land som Tyskland ville have prøvet.

Face it, det er håbløst at holde på "hemmeligheder" når det har med "nettet" at gøre. Hvis man vil holde noget helt for sig selv, ja... Så må man hive stikket ud.

  • more_vert
    • insert_linkKopier link
1
Tommy Sadiq Hinrichsen
6. januar 2014 kl. 12:03

Det er vel ligemeget om det ligger på dansk grund, hvis det er et amerikansk selskab som har adgang til dataene, så skal de udlevere dem lige meget hvor de ligger.

  • more_vert
    • insert_linkKopier link
5
Christian Schmidt
6. januar 2014 kl. 13:12

De bryder stadig dansk lov og kan komme i dansk fængsel.

Og hvis ikke de makker ret og bryder den danske lov, så bryder de amerikansk lov og kommer i amerikansk fængsel. Så de vælger nok at makke ret.

Men som Tommy Bell skriver herover, så kommer man i praksis nok ikke i dansk fængsel for forbrydelser som denne.

Spørgsmål: Hvis en amerikaner sidder i USA og gør ting og sager, der krænker dansk lov, kan Danmark straffe ham for det (forudsat at personen dukker op her i landet, fx på ferie)? Er det ikke kun mord og lign., hvor ét land kan straffe for forbrydelser begået i et andet land?

  • more_vert
    • insert_linkKopier link
6
Anders Rosendal
6. januar 2014 kl. 13:51

Og hvis ikke de makker ret og bryder den danske lov, så bryder de amerikansk lov og kommer i amerikansk fængsel. Så de vælger nok at makke ret.

Øøøh hvordan?

  1. Jeg er ikke sikker på du har ret i at en dansker i Danmark bryder amerikansk lov. I så fald burde de jo invadere og anholde alle som køber og sælger sex i Danmark.

  2. Vi har ingen amerikanske fængsler i Danmark, så med mindre de ligefrem invaderer Danmark eller sender et seal team ind midt om natten, kan en sysadm sove trygt.

  • more_vert
    • insert_linkKopier link
13
Christian Schmidt
6. januar 2014 kl. 17:12

Ahh okay. I så fald ville det nok være smart at bruge det microsoft center som ligger i Europa. Så er man igen sikret af loven.

Microsoft er et amerikansk firma og kan derfor pålægges af amerikanske domstole (eller andre myndigheder, der har lov til at indhente den slags oplysninger uden om domstolene) at udlevere oplysninger.

Selvom selve hardwaren står i EU, så går jeg ud fra, at administratorerne heraf ikke alle sidder i EU men også i USA (og sikkert også Indien). Så hvis Microsoft bliver pålagt af USA at bryde dansk lov, vil de sikkert bede nogle ikke-EU-medarbejdere om at logge ind på EU-datacenteret og videregive de fornødne oplysninger/installere de relevante bagdøre.

  • more_vert
    • insert_linkKopier link
14
Anders Rosendal
6. januar 2014 kl. 17:21

Microsoft er et amerikansk firma og kan derfor pålægges af amerikanske domstole (eller andre myndigheder, der har lov til at indhente den slags oplysninger uden om domstolene) at udlevere oplysninger.</p>
<p>Selvom selve hardwaren står i EU, så går jeg ud fra, at administratorerne heraf ikke alle sidder i EU men også i USA (og sikkert også Indien). Så hvis Microsoft bliver pålagt af USA at bryde dansk lov, vil de sikkert bede nogle ikke-EU-medarbejdere om at logge ind på EU-datacenteret og videregive de fornødne oplysninger/installere de relevante bagdøre.

Det er vel ikke helt ligegyldigt hvor hardwaren står? I sidste ende lader man hæren lave lidt skydeøvelse og så er problemet løst. Anklageren vil sikkert sige at de EU medarbejdere ikke skulle åbne op for spionage.

Du kan evt. prøve at sætte en server i usa som f.eks. hoster links til de nyeste hollywood film og se hvad der sker...

Microsoft adlyder (for det meste) EU lovgivning omkring browser og deres OS. Også selvom de er under amerikansk lovgivning. Så det kan godt lade sig gøre.

  • more_vert
    • insert_linkKopier link
15
Christian Schmidt
6. januar 2014 kl. 17:43

Det er vel ikke helt ligegyldigt hvor hardwaren står?

Ligegyldigt mht. hvad? Hvis du mener, at Microsoft vil afvise en aflytningshenvendelse fra USA med henvisning til, at hardwaren står i EU, så tror jeg, at du tager fejl (men jeg har ikke lige noget link at henvise til).

Du kan evt. prøve at sætte en server i usa som f.eks. hoster links til de nyeste hollywood film og se hvad der sker...

Det er formentlig ulovligt både her og der, så her vil de to lande samarbejde om at få fjernet mine links og få mig idømt en bøde.

Microsoft adlyder (for det meste) EU lovgivning omkring browser og deres OS. Også selvom de er under amerikansk lovgivning. Så det kan godt lade sig gøre.

I dette tilfælde er det ikke i strid med amerikansk lovgivning at lave nogle ændringer vedr. standardbrowser på foranledning af EU. Mht. aflytning bliver selskabet af ét land beordret til at gøre noget, der er ulovligt at gøre i et andet.

  • more_vert
    • insert_linkKopier link
20
Anders Rosendal
6. januar 2014 kl. 23:50

</p>
<p>Ligegyldigt mht. hvad? Hvis du mener, at Microsoft vil afvise en aflytningshenvendelse fra USA med henvisning til, at hardwaren står i EU, så tror jeg, at du tager fejl (men jeg har ikke lige noget link at henvise til).

Ligegyldigt for hvad vores lov siger. Det er ufatteligt at du tror at et amerikansk firma som ejer/lejer en bygning i Danmark ikke skal overholde danske regler mht. ferie osv. Det er mig virkelig en gåde. Følger Microsoft også amerikansk lov mht. antallet af feriedage og barsel? :-D Måske du bliver forvirret af hvad de GØR og hvad lovgivning der gælder. Hvis de nægter folk mere end 1 uges ferie, så kan de sagtens gøre det. Hvis de vil aflytte danskere og give f.eks. cpr numre videre til NSA kan de sagtens gøre det. Men det er stadig imod dansk lovgivning.

Du kan evt. prøve at sætte en server i usa som f.eks. hoster links til de nyeste hollywood film og se hvad der sker...</p>
<p>Det er formentlig ulovligt både her og der, så her vil de to lande samarbejde om at få fjernet mine links og få mig idømt en bøde.

Lad os sige at dansk lovgivning ikke forbød folk at linke til noget ulovligt. I så fald tror du bare usa ville sige "Oos, he got us!"? :-)

I dette tilfælde er det ikke i strid med amerikansk lovgivning at lave nogle ændringer vedr. standardbrowser på foranledning af EU. Mht. aflytning bliver selskabet af ét land beordret til at gøre noget, der er ulovligt at gøre i et andet.

Nej, men de er ikke dømt af en amerikansk ret til at betale penge. Så de lod bare være eller hvad tror du udfaldet blev?

  • more_vert
    • insert_linkKopier link
22
Christian Schmidt
7. januar 2014 kl. 07:34

Det er ufatteligt at du tror at et amerikansk firma som ejer/lejer en bygning i Danmark ikke skal overholde danske regler mht. ferie osv. Det er mig virkelig en gåde.

Du misforstår mig. En virksomhed, der ligger i Danmark, skal selvfølgelig overholde dansk lov. Men hvis virksomheden er et datterselskab af en amerikansk virksomhed, er den tillige underlagt (få) dele af den amerikanske lovgivning. Problemet opstår, når de to love er i konflikt, nemlig når ét lands lovgivning pålægger virksomheden at gøre noget, som er i strid med det andet lands lovgivning.

I det konkrete tilfælde vil det være i strid med dansk lov, hvis KMD udleverer personoplysninger til USA uden om en dansk domstol. Men samtidig vil det være i strid med amerikansk lov, hvis de ikke gør det.

En lignende konflikt findes ikke i dine eksempler med piratlinks og ferielovgivning.

Lad os sige at dansk lovgivning ikke forbød folk at linke til noget ulovligt. I så fald tror du bare usa ville sige "Oos, he got us!"? :-)

De vil formentlig pålægge den amerikanske hosting-provider at fjerne de ulovlige links. Om man kan blive straffet eller pålagt erstatningsansvar under en fremtidig ferie i USA, tør jeg ikke sige.

