It-sikkerhedsråd: Stop det offentliges cloud-løsninger nu!

Illustration: leowolfert/Bigstock
Cloud-løsninger er stadig ikke sikre nok til danske offentlige it-systemer, når det gælder om sikring af borgernes privatliv, mener Rådet for IT-sikkerhed. Cloud-løsninger skal være langt mere gennemskuelige, før Rådet vil anbefale dem.

Rådet for IT-sikkerhed fraråder nu brugen af cloud-løsninger i det offentlige. Udmeldingen kommer efter nogle sager, hvor borgernes persondata er blevet frygtet lækket via forskellige sky-løsninger. Blandt andet har Datatilsynet i flere omgange vendt tomlen ned for Odense Kommune, som forsøgte at indføre Google Apps til at registrere folkeskolernes elevplaner med. Og senest har følsomme personoplysninger fra det køreprøvebooking-system, som kommunerne via Kommunernes Landsforening havde lagt ud i Microsofts Azure cloud-løsning, været genstand for Datatilsynets interesse.

Christian Wernberg-Tougaard, formand for Rådet for Større IT-Sikkerhed, udtaler i en pressemeddelelse:

»Den nye cloud-teknologi giver mulighed for betydelige besparelser, også for det offentlige. Det springende punkt er, om cloud-løsninger både på kort og langt sigt er lige så sikre og stabile som det offentliges nuværende it-løsninger,« siger han og fortsætter:

»Når it-løsningerne bliver mere komplekse, er der brug for mere transparens omkring de problemer, der faktisk opstår. Kun på den måde kan vi sikre, at borgerne fortsat har tillid til de offentlige it-systemer.«

Rådet mener, at cloud-ydelser til offentlige it-systemer skal opfylde alle eksisterende lovbestemmelser og de bedste standarder for it-sikkerhed. Men Rådets vurdering er indtil videre, at teknologierne stadig ikke er modne nok. For eksempel er det med cloud-løsninger typisk ikke muligt at fastslå præcist, hvor bestemte data er lagret fysisk. Dette giver en række nye udfordringer i forhold til både datasikkerhed og beskyttelse af data, specielt fortrolige og følsomme personoplysninger.

»Tidligere har man kunnet inspicere en fysisk lokalitet, og måske endda nogle bestemte harddiske hvor nogle givne data blev opbevaret. Med cloud-computing begynder computerkraft og datalagring at ligne det vi kender fra elproduktion. Det kan være svært at sige hvor den strøm, vi trækker ud af kontakten, er produceret – og noget lignende gælder i stigende grad for it-ydelser. Det giver en lang række nye udfordringer, specielt for myndigheder som jo skal tjene en hel befolknings interesser,« udtaler Christian Wernberg Tougaard.

Rådet for Større IT-Sikkerhed skriver, at de går ind for mere cloud-computing i offentligt regi, men først når en række specifikke krav er opfyldt. For eksempel skal datasikkerhed og databeskyttelse i cloud-computing i langt højere grad end i dag baseres på certificering og generelle kvalitetsnormer. Derfor er lovgivning på området vigtig, men Rådet skriver, at før regeringen giver grønt lys for nye cloud-løsninger i offentligt regi, bør en række krav være opfyldt:

*Sikkerhedsforhold skal kunne verificeres via fysisk inspektion og certificering hos cloud-leverandørerne, og cloud-løsninger skal overholde alle gældende EU- og dansk lovgivning samt de bedste gængse standarder for it-sikkerhed.

*Der skal være løsninger i forhold til nødberedskab som opfylder præcist samme krav til datasikkerhed og databeskyttelse, som gælder for drift af de almindelige it-systemer.

*Der skal være klare aftaler som sikrer, at data forbliver i myndighedernes varetægt og inden for EU's grænser, også hvis en cloud-leverandør bliver opkøbt eller lukker ned. En del af Rådets medlemmer mener, at eneste farbare vej er, at det offentlige laver sine egne afgrænsede cloud-løsninger lokaliseret i Danmark, og på den måde har det direkte ejerskab og ansvar for både fysisk infrastruktur, stabilitet, it-sikkerhed og beskyttelse af privatlivsoplysninger.

