per lolk bloghoved

”Cloud er død!” – tænkte strudsen og stak hovedet i busken

For et par uger siden viste en advokat mig en slide. På sliden stod der med store bogstaver: ”Cloud er død!”

Anledningen til advokatens påstand er den skærpelse af persondataloven, der forventes at træde i kraft primo 2016. Skærpelsen er ikke helt på plads endnu, men forventes at komme til at indeholde krav om, at man 1) skal vide præcis hvor ens data befinder sig, 2) at man skal kunne få fysisk adgang til ens data og 3) at man skal vide, hvem der håndterer ens data.

De nye regler omfatter private og offentlige virksomheder og organisationer, der håndterer personfølsomme data. Taget i betragtning, at personfølsomme data ganske enkelt er data, hvor man kan udlede en persons identitet, så vil reglerne få betydning for rigtig mange virksomheder og organisationer. Reglerne vil eksempelvis omfatte en ganske dagligdags og banal situation som en HR-medarbejder, der sender en mail til en kollega indeholdende et CPR-nr.

Det var på dette grundlag, at advokaten erklærede cloud død. Og det er på dette grundlag, at jeg undrer mig på vegne af hele markedet for cloud-løsninger og spørger, om de store producenter har stukket hovedet i busken lige som strudsen?

For mig at se kommer skærpelsen nemlig til at betyde, at mange cloud-løsninger (som fx MS Azure, Office 365 og Gmail) bliver svære at levere. Det bliver godt nok ikke hverken Microsofts eller Googles ansvar at overholde loven – det bliver købers, den enkelte organisations og virksomheds, ansvar. Men hvilken organisation eller virksomhed vil købe en løsning, hvor man risikerer at overtræde loven og blive pålagt bøder?

Hvilke mulige scenarier er det, vi kigger ind i med de nye regler? Jeg har ikke svarene, men jeg kan se nogle af scenarierne, hvor købere af cloud-ydelser kan risikere at komme på kant med loven og derfor forventes at sætte en prop i salget for producenterne:

Et servicecenter, som har adgang til det datacenter, hvor ens data ligger, er også at betragte som dataopbevaring. Rigtig mange cloud-services leveres af centre spredt over hele kloden, for at producenterne kan levere ”support med solen” verden over. Det vil sige ydelser, der kommer ud af internetskyen, og som kører i datacentre på hele kloden, hvor man holder omkostningerne nede ved at lade medarbejdere servicere data inden for normal arbejdstid eller via billig arbejdskraft, og evt. selv bygger server- og storage-løsninger.

I stedet bliver man nødt til at åbne flere nationale datacentre, der bliver administreret lokalt. Stordriftsfordelene udebliver for de store, globale leverandører. Det må jo betyde prisstigninger for kunderne - eller også finder man ud af, at man godt kan levere ydelserne fra fx et dansk datacenter og via dansk arbejdskraft til konkurrencedygtige priser, hvis man vel at mærke sammenligner priser ud fra løsningernes kvalitet og SLA’er.

Dem, der har valgt cloud-løsninger, har ingen interesse i at få systemerne hjem og drive dem dér. Konsekvensen kan derfor være, at virksomhederne bliver presset til at vælge nationale udbydere med lokal arbejdskraft, der arbejder på skiftehold. At vi bevæger os tilbage til hosted exchange?

Scenarierne ovenfor virker Knold og Tot. Det er virkelig svært at forestille sig, at den type ydelser frem over kun skal kunne tilbydes private, og at udbyderne ikke kommer til at tilpasse sig de nye regler. Det bliver interessant at se, hvilken effekt det får, og hvordan producenterne tilpasser sig.

Mon producenterne snart trækker hovedet ud af busken og kommer med håndgribelige bud på løsninger?

Datacenter Danmark-gruppe på LinkedIn

Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peder Madsen

Kan man ikke bare få en daglig backup leveret fra sin cloud-leverandør. Så ved man præcis hvor data befinder sig og man kan få fysisk adgang til dem. Og det er cloud-leverandøren, som håndterer dem.

Henning Wangerin

Kan man ikke bare få en daglig backup leveret fra sin cloud-leverandør. Så ved man præcis hvor data befinder sig og man kan få fysisk adgang til dem.

Problemet er jo ikke om man selv kan få adgang til sine data, men om at NSA m.fl. ikke har fri adgang til dem.

Har NSA adgang til Apples datacenter i USA?
Har NSA adgang til Apples kommende datacenter ved Viborg?

Personligt tvivler jeg på der vil være den store forskel på på adgangen til forskellige datacentre i en organisation.

Problemet er vel hvem om vi har tillid til. Kan vi have mere tillid til one.com end rackspace.com eller amazon.com om at der ikke er andre end os selv som har adgang til vore data?
- og kan vi egentlig have tillid til vores egne servere som står in-house? Hvem garanterer at der ikke er bagdøre på dem?

