Max Schrems dumper nyt Microsoft-setup: NSA har stadig adgang til dine data

Illustration: Screenshot/Noyb
I sidste uge annoncerede Microsoft, at man vil gå EU og Schrems II-dommen i møde og lade europæiske kunders data blive i unionen. Men manden, der lægger navn til den skelsættende dom, giver ikke meget for tech-gigantens løfter.

Juristen og aktivisten Max Schrems, der lægger navn til de skælsættende EU-domme af samme navn, giver ikke meget for Microsofts nye løfter om at holde europæiske kunders data i EU.

Det skriver The Register.

Østrigske Max Schrems fik sidste år kendt privacy shield-aftalen ulovlig, og dermed forsvandt det juridiske grundlag for at overføre europæiske persondata til USA. Siden har it-afdelinger i hele Europa revet sig i håret over, om deres cloud-løsninger stadigvæk er lovlige, og i sidste uge kom Microsoft så med et løfte.

Læs også: Microsoft bøjer sig for Schrems II: Data kan blive i EU

Fra udgangen af 2022 vil man kunne tilbyde alle europæiske kunder, at deres data gemmes og behandles i EU.

Men det løfte giver Max Schrems altså ikke meget for.

»Som jeg forstår det, vil der stadig være direkte adgang til data og nøgler fra USA i det nye Microsoft-setup. Det betyder, at data stadigvæk vil være omfattet af FISA (amerikansk overvågningslovgivning, red.) og derfor vil skulle udleveres til amerikanske myndigheder, hvis de beder om det. I forhold til NSA er dette her for syns skyld,« siger han til The Register.

Læs også: Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ebbe Hansen

Løsningen går vel hen og bliver en europæisk cloud på et separat lukket net. For ingen kan vel forestille sig en cloud-løsning, som ikke bliver tilgængelig for NSA og Co. Og løsningen kan kun blive midlertidig, for uanset hvor meget et netværk separeres, vil de amerikanske efterretningstjenester snarere før end siden skaffe sig fuld adgang.

  • 13
  • 4
#2 Bjarne Nielsen

... vil de amerikanske efterretningstjenester snarere før end siden skaffe sig fuld adgang

Der er stor forskel på at få det leveret direkte i indbakken, og så gøre det til en selvhenter.

Jeg læste fornyligt andetsteds at bare Google havde behandlet over 200k FISA anmodninger i 2019. Så øvelsen er ikke så meget at gøre det krop-umuligt, men derimod møg-besværligt. Helst så besværligt, at det er nemmere at gå ad de officielle kanaler.

Der er en verden til forskel på "rutinemæssigt" og "hvis man virkelig mener det, og er villig til at løbe risikoen". Ligenu er det en selvbetjeningsautomat, og det er IMHO forkert.

  • 18
  • 0
#4 Henrik Krarup Lindholm

Hvad er det lige for on-line forbundne (webbaserede) systemer nogen kan mene NSA ikke kan tiltvinge sig fri og uovervåget adgang til ?

Jeg føler mig pænt overbevist om, at skulle NSA bede Danske efterretningstjenester om en adgang, til hvad som helst, så vil den blive imødekommet.

Spørgsmålet jeg stiller mig selv er snarere, hvilke større spillere (Facebook, Google, Microsoft, Apple, Amazon osv.) tør jeg tro på vil gøre en reel indsats for at beskytte mine oplysninger.

I forhold til GDPR er der helt klar og godt formuleret (omend svært forståelig) lovgivning. Så må man til tasterne og udarbejde den nødvendige risikovurdering, herunder skrive at det vil være teknisk muligt for danske, europæiske og fremmede efterretningstjester at tiltvinge sig (uberettiget) adgang.

Det er vist efterhånden en illusion at tro, at man kan bevare fysisk sikring af de data man opbevarer. I praksis er det i hvert fald næppe muligt længere.

Vi (som i vore samfund) skal naturligvis gøre hvad vi kan. Jeg mener dog også at vi skal indrette os så vi kan få en hverdag til at fungere, og i mindst muligt men nødvendigt omfang overgive os til de snagende giganter når vi ikke har et reelt alternativ.

  • 0
  • 1
#5 Klavs Klavsen

Shrems II drejer sig om amerikansk lovgivning og derfor er det et problem hvis man opbevarer GDPR omfattet data på noget som nogen under amerikansk lovgivning har tilgang til - da det så betyder at USA kan betvinge sig adgang (lovligt).

USA kan IKKE (juridisk lovligt) tiltvinge sig adgang til f.ex. OVH eller hetzner servere/data..

Uanset hvad NSA kan lave af "lokumsftaler" - så ER de ulovlige.. det er derfor Snowden afsløringerne var så relevante.. og ja - den slags kan vi ikke nødvendigvis beskytte os imod. Ligesom det kan være svært at beskytte sig imod anden spionage virksomhed - men det er udenfor GDPRs område - da det er lovbrydere der spionerer - medmindre "den angrebne" - ikke har haft tilstrækkelig sikkerhed (og det dermed kan anses som grunden til at angrebet lykkedes).

  • 23
  • 0
#6 Henrik Krarup Lindholm

USA kan IKKE (juridisk lovligt) tiltvinge sig adgang til f.ex. OVH eller hetzner servere/data..

Nu handler GDPR ikke så meget om, hvorvidt data "deles" lovligt eller ikke lovligt, men om hvorvidt de deles inden for rammerne af hvad der er givet tilsagn til fra kunden.

En virksomhed kan dømmes for brud på GDPR regler hvis der er sket et brud og vil næppe få "rabat" blot fordi det var et brud der gennemførtes ulovligt.

  • 0
  • 3
#7 Klavs Klavsen

En virksomhed kan dømmes for brud på GDPR regler hvis der er sket et brud og vil næppe få "rabat" blot fordi det var et brud der gennemførtes ulovligt.

Det er svjv. ikke korrekt. i GDPR står der NETOP at der skal være tidssvarende sikkerhedsforanstaltninger. HVIS der har været det, vil jeg mene at det er en klart formildende omstændighed..

Men jeg ved ikke hvor mange sager, med statslige aktører (såsom NSA) der har brudt ind hos virksomheder (eller deres databehandler / hosting provider) og stjålet data - der lige findes - så man kan vurdere hvordan loven tolkes i forskellige lande..

Så umiddelbart er det at anvende OVH/hetzner som databehandliner / hosting provider ikke KENDT som værende i strid med GDPR - og dermed et juridisk langt bedre valg for virksomheder.

I modsætning til AWS, mv. - hvor der forelægger en direkte udtalelse fra EU om at de ikke kan se hvordan det kan gøres lovligt at gøre.

  • 12
  • 0
#8 Klavs Klavsen

Nu handler GDPR ikke så meget om, hvorvidt data "deles" lovligt eller ikke lovligt, men om hvorvidt de deles inden for rammerne af hvad der er givet tilsagn til fra kunden.

Det gør den faktisk. Du får NETOP en bøde - hvis nogen har hacket (ulovligt) dine servere og fået tilgang til kunde data. (hvis du har "tilstrækkelig sikkerhed" som GDPR kræver og det alligevel sker - er jeg i tvivl om hvad der så sker.. det er ikke normal tilfældet :)

Det kræver IKKE tilsagn fra dine kunder, for at du må benytte en underleverandør / databehandler - så længe der leves op til GDPR (og der er en gyldig databehandler aftale med denne) - så det drejer sig faktisk SLET ikke om kundetilsagn (dvs. bruger af f.ex. en offentlig styrelse som så vil hoste sine services hos OVH/Hetzner eller AWS).

  • 6
  • 0
#9 Henrik Krarup Lindholm

Det gør den faktisk. Du får NETOP en bøde - hvis nogen har hacket (ulovligt) dine servere og fået tilgang til kunde data. (hvis du har "tilstrækkelig sikkerhed" som GDPR kræver og det alligevel sker - er jeg i tvivl om hvad der så sker.. det er ikke normal tilfældet :)

Jeg tror vi kan blive enige om, at selv ulovlig hacking er brud på GDPR - Hvilken sanktion der kan blive tale om er en anden sag.

Min påstand her er, at man er bedre stillet såfremt man anvender solide kendte leverandører med gode ressourcer og tilbud i værktøjskassen og en god fornuft i overetagen, som fx Apple der reelt gør modstand mod NSA o.l.

Som jeg lige husker det, skred staten ikke ind over for de kommuner der fortsatte med brug af google docs i undervisningen efter den platform var blevet underkendt. Så jeg har ikke bedre tillid til de danske offentlige instanser end til dem fra USA eller Kina for den sag skyld.

Jeg savner sund fornuft i debatten (den samfundsmæssige - ikke den nærværende).

Ok, jeg medgiver, at EU har underkendt Microsoft platformen pga forbindelse til USA. Er der nogen der forestiller sig, at det på nogen måde vil være muligt IKKE at anvende Microsoft produkter i Danmark - ja, ja, jeg ved godt der er mange der kunne ønske det, og hurtigt peger på alternativer til fx operativsystem og kontorpakker - men over de seneste 25 år er udviklingen ikke ligefrem gået den vej.

