It-eksperter advarer offentlige myndigheder mod cloud-tilbud fra KMD

Af frygt for NSA-spionage advarer flere it-sikkerhedseksperter offentlige myndigheder mod at takke ja til KMD’s nye cloud-løsning, der lægger personfølsomme oplysninger om danskerne i hænderne på en amerikansk virksomhed.

I et stort salgsfremstød lokker KMD danske myndigheder til at lægge deres it-drift ud i skyen og dermed optimere omkostningerne. Problemet er, at KMD’s samarbejdspartner er amerikanske Microsoft, og set i lyset af NSA-afsløringerne og den hemmelighedsfulde FISA-domstols beføjelser, vækker det stor bekymring blandt it-sikkerhedseksperter. Det skriver Politiken.

Tidligere sikkerhedsrådgiver hos Microsoft, Caspar Bowden, er blandt de kritiske røster, og han mener, at KMD’s hybrid cloud-løsning serverer danskernes personfølsomme oplysninger på et sølvfad for NSA.

»I forbindelse med mit arbejde dengang gik det op for mig, at den amerikanske lovgivning er indrettet på en måde, der gør, at jeg nu advarer regeringer og virksomheder mod at gøre netop det, KMD gør i Danmark lige nu«, siger han til Politiken.

Han bakkes op af juraprofessor og ekspert i forfatningsret, Jens Elo Rytter, der i følge Politiken mener, at danske myndigheder bør tænke sig meget grundigt om, inden de takker ja til den nye cloud-løsning.

»Grundlæggende er vurderingen, at så snart du sender dine data ud i skyen, så har du mistet kontrollen. Der er temmelig stor risiko for, at NSA har meget vid adgang til de informationer, man vil lægge op i denne her Microsoft-cloud - eller en hvilken som helst anden amerikanskejet sky«, siger han til Politiken.

Hos KMD forsikrer de dog om, at sikkerheden er i orden. Den danske it-udbyder tilbyder oven i købet en løsning, hvor særligt følsomme oplysninger bliver på dansk grund i KMD’s egne datacentre og derfor ikke vil være helt så tilgængelige for det amerikanske efterretningsagentur.

KMD oplyser til Politiken, at ingen endnu har købt den nye løsning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Tommy Bell

Det kræver jo så at der oplyses om at de bryder dansk lov.

Så vidt jeg husker, så får de jo mundkurv på hvis de bliver bedt om at udlevere oplysninger af den amerikanske stat.

Så de kan enten vælge at overholde dansk lov, eller US lov. Og den danske stat ved ikke hvilken der bliver overholdt, fordi hvis de bryder dansk lov i og med de udlevere information til US. Så må de ikke sige det.

Jeg er stadig fortaler for at man holder sit data i Danmark, under dansk ejerskab. KMD og et salg af Nets, det går super for os, i forhold til at sælge det offentlige infrastruktur til fremmede magter. Men vi bliver jo glade for det i længden, da vi jo slipper for at kunne bestemme og bare skal makke ret.

Den gennemsnitlige borger er, også ligeglad. De vil bare have deres reality tv og junk food.

  • 8
  • 0
#4 Anders Rosendal

Det kræver jo så at der oplyses om at de bryder dansk lov.

Det samme gælder jo ved mord, svindel med regnskab osv. Det er en opgave for politiet at finde ud af. Det ændrer ikke på at de skal overholde dansk lov og at de KAN straffes hvis de ikke gør. Også selvom overholder US lov.

På et tidspunkt skal der nok være en dansker som bliver fyret og kommer til at fortælle om hvordan ting foregår på KMD. Hvis det sker.

Jeg er stadig fortaler for at man holder sit data i Danmark, under dansk ejerskab. KMD og et salg af Nets, det går super for os, i forhold til at sælge det offentlige infrastruktur til fremmede magter. Men vi bliver jo glade for det i længden, da vi jo slipper for at kunne bestemme og bare skal makke ret.

Enig.