/Henning

Jan Lunddal Larsen

"Reglerne vil eksempelvis omfatte en ganske dagligdags og banal situation som en HR-medarbejder, der sender en mail til en kollega indeholdende et CPR-nr."

EU-forordningen ikke kun personfølsomme data, men personhenførbare data - så e-mailadresser er alt rigelig til at man hører ind under forordningen.

Jan Lunddal Larsen

Det kan man godt, men jeg tror ikke det løser problemet. Fordi backup jo kun er en kopi af data.

Men hvad er fysisk adgang? Adgangen til data er/kan være den samme om man sidder i samme lokale som ens storage, eller om man sidder i en anden verdensdel.

Som du i øvrigt skriver, så bliver det ikke Microsofts/Googles/Amazons ansvar at overholde loven, men hvis de vil bevare kunderne, så vil deres SLA komme til at indeholde krav om at de kommer til at erstatte bøder, hvis de er skyld i datalæk.

Så reelt bliver det deres ansvar, at have deres ryk fri.

Søren Helsted

Betyder det at man skal kunne røre ved de harddiske hvorpå ens data ligger? Tror der er behov for en begrebsafklaring...

Og at vide præcis, hvor ens data er... hvis de overføres via netværk er der nye forretningsmuligheder i løsninger der sikrer at man ved, hvilke noder i netværket der router ens data fra klienten til serveren og disken. Det bliver spændende at se.

Desuden er det nok skrevet af en advokat der ville provokere eller ikke har IT kendskab, for cloud teknologier er jo andet og meget mere en Amazon og Azure og Google Apps...

Flemming Riis

sig til hvem der har adgang til data og begrænse det , det er jo ligegyldigt hvis Per eller Pia er ansat hos Cloud Leverandør X hvis de ikke har data adgang.

Ud fra den beskrivelse sidestiller den en cloudløsing med en reol hvor der friadgang til at åbne et ringbind og se hvad der er inden i.

Men meget godt lobby arbejde af lokale cloud leverandøre :)

Michael Kjems

mindes en artikel i Version2 om om Churchdesk som var i den situation, at kunden krævede at data var inde for landets grænser. Det kan lade sig gøre, men det er dyrere.
Man skal vel bare have gang i lignende services, inden for Danmarks grænser.
Kan godt ske at det ikke er Amazons ansvar, men er behovet stort nok, og kan de tjene på det, så kommer produktet vel?

Jn Madsen

Kan i hjælpe mig med en uddybning?

1) Skal vide præcis hvor ens data befinder sig.
Mener man datacenterets placering? Hvilket stel/harddisk, hvilke sektorer på harddisken. Hvad hvis man kører med RAID,- så er data flere steder, og der er ikke en "original"?

2) At man skal kunne få fysisk adgang til ens data
Det kan man jo også hvis harddisken snurrer i en kælder i Thailand?

3) At man skal vide, hvem der håndterer ens data. Mener man navngivne personer? Det kan jo være mange hundrede ansatte i Google. Eller mener man bare "afdelinger" og firmaer. NSA har vel altid adgang,- det kan godt være svært at få navne udleveret :)

Håber en vil hjælpe mig med min uvidenhed :-)

Det lyder rigtigt meget som en politiker, der har prøvet at lave regler om noget han ikke forstod. Men det er jo set før :D

Per Lolk Blogger

Som jeg forstår reglerne er det ikke udbydernes ansvar at de overholder danske regler, det er virksomheden eller organisationen der bruger ydelsen. Det vil i givet fald også være dem der får en evt. bøde eller hvad konsekvensen nu må være.

Per Lolk Blogger

Man kan overordnet risekravene op sådan:

Det er ok hvis man som kunde får oplyst beliggenhed for datacentre ved
aftaleindgåelsen, sammen med en mekanisme i kontrakten, hvor kunden gives et
rimeligt varsel om nye datacentre (sammen med en mulighed for at udtræde af
kontrakten)
Et servicecenter er også et datacenter! Læseadgang svarer til opbevaring af data

Krav om, at man som kunde altid har adgang til den præcise adresse for alle datacentre

Anders Lorensen

Kryptering virker kun ved opbevaring af data. Ofte er Cloud services mere end opbevaring.
Du kan ikke kryptere en virtuel maskine i en cloud, så alt er krypteret uden Cloud provideren har adgang - for krypteringsnøglen kan ikke være krypteret. Og da Cloud provideren kan snapshotte rammen på den virtuelle maskine har de også adgang til krypteringsnøglen.
Den eneste måde at have sikker kryptering i en cloud løsning er at krypteringsnøglen aldrig kommer i nærheden af cloud'en. Og det forhindre alt andet end opbevaring af data.

Og selv opbevaring af data, som Brian skriver, kan have udfordringer i forhold til hvilken algoritme man bruger og fremtidige bugs/bagdøre/brute force angreb herpå.