  • more_vert
    • insert_linkKopier link
23
Nils Bøjden
7. januar 2014 kl. 08:19

Men samtidig vil det være i strid med amerikansk lov, hvis de ikke gør det.

Ikke nok med det, men det er tilladt for USAs efterretningstjenester at aflytte og overvåge uden dommerkendelse, så længe de(n) overvågede ikke er amerikanske statsborgere. Og da vi her taler om danske statsborgere ikke alene har virksomhederne pligt til at udlevere oplysninger til NSA/CIA/FBI/SecretService/FederalMarchals (eller hvad der nu er af føderale operative eller efterforsknings og sikkerheds virksomheder), de skal også efterkomme dette uden at der eksisterer en dommerkendelse.

  • more_vert
    • insert_linkKopier link
16
Christian Schmidt
6. januar 2014 kl. 18:00

(men jeg har ikke lige noget link at henvise til).

Fundet!

Her er svaret fra hestens egen mund:http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225

Can Microsoft guarantee that EU-stored data, held in EU based datacenters, will not leave the European Economic Area under any circumstances — even under a request by the Patriot Act?
...
He said: "Microsoft cannot provide those guarantees. Neither can any other company."

  • more_vert
    • insert_linkKopier link
10
Claus Jacobsen
6. januar 2014 kl. 15:23

Nu kan jeg ikke lige huske artiklen her på V2.dk om det, men KMD's løsning er en "standard" MS Azure Hybrid løsning - det vil sige, et KMD datacenter med egen kapacitet som kan spændes ud til også at køre på et Azure datacenter, altså en hybridløsning (afhængig af kunder og pris). KMD vil selvfølgelig skulle overholde compliance regler og data fra offentlige danske institutioner vil dermed ikke kunne få lov at være på Azure delen. De skal køre direkte på KMD's egen kapacitet. - At det er den samme software er ligegyldigt. - MS har ingen mulighed for at give NSA adgang i KMD's datacenter med mindre NSA helt specifikt har deres egen bagdør i server2012r2 - det kan vi selvfølgelig så ikke vide om de har. Men umiddelbart er det ligeså "sikkert" som alle andre løsninger.

  • more_vert
    • insert_linkKopier link
3
Tommy Bell
6. januar 2014 kl. 12:50

Det kræver jo så at der oplyses om at de bryder dansk lov.

Så vidt jeg husker, så får de jo mundkurv på hvis de bliver bedt om at udlevere oplysninger af den amerikanske stat.

Så de kan enten vælge at overholde dansk lov, eller US lov. Og den danske stat ved ikke hvilken der bliver overholdt, fordi hvis de bryder dansk lov i og med de udlevere information til US. Så må de ikke sige det.

Jeg er stadig fortaler for at man holder sit data i Danmark, under dansk ejerskab. KMD og et salg af Nets, det går super for os, i forhold til at sælge det offentlige infrastruktur til fremmede magter. Men vi bliver jo glade for det i længden, da vi jo slipper for at kunne bestemme og bare skal makke ret.

Den gennemsnitlige borger er, også ligeglad. De vil bare have deres reality tv og junk food.

  • more_vert
    • insert_linkKopier link
4
Anders Rosendal
6. januar 2014 kl. 12:58

Det kræver jo så at der oplyses om at de bryder dansk lov.

Det samme gælder jo ved mord, svindel med regnskab osv. Det er en opgave for politiet at finde ud af. Det ændrer ikke på at de skal overholde dansk lov og at de KAN straffes hvis de ikke gør. Også selvom overholder US lov.

På et tidspunkt skal der nok være en dansker som bliver fyret og kommer til at fortælle om hvordan ting foregår på KMD. Hvis det sker.

Jeg er stadig fortaler for at man holder sit data i Danmark, under dansk ejerskab. KMD og et salg af Nets, det går super for os, i forhold til at sælge det offentlige infrastruktur til fremmede magter. Men vi bliver jo glade for det i længden, da vi jo slipper for at kunne bestemme og bare skal makke ret.

Enig.

  • more_vert
    • insert_linkKopier link