Brug hovedet, overhold lovgivning dansk såvel som international efter bedste evne og brug så dine ressourcer på, at forbedre sikkerheden der hvor den halter.

  • 1
  • 9
#10 Uffe Seerup

Tidligere forsøgte FBI at få udleveret data fra Microsofts irske servere.

Argumentet var, at fordi Microsoft kontrollerer (>50% ejerandel) det irske datterselskab, så kunne Microsoft USA pålægges at beordre Microsoft Irland til at udlevere data.

Microsoft modsatte sig med henvisning til, at det ville bryde irsk lov (og EU forordninger). Sagen endte i højesteret. Flere kommentatorer mente at FBI ikke havde en god sag. Derudover ville en FBI sejr fuldstændigt undergrave Googles, Microsoft, Amazons, IBMs og mange flere tech giganters forretningsmodel. Det ville betyde at al public cloud ville blive total gift for alt andet en hjemmekode private websites.

Inden sagen blev afgjort, vedtog USAs kongres imidlertid en ny lov som tydeliggør, at en virksomhed (fx Microsoft) kan nægte at udlevere data om fremmede magters borgere (men ikke om amerikanske statsborgere), når dette data er placeret udenfor USA og lokal lovgivning forhindrer udlevering.

Dermed kan Microsoft og andre tech virksomheder sikre sig at data bliver i EU. På den måde kan FBI ikke kræve data om EU borgere. Det er på den baggrund at Microsofts udmelding skal læses. De vil garantere, at EU data ikke på noget tidspunkt passerer igennem en server hvor FBI kan have en kendelse på at slubre data til sig.

Der er imidlertid noget hemmelig lovgivning (FISA) som tillader efterretningstjenester (fx CIA, NSA og andre 3 bogstavers styrelser) at få udstedt hemmelige kendelser mod amerikanske virksomheder som de skal følge men ikke må fortælle noget om. De har allernådigst fået lov at fortælle hvor mange kendelser de har betjent i løbet af et år, forudsat at de afrunder det til hele antal tusinder. Det var et slag i sig selv.

Derfor: Som Max Screms siger, så er FISA stadig et problem. Det er et problem som kun kan løses med jura og/eller diplomati (læs: traktat mellem USA/EU).

FISA bejymringen gælder alle cloud leverandørerne. Ja, den gælder også ikke-USA baserede leverandører. Spotify US kan blive ramt af en FISA kendelse om udlevering af data. Hvis de ikke følger den, vil de være "in contempt" - hvilket betyder fængsel til de amerikanske medarbejdere. Det umuliggør at drive forretning i USA. Og de kan heller ikke fortælle nogen om det.

  • 15
  • 0
#12 Søren Sehmann

Hvis bare politikerene ville indrømme, at vi er så afhængige af USA, at der ikke er muligt for europæiske myndigheder, at give de retsgarantier, som EU charter om basale rettigheder foreskriver. Så vil vi igen kunne komme i gang med at anvende teknologi - og dele data på tværs at EU og USA. ;-) USA er jo vores nærmeste allierede, så man kan jo ikke udelukke, at vi rent faktisk får mere generel sikkerhed af samarbejde med USA...

  • 2
  • 11
#13 Peter Stricker
  • 10
  • 0
#14 Maciej Szeliga

Løsningen går vel hen og bliver en europæisk cloud på et separat lukket net. For ingen kan vel forestille sig en cloud-løsning, som ikke bliver tilgængelig for NSA og Co. Og løsningen kan kun blive midlertidig, for uanset hvor meget et netværk separeres, vil de amerikanske efterretningstjenester snarere før end siden skaffe sig fuld adgang.

De behøver slet ikke "skaffe sig adgang" de har juridisk ret til at få adgang fra enhver virksomhed som er amerikansk ejet og/eller befinder sig på USA's territorier. Derfor er Microsofts løsning kun et forsøg på sløring af problemet - ikke at jeg dermed mener de ikke skal have credit, de gør hvad de kan for at løse problemet men desværre for dem er eneste reelle løsning at frasælge alle deres europæiske datacentre til et selskab som ejes fra enten Schweiz eller Tyskland. Jo hurtigere Microsoft indseer at det er bydende nødvændigt at oprette "Microsoft.EU Gmbh" desto flere kunder kan de beholde.

  • 6
  • 0
Log ind eller Opret konto for at kommentere