*Kritiske it-tjenester og infrastruktur for forsvar, politi og CPR bør ligge fuldstændig under statens kontrol. Data der er vitale for statens sikkerhed skal kunne verificeres via fysisk inspektion og certificering inden for Danmarks grænser og må ikke komme uden for Danmarks grænser.

Redigeret 10.03: Artiklen har tidligere givet indtryk af, at følsomme personoplysninger var lækket i offentlige sky-løsninger. Det er nu præciseret til, at IT-sikkerhedsrådet frygter, at det ville kunne ske.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Deleted User

I artiklen kan man læse følgende: "Udmeldingen kommer efter nogle sager, hvor borgernes persondata er blevet lækket via forskellige sky-løsninger." Så vidt jeg har kunnet læse mig til, så er der ikke tale om, at data er lækket, men om at tilsynet frygter for, at det (måske) kunne foregå.

Efter min mening er det mest indlysende krav at stille her, at man - hvis man stiller sikkerhedskrav af den karakter - så faktisk arbejder på at stille tilsvarende (kontrollerbare) faciliteter til rådighed på statsligt eller i det mindste offentligt initiativ. Ikke at man bare formulerer sikkerhedskrav, der umuliggør anvendelsen af en i øvrigt meget fornuftig teknologi i det hele taget.

  • 0
  • 0
Svante Jørgensen

Jeg synes faktisk at Rådet for IT-sikkerhed har nogle meget gode pointer. Statslig personfølsom data burde garanteres at ligge på danske servere. Hvis fx at data gik igennem Sverige ville den svenske stat gennem deres IPRED lov have adgang til alt denne data, og det bliver endnu værre hvis data er gemt på servere i USA eller Kina (bare for at nævne de to værste).

Det er ikke seriøs beskyttelse af vores data at en fremmed stat kan konfiskere fortrolige oplysninger mellem den danske stat og danske statsborgere. Det er alligevel betydeligt mere følsomme oplysninger end et brugernavn, password eller sågar bankkontonummer eller kreditkortnummer.

Der burde dog sættes retningslinjer for mindre personfølsomme oplysninger, hvor fx stærk kryptering ville være tilstrækkelig (hvis dette ikke allerede er gjort).

  • 0
  • 0
Svante Jørgensen

Tak til Morten K. Thomsen, det er utroligt fedt at se journalisterne her på version2.dk være opmærksomme på kommentarer fra brugerne om forkerte eller upræcise informationer i nyhederne. Det giver i mine øjne nyhederne betydeligt større troværdighed - efter min mening en stor mangel på nyhedsmedier der ikke gør det.

Internettet er skabt til samtale og diskussion om nyheder, ikke udsendelse af nyheder, godt at se at i udnytter mulighederne :)

  • 0
  • 0
Niels Dybdahl

Er det Cloud når data ligger på Googles servere men ikke når de ligger på CSCs servere? Er det Cloud når data tilgås via en browser, mens det ikke er Cloud når man bruger en dedikeret klient? Er Skoleintra og NemID Cloud? Eller er det Cloud når man ikke er sikker på hvor ens data er henne?

  • 0
  • 0
Søren Ørslund

Jeg tror man med fordel kan anvende NIST (http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-...) definition af cloud. Opfat Cloud som en leveringsform og har som sådan ingen tekniske karakteriska. For at kunne blive kaldt Cloud i forhold til NIST skal løsningen være karakteriseret ved On-demand self-service, Broad network access, Resource pooling, Rapid elasticity og Measured Service, selve servicen kan være Infrastruktur, platform eller Software services. Derfor spiller det f.eks ingen rolle hvilken klienttype vi taler om. CSC leverer også Cloud løsninger (udover de tradionelle hosted løsninger). Cloud Security Alliance (www.cloudsecurityalliance.org) har en række gode initiativer og diskussioner omkring sikkerhedsinitiativer.

  • 0
  • 0
Gert Madsen

Hvis man skal sikre følsomme data skal de som minimum ligge under dansk lovgivning. At de ligger i EU er ikke godt nok. Feks. siger tysk lovgivning at personfølsomme oplysninger ikke må forlade Tyskland. Så hvis danske personfølsomme oplysninger via en eller anden Cloud-løsning ender i Tyskland, så skal de blive der til evig tid. Og skulle Tyskerne åbne for at man må bruge de oplysninger til SPAM/Rekvalmer, så er der ikke rigtig noget man kan gøre ved det. I øjeblikket har Tyskland en mere hensigtsmæssig lovgivning omkring Personfølsomme oplysninger end Danmark, så det er ikke umiddelbart farligt. Men det kan vel illustrere at datas fysiske placering er vigtig.

Først når man får afkoblet/anonymiseret personlige oplysninger, kan man bruge cloud.

  • 0
  • 0
Søren Ørslund

@niels - det afhænger helt af deployment modellen - private, community, public og hybrid. Public er den du refererer til hvor f.eks man deler ressourcer, hvor i mod Private Cloud kører på egne servere. For det offentlige ville en goverment cloud (private cloud geografisk placeret i dk være oplagt), og i en sådan model giver ovenstående artikel ikke megen mening. Det er ofte public cloud modeller med multitenant struktur der bliver beskudt (og med rette).

  • 0
  • 0
Maciej Szeliga

"Er det Cloud når data ligger på Googles servere men ikke når de ligger på CSCs servere? Er det Cloud når data tilgås via en browser, mens det ikke er Cloud når man bruger en dedikeret klient? Er Skoleintra og NemID Cloud? Eller er det Cloud når man ikke er sikker på hvor ens data er henne?"

Det er gået hen og blevet ligegyldigt... Cloud er blevet det nye sort og man kikker ikke på løsningen bare der er "cloud" i navnet. Jeg beskrev hvad cloud går ud på uden at bruge fancy mumbojumbo buzzwords og vedkommende sagde at det lød præcis som vores Citrix miljø.

  • 0
  • 0
Keld Simonsen

Jeg tror ikke at Rådet har noget imod at bruge cloud-teknologierne, såsom den frie skalérbarhed, bare de opstillede krav overholdes. Hvis forskellige ministerier gik sammen om at drive en Slotsholmen-cloud - på linje med Slotsholmen-nettet - så tror jeg der ville være god mulighed for at overholde kravene. En dansk kommunalt ejet cloud-tjeneste rettet mod kommunerne ville også kunne overholde kravene.

  • 0
  • 0
Jesper A. Frederiksen

Hvis man nu var typen, der blev træt af ”Det Etableredes” fastholdelse af at leve i fortiden, så kunne man godt blive lidt træt – igen… Forleden kom denne fine pressemeddelelse fra Rådet for Større IT-Sikkerhed og jeg var sikkert ikke den eneste, der IKKE var overrasket over, at vi (igen-igen) skulle udsættes for en skeptisk holdning til, om det Offentlige bør bruge Cloud Computing som IT-ressource eller ej. Der er umiddelbart 2 ting, der springer i øjnene…

Først og fremmest bliver der refereret til, at det springende punkt skulle være om ”cloud-løsninger både på kort og langt sigt er lige så sikre og stabile som det offentliges nuværende it-løsninger”. Det er et direkte citat fra Rådets formand. Nu ved jeg ikke hvor lang tid siden det er, at Rådet har været ude og kigge på de IT-installationer, som der står rundt omkring i det Offentlige Danmark; men der skal ikke meget teknologisk begreb om cloud-løsninger til, før man med al ønskelig tydelighed kan sige, at cloud baserede løsninger er mindst lige så sikre og stabile – hvis ikke markant mere – som eksisterende lokale datacentre.

De Offentlige IT-afdelinger kæmper en daglig, ulig kamp mod at sikre mere og mere data, yde mere og mere service, håndtere flere og flere applikationer, operativsystemer, brugeroplysninger osv osv. Kompleksiteten stiger hurtigere end budgetter og kompetencer kan følge med. Og det er ganske naturligt – vi borgere stiller større og større krav til, at vi kan interagere med det Offentlige digitalt/elektronisk og gerne 24/7 om alt mellem himmel og jord. Fra vores børns skolegang, tidsbestillinger hos lægen, opdaterede skatteoplysninger; listen fortsætter i det uendelige. Og det, mener Rådet, foregår sikkert og stabilt med de nuværende IT-løsninger i det Offentlige – min påstand er, at det Offentlige ikke har en snebolds chance i et vist meget velopvarmet-underjordisk-opbevaringslokation-for-skidte-karakterer for at kunne levere sikker og stabil IT uden at gøre brug af cloud-løsninger! Både på kort og langt sigt!

Kompleksiteten og de nødvendige kompetencer, der skal være til stede, for at håndtere det væld af komponenter og adgangsveje, der er til de Offentlige IT-systemer kan ganske enkelt ikke rummes af de forholdsvis få mennesker, der står med opgaven i det daglige. Men det Offentlige skal – ligesom enhver anden virksomhed i øvrigt – altid indgå leverandørforhold med åbne øjne og med så veldefinerede specifikationer som overhovedet muligt – her adskiller forholdet til eventuelle cloud-udbydere sig ikke en disse fra, hvem man eventuelt vælger som rengøringspartner på Rådhuset. Men det virker som om, at cloud-udbydere over en bred kam skal leve op til nogle helt andre krav end andre leverandører – bare fordi de nu en gang leverer en just-in-time baseret IT-ydelse. At benytte cloud-udbydere fritager ikke de offentlige virksomheder fra, at lave en rationel udvælgelse af leverandør – det er jo fuldstændig utopisk, at tro at cloud-udbydere i deres natur skulle være mere homogene end alle andre brancher – hvor kommer sådan en urealistisk holdning fra? Det virker mere som om, der ligger en politisk frygt bag, at Rådets fraråder brug af cloud-løsninger i det offentlige. Og hvis det er det, der ligger bag, så er det også helt fint – men så sig det i stedet for at bruge teknologien som syndebuk. Teknologien skal bare bruges rigtigt. Også blandt cloud-udbydere gælder reglen om, at kvalitet normalt koster – og her tænker jeg ikke kun på hvad prisen pr. CPU/GB/Mbit måtte være; men i særdeleshed også på, hvor mange ressourcer, man som cloud-kunde ligger i processen.

Den virtualiserings-, storage- og administrationsteknologi, som cloud-udbyderne gør brug af for at sammensætte deres løsninger er bestemt proven technology; men bare fordi de er cloud-udbydere, kan de ikke på magisk vis se sig fri for den menneskelige faktor, så fejl både kan og vil opstå – ligesom de også gør i dagens lokale datacentre.

Endeligt kan jeg ikke lade være med at sidde med et billede af gamle støvede arkiver, mikrofilm fremvisere, skriftruller og stentavler, når der i pressemeddelelsen henvises til, at data kun er sikker, når man fysisk kan finde den harddisk skive, som en specifik stump data måtte være placeret på. Hvis det er Rådets teknologiske ambitionsniveau, vi ser afspejlet her, så bør man måske være en smule nervøs for, hvilke teknologier det Offentlige vil få at vælge imellem… Moderne virtualiseret storage teknologi har i lang tid kunne fremskaffe specifik data til kontrol og gennemsyn både lettere og hurtigere en de tidligere fysisk afhængige løsninger. En fysisk bundethed er vel nærmere et tegn på manglende sikkerhed, for hvad sker hvis den enkelte fysiske enhed fejler?

Så lad os nu komme frem i førersædet og hjælpe – ikke kun det Offentlige – men alle danske virksomheder med at navigere i en teknologi, som nok ret beset vil være toneangivende nu og i den nærmeste fremtid. Jeg er med på, at man skal have et nuanceret syn på al teknologi, og hvordan man bruger den; men denne evindelige ”gør-det-ikke-det-er-måske-lige-så-farligt-som-det-du-gør-i dag” attitude er en – efter min ydmyge mening – lidt for letkøbt form for rådgivning.