Bent Jensen

Det var nu også det jeg skriv, at holde data intern i huset også her krypteret.
Hvis du har fiber, er ud af huset lige så hurtigt eller hurtige end en 100 Mb lokal net.
Hvis man skal arbejde med de her ting, i så stor skala, at det at holde data hjemme er et problem.
Så har man også mulighed for fiber.

At det ikke er billigere eller er mere bøvlet, er noget andet, men det er sikkerhed sjældent.
Kun politikere som mener at EDB skaber noget billigere. Det passer normalt ikke, da det vundet bliver spist op af den mulige kompleksitet som hurtigt bliver udnyttet.

Se biler nu og for 30 år siden, den moderne teknik har erstattet dyre mekaniske løsninger, men der er så kommet meget mere til. GPS, ABS, AIRBACK....

Skatte systemet i 60 kunne udregnes med blyant og papir, hvis ikke vi have EDB kunne denne nuværende skatte lov ikke bruges, da der ikke var muligt at lave en manual skabtetehandling af alle Dansker SKAT .

I fly er wire afløst af sikkert lettere, fiber, el kabler, hydratik. Men vægten, af Radar, Elektronik og andet har sikkert spis vægtbesparelsen op. Men vi har meget sikker fly, hvis ellers firmware er den rigtige. Og computer og nye materiale har gjort det muligt, at lave ting som ikke var mulige med gammel teknologi.

Thomas Pedersen

Som jeg læser oplægget til det nye EU direktiv (som er det der overtager fra Persondataloven), så er det netop understøttende for cloud, ligesom flere af de aftaler der pt. indgås mellem EU og US netop har til formål at strømline fx Safe Harbour aftalen (som nærmest er ældre end internettet).
De krav der lægges op til vedr. løbende auditting osv. understøttes allerede af cloud-leverandører, hvorimod flere "almindelige" hosting firmaer ikke gør det.
I øvrigt er det en and med fysisk adgang - og de krav der i den oprindelige tekst lagde op til at der skulle være en data protection officer med bl.a. meget af den viden du åbenbart har fået opfattet at alle skal have, er istedet blevet til at man "bør" have en dpo.

Kommisionens oplæg findes hér: http://ec.europa.eu/justice/data-protection/reform/index_en.htm (bemærk i øvrigt at DK jf. vores retsforbehold - som er gældende lidt endnu - ikke er bundet til at implementere dette, men formentlig gør det alligevel jf. politikkernes udtalelser om at nationale data-beskyttelsesaftaler ikke længere giver mening).

Så kære Per, vil du være venlig at dele kilden til din viden - for jeg kender og finder absolut intet der peger i den retning du refererer... tværtimod.

Jesper Lund

Hvad med fremtidige løsninger som Storj (http://storj.io/) hvor det jo ikke er de samme data der ligger i skyen, og dataene som sådan kun kan læses lokalt?

Det afgørende er om der er tale om persondata, altså information om en identificeret eller identificerbar person (definition i persondatalov § 3 nr. 1).

Hvis data i cloud er effektivt krypteret, og fremstår som krypterede binære blobs uden metadata der kan indeholde oplysninger om personer, er det ikke persondata, og de kan opbevares i Afghanistian eller USA, om man vil.

Hvis du alene bruger cloud til datalagring, for eksempel offsite backup, kan du kryptere dig ud af eventuelle problemer med persondataloven. Din cloud udbyder må selvfølgelig ikke have krypteringsnøglen.

Men kryptering kan ikke løse dine problemer, hvis du opfatter cloud som mere end dataopbevaring, for eksempel SaaS løsninger (software as a service). Det forudsætter et element af "cloud computing", som kræver adgang til de ukrypterede data. Og så er der persondata i cloud, og den stramme EU lovgivning (der ikke er blevet mindre stram efter dommen over Safe Harbor 6/10) skal overholdes.

Medmindre forskningen i homomorphic kryptering pludselig får løst de resterede 99.9% af deres problemer med at gøre det praktisk anvendeligt :)
https://en.wikipedia.org/wiki/Homomorphic_encryption

Bjarne Nielsen

Hvis data i cloud er effektivt krypteret ... er det ikke persondata ...

Er der nogen som ved, om der i forhold til Persondataloven er en udløbsdato på "effektivt krypteret"? For det er vel ikke nok, at data er effektivt krypteret på det tidspunkt, hvor de bliver skudt op i skyen, iom. at man da har mistet kontrollen med dem?

Hvor længe skal ens kryptering kunne modstå angreb, førend persondata betragtes som effektivt krypteret, og dermed ikke længere er omfattet af Persondataloven?

Brian Funk

Jeg skal ikke kunne sige om der er en formel grænse ifølge noget lovgivning, men hvad virker i praksis? Kan du garantere at data er ulæselige i fx 10 år, hvis du krypterer dem i dag? Og hvornår er dataene ikke længere følsomme persondata? Mit navn og CPR nr regner jeg da med er følsomme oplysninger så længe jeg lever, medmindre politikerne opdager at det kun er identifikation og ikke mere end det...

Log ind eller Opret konto for at kommentere