  • 1
  • 0
#5 Christian Schmidt Blogger

De bryder stadig dansk lov og kan komme i dansk fængsel.

Og hvis ikke de makker ret og bryder den danske lov, så bryder de amerikansk lov og kommer i amerikansk fængsel. Så de vælger nok at makke ret.

Men som Tommy Bell skriver herover, så kommer man i praksis nok ikke i dansk fængsel for forbrydelser som denne.

Spørgsmål: Hvis en amerikaner sidder i USA og gør ting og sager, der krænker dansk lov, kan Danmark straffe ham for det (forudsat at personen dukker op her i landet, fx på ferie)? Er det ikke kun mord og lign., hvor ét land kan straffe for forbrydelser begået i et andet land?

  • 2
  • 0
#6 Anders Rosendal

Og hvis ikke de makker ret og bryder den danske lov, så bryder de amerikansk lov og kommer i amerikansk fængsel. Så de vælger nok at makke ret.

Øøøh hvordan? 1. Jeg er ikke sikker på du har ret i at en dansker i Danmark bryder amerikansk lov. I så fald burde de jo invadere og anholde alle som køber og sælger sex i Danmark.

  1. Vi har ingen amerikanske fængsler i Danmark, så med mindre de ligefrem invaderer Danmark eller sender et seal team ind midt om natten, kan en sysadm sove trygt.
  • 1
  • 2
#7 Kim Østergaard Christiansen

Når NSA kan aflytte telefoner verden over og generelt gøre lige hvad der passer dem. Så har jeg svært ved at se nogen som helst måde at holde dem ude. Om det så ligger på en server i Danmark eller USA. Hvis man kunne "fængsle" nogen fra NSA, så jeg er da ret sikker på at et land som Tyskland ville have prøvet.

Face it, det er håbløst at holde på "hemmeligheder" når det har med "nettet" at gøre. Hvis man vil holde noget helt for sig selv, ja... Så må man hive stikket ud.

  • 0
  • 0
#8 Carsten Jørgensen

I internationale virksomheder er det normalt ikke nødvendigt at involverer lokale parter, det hele kan ordnes fra USA.

Der er i dag ikke krav om at man skal informerer lokalt, men området er dækket af paragraf 43A i den nye EU Databeskyttelseslov - i ved, den lov Danmark og England er modstandere af.

  • 0
  • 0
#10 Claus Jacobsen

Nu kan jeg ikke lige huske artiklen her på V2.dk om det, men KMD's løsning er en "standard" MS Azure Hybrid løsning - det vil sige, et KMD datacenter med egen kapacitet som kan spændes ud til også at køre på et Azure datacenter, altså en hybridløsning (afhængig af kunder og pris). KMD vil selvfølgelig skulle overholde compliance regler og data fra offentlige danske institutioner vil dermed ikke kunne få lov at være på Azure delen. De skal køre direkte på KMD's egen kapacitet. - At det er den samme software er ligegyldigt. - MS har ingen mulighed for at give NSA adgang i KMD's datacenter med mindre NSA helt specifikt har deres egen bagdør i server2012r2 - det kan vi selvfølgelig så ikke vide om de har. Men umiddelbart er det ligeså "sikkert" som alle andre løsninger.

  • 0
  • 0
#12 Jesper Ravn

Forhåbentlig kommer der snart en politisk løsning på dette rod. Ser ud til, at både EU og USA arbejder på sagen nu. Se nedenstående links for mere info.

Restoring Trust in EU-US data flows http://europa.eu/rapid/press-release_IP-13-1166_en.htm

White House Publishes Report on Government Surveillance Programs https://www.huntonprivacyblog.com/2013/12/articles/white-house-publishes...

  • 0
  • 0
#13 Christian Schmidt Blogger

Ahh okay. I så fald ville det nok være smart at bruge det microsoft center som ligger i Europa. Så er man igen sikret af loven.