  • 0
  • 0
Gert Madsen

Som jeg forstår det så er pointen at der findes visse juridiske og revisionsmæssige krav til hvordan man opbevarer følsomme data. Og ind til videre er der ikke ret mange - om nogen - cloud-udbydere, der lever op til dette.

Så er der en del folk, der har været ude med den påstand at så må reglerne/lovene laves om. Det mener jeg ikke er en gangbar vej. Det kan godt være at det kan spare lidt penge på kort sigt, men regningen kommer meget større sidenhen.

En kommune kan også spare penge ved at købe den billigste indiske bil til hjemmeplejen. Man skal bare lige omgå de "forstenede holdninger" om krav til sikkerhedsseler og den slags. Det er ikke nok at en vare er billig. Den skal også leve op til det behov/krav der er.

  • 0
  • 0
Jesper A. Frederiksen

Jeg er 110% enig i, at der skal kunne stilles krav - både af juridisk og revisionsmæssig karakter - til hvordan vi opbevarer vores "fælles" data. Det være sig hos os selv, hos vores samarbejdspartnere eller i "skyen". Tesen er bare, at disse krav gerne må følge med den teknologi, vi har til rådighed i stedet for at holde sig for længe i, hvordan man altid har gjort tingene. Og det er her, jeg mener, at man skal være lidt mere ambitiøs.

Og mht. til det med pris; så jeg ikke af den overbevisning at cloud-udbydere nødvendigvis gør tingene billigere, end man selv kan. Nuvel - så har de nogle stordriftsfordele, der gør, at de kan trække på mere power (målt i den ydelse man ønsker) billigere, end man måske kan. Men - og det er her hunden ligger begravet - cloud-udbyderne kan fordele ressourcerne mellem flere kunder/installationer/virksomheder/instanser, end man selv kan, hvilket er hele grundstenen bag princippet bag just-in-time IT-ressourcer. Og det er DEN fleksibilitet, der gør cloud computing noget værd.

Og det er vel ikke nødvendigvis helt skidt at ændre på regler og love, hvis det grundlag, hvorpå de bygger ikke er tilstede længere? Specielt når der er tale om regler og love, der tager udgangspunkt i at regulere teknologi, og hvordan den bruges. Så er der vel netop ligefrem en forpligtigelse til, at de skal ændres løbende? Så jo - lav regler og love om, hvis de er forældede. Altid!

Jeg kan i øvrigt godt lide billedet med den indiske bil - men hvem siger, at kommunerne ikke allerede kører rundt i sådan en allerede...? Og at den restriktive IT-politik, der hersker, måske tvinger IT-afdelingerne - og ikke mindst de stakkels brugere - til at gradbøje sikkerhedsforanstaltninger for overhovedet at kunne få tingene gjort inden for budget, tid osv? Man bør - som sagt - altid være skeptisk over for et hvert valg af teknologi eller leverandør; men man skal også have det rette grundlag at sammenligne ud fra. Måske man har et lidt for lyserødt billede af, hvordan IT-opgaver bliver løst uden brug af cloud ressourcer? Hvis man fik et mere nuanceret billede af "as-is" IT-situationen i det offentlige (eller private for den sags skyld), så så det grumme cloud computing "to-be" billede måske ikke så grumt ud...?

  • 0
  • 0
Gert Madsen

"Tesen er bare, at disse krav gerne må følge med den teknologi, vi har til rådighed i stedet for at holde sig for længe i, hvordan man altid har gjort tingene." Ja, det kunne være interessant at undersøge. Argumentet har hidtil været: Reglerne er skal laves om FORDI de forhindrer at man bruger cloud. (Odense's Gmail sag + KL's IT-talsmand).

Hvis man mener at cloud er at data kan placeres hvor som helst i verden, så er teknologien ikke god nok. Og det er ikke specielt nogen cloud-teknologi der tænkes på. Derimod er det den egentlige applikation, som skal afkoble følsomme oplysninger for at det kan lade sig gøre.

