per andersen bloghoved

Cloud sikkerhed får svar på tiltale

Under henvisning til datalovgivning, krigslove og deslige mener organisationer (og Datatilsynet) at man ikke kan bruge skyen. Faktum er, at lovgivningen hviler på et forældet grundlag. Nu kommer modtrækkene.

Der er nok en del virksomheder og offentlige institutioner, der faktisk kunne finde løsninger på cloud sikkerheden, men ”når nu Odense kommune ikke fik lov, så kan det nok ikke lade sig gøre”.

Selvfølgelig er der noget reelt i problemstillingen. Persondata og specielt personfølsomme data kan ikke bare ligge og flyde i skyen uden tilstrækkelig sikkerhed. Og det er vitterligt en barriere for at bruge skyen i en række situationer, hvor den ellers kunne give god mening.

Omvendt vil bevægelsen mod cloud-services næppe blive slået ihjel af lovgivning. Det skulle da være den første gang i historien, at en teknologisk udvikling kan dræbes politisk. I stedet ser vi nu fra flere kanter en vilje til at få løst problemerne.

Fra leverandørside erkender man, at man er nødt til at forholde sig til problemet. Således annoncerede Amazon deres GovCloud sky, hvor de over for den amerikanske regering lover, at de opbevarer data i overensstemmelse med den strikse offentlige lovning i USA (http://www.businesswire.com/news/home/20110816006678/en/Amazon-Web-Servi...). I bund og grund er det jo bare en virtual private cloud implementering.

Nogle vil sikkert hævde, at en sådan garanti er lige så luftig som skyen, når nu Amazon er en privat virksomhed. Ja, danske politikere har endda været inden på det samme, og at skyen derfor skulle styres af det offentlige (http://www.computerworld.dk/art/116188/her-er-oppositionens-cloud-planer...). Politikere kan åbenbart også være naive.

Så er der mere ræson i regeringens (altså den nuværende) tanker om en modernisering af datalovgivningen, så den følger bare lidt med den teknologiske udvikling. Det fremgår af den netop udsendte fællesoffentlige digitaliseringsstrategi (side 41, punkt 11.4 i http://tinyurl.com/42tl9w2). Her nævnes, at ”utidssvarende regler skal ikke være en unødig barriere for cloud computing”. En evt. ny regering bakker næppe op om dette.

Det synes ellers på tide. En lovgivning, der er baseret på den fysiske placering af data, er udtryk for en dybt forældet tankegang. Hvis man tænker over det, er det direkte paradoksalt at definere sikkerhed af elektroniske data gennem deres fysiske lokation. Med den stigende kompleksitet af transportveje og lokationer data befinder sig, har ingen længere styr hvor data bevæger sig fysisk alligevel.

Der kommer også nye teknologier, der kan være med til at løse udfordringerne, selv om de ikke nødvendigvis er universalløsninger. Et eksempel er Cloudswitch, der netop er blevet købt af Verizon, og som sørger for, at virksomhedens data bliver isoleret og krypteret ude i skyen (http://www.cloudswitch.com/).

Problemerne er altså ikke uovervindelige, og hvis man vil, kan man godt finde løsninger. Som så ofte i denne verden må teorien indrette sig efter virkeligheden.

Twitter:
http://twitter.com/p_andersen

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Karsten Nyblad

Jeg kan ikke se, det er så urimeligt, at det offentliges leverandører af databehandling kan garantere, at datane kun bliver behandlet af en begrænset skare af folk, og at backups bliver slettet, hvis leverandøren bliver sparket ud.

Det kan så betyde, at nogen må lave en sky specielt for det offentlige, og hvad så?

Glem ikke, at på et eller andet tidspunkt vil der være en ansat, som ser sig gal på cloud leverandøren, og lækker data f.eks. Wikeleaks eller krimminelle, der vil bruge dem som afpresning.

Hvis ikke cloud-leverandørerne kan leve op til de basale krav, jeg opstillede, kan jeg ikke se nogen grund til at handle hos dem. Så er deres produkt nemlig ikke klart til at blive brugt til administration af seriøse foretagner.