Microsoft er et amerikansk firma og kan derfor pålægges af amerikanske domstole (eller andre myndigheder, der har lov til at indhente den slags oplysninger uden om domstolene) at udlevere oplysninger.

Selvom selve hardwaren står i EU, så går jeg ud fra, at administratorerne heraf ikke alle sidder i EU men også i USA (og sikkert også Indien). Så hvis Microsoft bliver pålagt af USA at bryde dansk lov, vil de sikkert bede nogle ikke-EU-medarbejdere om at logge ind på EU-datacenteret og videregive de fornødne oplysninger/installere de relevante bagdøre.

  • 1
  • 0
#14 Anders Rosendal

Microsoft er et amerikansk firma og kan derfor pålægges af amerikanske domstole (eller andre myndigheder, der har lov til at indhente den slags oplysninger uden om domstolene) at udlevere oplysninger.

Selvom selve hardwaren står i EU, så går jeg ud fra, at administratorerne heraf ikke alle sidder i EU men også i USA (og sikkert også Indien). Så hvis Microsoft bliver pålagt af USA at bryde dansk lov, vil de sikkert bede nogle ikke-EU-medarbejdere om at logge ind på EU-datacenteret og videregive de fornødne oplysninger/installere de relevante bagdøre.

Det er vel ikke helt ligegyldigt hvor hardwaren står? I sidste ende lader man hæren lave lidt skydeøvelse og så er problemet løst. Anklageren vil sikkert sige at de EU medarbejdere ikke skulle åbne op for spionage.

Du kan evt. prøve at sætte en server i usa som f.eks. hoster links til de nyeste hollywood film og se hvad der sker...

Microsoft adlyder (for det meste) EU lovgivning omkring browser og deres OS. Også selvom de er under amerikansk lovgivning. Så det kan godt lade sig gøre.

  • 0
  • 1
#15 Christian Schmidt Blogger

Det er vel ikke helt ligegyldigt hvor hardwaren står?

Ligegyldigt mht. hvad? Hvis du mener, at Microsoft vil afvise en aflytningshenvendelse fra USA med henvisning til, at hardwaren står i EU, så tror jeg, at du tager fejl (men jeg har ikke lige noget link at henvise til).

Du kan evt. prøve at sætte en server i usa som f.eks. hoster links til de nyeste hollywood film og se hvad der sker...

Det er formentlig ulovligt både her og der, så her vil de to lande samarbejde om at få fjernet mine links og få mig idømt en bøde.

Microsoft adlyder (for det meste) EU lovgivning omkring browser og deres OS. Også selvom de er under amerikansk lovgivning. Så det kan godt lade sig gøre.

I dette tilfælde er det ikke i strid med amerikansk lovgivning at lave nogle ændringer vedr. standardbrowser på foranledning af EU. Mht. aflytning bliver selskabet af ét land beordret til at gøre noget, der er ulovligt at gøre i et andet.

  • 1
  • 1
#16 Christian Schmidt Blogger

(men jeg har ikke lige noget link at henvise til).

Fundet!

Her er svaret fra hestens egen mund: http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-a...

Can Microsoft guarantee that EU-stored data, held in EU based datacenters, will not leave the European Economic Area under any circumstances — even under a request by the Patriot Act? ... He said: "Microsoft cannot provide those guarantees. Neither can any other company."

  • 5
  • 1
#17 Deleted User

KMD er da ikke dansk..?

Advent International is an American global private equity firm focused on buyouts of companies in Western and Central Europe, North America, Latin America and Asia. The firm focuses on international buyouts, growth and strategic restructuring in five core sectors.

  • 3
  • 0
#20 Anders Rosendal

Ligegyldigt mht. hvad? Hvis du mener, at Microsoft vil afvise en aflytningshenvendelse fra USA med henvisning til, at hardwaren står i EU, så tror jeg, at du tager fejl (men jeg har ikke lige noget link at henvise til).

Ligegyldigt for hvad vores lov siger. Det er ufatteligt at du tror at et amerikansk firma som ejer/lejer en bygning i Danmark ikke skal overholde danske regler mht. ferie osv. Det er mig virkelig en gåde. Følger Microsoft også amerikansk lov mht. antallet af feriedage og barsel? :-D Måske du bliver forvirret af hvad de GØR og hvad lovgivning der gælder. Hvis de nægter folk mere end 1 uges ferie, så kan de sagtens gøre det. Hvis de vil aflytte danskere og give f.eks. cpr numre videre til NSA kan de sagtens gøre det. Men det er stadig imod dansk lovgivning.

Du kan evt. prøve at sætte en server i usa som f.eks. hoster links til de nyeste hollywood film og se hvad der sker...

Det er formentlig ulovligt både her og der, så her vil de to lande samarbejde om at få fjernet mine links og få mig idømt en bøde.

Lad os sige at dansk lovgivning ikke forbød folk at linke til noget ulovligt. I så fald tror du bare usa ville sige "Oos, he got us!"? :-)

I dette tilfælde er det ikke i strid med amerikansk lovgivning at lave nogle ændringer vedr. standardbrowser på foranledning af EU. Mht. aflytning bliver selskabet af ét land beordret til at gøre noget, der er ulovligt at gøre i et andet.

Nej, men de er ikke dømt af en amerikansk ret til at betale penge. Så de lod bare være eller hvad tror du udfaldet blev?

  • 0
  • 2
#21 Henning Steen

Vores lands leder siger selv at det er i orden og hun er jo BFF med deres leder. Hun vil ikke risikere at de bliver sure så hun ikke kan lave nye selfies.

Statsministeren har jo andre, hun kan lave selfies med - husbond Kinnock fx. som i World Economic Forum har en række gode partnerskaber med industrielle spillere på området, nogle af dem endda såkaldte Strategic partners. http://www.weforum.org/our-members

  • 0
  • 0
#22 Christian Schmidt Blogger

Det er ufatteligt at du tror at et amerikansk firma som ejer/lejer en bygning i Danmark ikke skal overholde danske regler mht. ferie osv. Det er mig virkelig en gåde.

Du misforstår mig. En virksomhed, der ligger i Danmark, skal selvfølgelig overholde dansk lov. Men hvis virksomheden er et datterselskab af en amerikansk virksomhed, er den tillige underlagt (få) dele af den amerikanske lovgivning. Problemet opstår, når de to love er i konflikt, nemlig når ét lands lovgivning pålægger virksomheden at gøre noget, som er i strid med det andet lands lovgivning.

I det konkrete tilfælde vil det være i strid med dansk lov, hvis KMD udleverer personoplysninger til USA uden om en dansk domstol. Men samtidig vil det være i strid med amerikansk lov, hvis de ikke gør det.

En lignende konflikt findes ikke i dine eksempler med piratlinks og ferielovgivning.

Lad os sige at dansk lovgivning ikke forbød folk at linke til noget ulovligt. I så fald tror du bare usa ville sige "Oos, he got us!"? :-)

De vil formentlig pålægge den amerikanske hosting-provider at fjerne de ulovlige links. Om man kan blive straffet eller pålagt erstatningsansvar under en fremtidig ferie i USA, tør jeg ikke sige.

  • 2
  • 0
#23 Nils Bøjden

Men samtidig vil det være i strid med amerikansk lov, hvis de ikke gør det.

Ikke nok med det, men det er tilladt for USAs efterretningstjenester at aflytte og overvåge uden dommerkendelse, så længe de(n) overvågede ikke er amerikanske statsborgere. Og da vi her taler om danske statsborgere ikke alene har virksomhederne pligt til at udlevere oplysninger til NSA/CIA/FBI/SecretService/FederalMarchals (eller hvad der nu er af føderale operative eller efterforsknings og sikkerheds virksomheder), de skal også efterkomme dette uden at der eksisterer en dommerkendelse.

  • 2
  • 0
Log ind eller Opret konto for at kommentere