"men hvem siger, at kommunerne ikke allerede kører rundt i sådan en allerede...?" ja, jeg er også tilbøjelig til at tro at det ind i mellem halter med beskyttelsen af personlige oplysninger i de eksisterende systemer. Men jeg mener så ikke at svaret er at droppe ambitionen om at beskytte de følsomme oplysninger. Og at lægge systemerne/data i de store cloud-systemer vi kender idag, betyder netop at man fraskriver sig kontrol over data.

  • 0
  • 0
Bjørn Kassøe Andersen

Artiklens overskrift er ikke retvisende. Rådets pointe er at regeringen bør sikre at en række krav er opfyldt, før der gives grønt lys for nye cloud-løsninger. Ift. den kursiverede rettelse af artiklen, så fremgår det af brev fra Datatilsynets omtalt af Version2, at der har været sikkerhedsbrist: http://www.version2.dk/artikel/koereproeveskyen-var-pokkers-utaet-datati... (artiklen linker til brevet).

Bjørn Kassøe Andersen, Kommunikationschef i Rådet for Større IT-Sikkerhed

  • 0
  • 0
René Løhde

Kære Bjørn,

Med de 4 krav I har opstillet kan man sagtens retfærdigøre overskriften. Faktisk det en ret præcis udlægning af jeres 4 krav.

Biased som jeg er, vil jeg ikke kommentere yderligere på kravene, men istedet bede jer læse IT og Telestyrelsens uopfordrede svar på jeres krav: http://www.itst.dk/nyheder/nyhedsarkiv/2011/kan-cloud-computing-anvendes...

(Det vil iøvrigt klæde v2.dk at lave en opfølgende artikel med ITSTs svar)

Jeg vil yderligere konstatere at din observation om Datatilsynet, som skriver at der har været en sikkerhedsbrist er interessant. Har du læst den artikel som datatilsynet linker til?

http://www.version2.dk/artikel/koereproevebooking-paa-glatis-applikation...

Med din fokus på overskrifter håber jeg at du vil læse ovenstående flere gange. Læg mærke til ordet "applikationsfejl".

--René, Cloud sælger

  • 0
  • 0
Kasper Bergholt

Ser ud til at den amerikanske Patriot Act kan kaste yderligere grus i maskineriet for offentlige virksomheders ønske at om at anvede cloud-løsninger, i hvert fald så længe hovedvirksomheden er en amerikansk juridisk entitet (så er det lige gyldigt, hvor serverne fysisk er placeret, fx i et EU-land).

Mere her http://mediebevaegelsen.dk/amerikanske-cloudloesning

  • 0
  • 0
Kasper Bergholt

Øh, emnet er vel fortsat relevant, selvom tråden har et par måneder på bagen?

Og The Patriot Act-perspektivet er mig bekendt frisk fra fad (VmWare-konferencen forrige uge).

Men jeg beklager da, hvis du synes, det var en dårlig idé at bringe nyt på datasikkerhedsproblematikken.

  • 0
  • 0
Kasper Bergholt

Hej igen, Thomas!

Lidt kom der ud af delingen. Camilla Fisker, der er projektleder inden for cloudområdet i Digitaliseringstyrelsen (tidligere IT- og Telestyrelsen) har netop skrevet en meget relevant kommentar. EU-kommissionen tog nemlig i august 2011 stilling til spørgsmålet om datasikkerhed i lyset af The Patriot Act, og kommissionen konkluderede det modsatte af VmWares eksperter. At en amerikansk myndighedsorganisation skal gå rettens vej, værende det sig i det berørte land eller EU-retten, inden der kan udleveres datasæt, såfremt serverne fysisk ikke er placeret i USA.

Man må formode, at VmWares juridiske eksperter følgende den slags domme tæt, og så tangerer det, at de har talt mod bedrevidende til VmWare World for at styrke platformens value proposition. Tankevækkende.

Alt godt,

Kasper

  • 0
  • 0
Log ind eller Opret konto for at kommentere