Det kan godt være, det er billigt, at købe IT i skyen, men noget siger mig, at kvaliteten svarer til prisen.

  • 4
  • 0
Carsten Sonne

Problemerne er altså ikke uovervindelige, og hvis man vil, kan man godt finde løsninger. Som så ofte i denne verden må teorien indrette sig efter virkeligheden.

Så længe dataejer ikke har kontrol over egne data, er det fuldstændig ligegyldigt om dataplacering er virtuel eller fysisk kendt. Det afgørende må nødvendigvis være hvorvidt dataejer har kontrol over egne data. I den forbindelse må man spørge sig selv: Hvem er dataejer ? Ejer stat eller person, data om personer? Svaret er klart: Den enkelte borger har ingen kontrol over egne data, men må underlægge sig statens forgodtbefindende., og så længe stat ikke respektere dataejer, hvorfor skulle virksomheder eller privatpersoner så ?

Som vores samfund er bygget op anno 2011, ser jeg derfor ingen løsninger. Skulle det være sådan at dataejer en dag får kontrol over egne data, så vil kryptering være nøglen til at sikre at data ikke stjæles fra dataejer. Med tankerne på NemID, vil det næppe være i DK, den udvikling sker. PKI princippet stammer tilbage fra 1969. X.509 standarden blev udgivet 3. Juli, 1988. Den nødvendige viden og teknologi har været til stede i mere end et årti. Alligevel udvikles en løsning hvor dataejer ikke har kontrol over egne data (nøgler).

Så nej, problemerne er da ikke uovervindelige, men de færreste forstår nok omfanget. Som en klog mand engang sagde: Hvis man selv er en del af problemet, hvordan skal man så kunne skabe løsningen ?

  • 2
  • 0
Gert Madsen

"En lovgivning, der er baseret på den fysiske placering af data, er udtryk for en dybt forældet tankegang."

Suk. Hvad skal man kalde sådan et udsagn ?

Dansk lovgivning gælder i Danmark, og kun i Danmark.
En dansk persondatalov bliver total ligegyldig i det øjeblik data forlader dansk grund. Persondataloven kan kun yde beskyttelse hvis det samtigt sikres at data ligger i DK.

Der er ingenting ved den elektroniske udvikling, der har ændret ved det faktum.

  • 0
  • 0
Per Andersen

@Gert
Det er nu ikke en korrekt udlægning. Persondataloven gælder for danske virksomheder, uanset hvor data befinder sig fysisk - og mine argumenter omkring "forældet tankegang" er dermed illustreret.

"Det afgørende er, at den dataansvarlige er etableret i Danmark, og ikke hvor behandlingen sker. Selv om den dataansvarlige benytter et edb-servicebureau eller en databehandler i et andet EU-land eller i et tredjeland, er det den danske lov, der gælder, når den dataansvarlige er etableret i Danmark."
http://www.datatilsynet.dk/offentlig/kort-om-persondataloven/geografisk-...

  • 0
  • 0
Gert Madsen

Og det er den formulering du mener er for begrænsende ?

Den er da enormt slap.

Myndighederne i lande, hvor datacentre er placeret, tjekker altså ikke om det skulle være i strid med dansk lovgivning inden de napper en kopi af data. Og de spørger heller ikke virksomhederne først.

USA har en lov, der sikrer at myndigheder kan hente de data det passer dem. De er da ligeglade med dansk lovgivning.

Jeg har ikke svært ved at komme i tanker om andre lande, der har samme forhold til, for dem udenlandsk lovgivning.

Det giver ikke mening at have love, hvis overholdelse man ikke kan kontrollere, og som man heller ikke kan sanktionere, hvis de ikke overholdes. De kan have signalværdi, men de sikrer ingenting.

Tilbage står så om man ønsker at man skal have en lovgivning der sikrer mod misbrug af personlige oplysninger eller ej.

Det mener jeg at vi skal. Og hvis du mener det er dybt forældet, så må du mene det.

Det er for så vidt OK at mene at lovgivningen ikke skal sikre personfølsomme oplysninger. Så kan du jo skrive det. At forsøge at udvande lovgivningen så den er virkningsløs, synes jeg er uærligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere