bloghoved ole tange

Kære myndigheder: Stop med at pive over Schrems II - der er en løsning

Jeg forstår ikke, at myndighederne piver over Schrems II-dommen.

Hvis man bare har fulgt en smule med i Snowdens afsløringer, så er dommen altså ikke nogen overraskelse: Indsættelse af bagdøre i software og hardware, tapning af kabler og samarbejde med cloududbydere; derudover kommer så det, som er fuldstændigt offentligt kendt: FISA-retten, National Security Letters, og Cloud Act. Alle peger de i een retning.

Hvis din netleverandør (og underleverandør) kan presses af fremmed magt (eller af FE i samarbejde med NSA), så skal du regne med, at de bliver det, og at de udleverer alle de data, som du sender gennem deres netværk.

Hvis din cloudleverandør kan presses af en fremmed magt (f.eks. den amerikanske stat/NSA), så skal du regne med, at de bliver det, og at de udleverer alle de data, som du hoster hos dem.

Hvis din softwareleverandør kan presses af en fremmed magt (f.eks. den amerikanske stat/NSA), så skal du regne med, at de bliver det, og at de (eller andre) bygger bagdøre ind i systemet, så de kan udlevere alle de data, som du putter i systemet.

Hvis din hardwareleverandør kan presses af en fremmed magt (f.eks. den amerikanske stat/NSA), så skal du regne med, at de bliver det, og at de bygger bagdøre ind i systemet.

Hvis dette er en overraskelse for dig, så har du sovet i timen. Og nej: En advokatudtalelse eller en revisionserklæring gør ikke, at NSA pludselig siger: "Uha, så tør vi ikke få adgang til de data."

Vi kan ikke få 100% sikkerhed, og at lave sin egen hardware i praksis ikke muligt i EU idag. Var det muligt, så ville jeg anbefale at købe hardware herfra - gerne med teknologi lignende AMD SEV, så man kan slippe for at stole på anden hardware end netop CPU'en.

Fortrolighed på datatrafik har vi i praksis løst med kryptering. Selv når kvantecomputeren bliver stor nok, har vi løsninger. Der er stadig et metadata-problem, som Tor kan hjælpe på, men Tor kan ikke løse hele problemet, og vi er nok nødt til at leve med det problem en rum tid fremover.

Men vi kan sagtens vælge en cloudleverandør, der ikke kan presses af en fremmed magt. Som f.eks. GovCloud. De tilbyder i øvrigt online mødefacilitet, som køres på deres udstyr, og hvor kunden kan få kildekoden; og finder kunden en bagdør, så er jeg ikke i tvivl om, at GovCloud vil modtage information om det med kyshånd.

At kommunalbestyrelserne og ministerier ikke kræver, at alle deres cloudservices køres på GovCloud er mig en gåde, og de fortjener alle de GDPR-tæsk de kan få, indtil de forstår vigtigheden af det.

Softwaren er lidt sværere. Hvis udviklingen af softwaren er betalt af det offentlige, så bør den jo være fri software (Har du fået dine venner til at skrive under på borgerforslaget?), og så er det svært at skjule en bagdør - specielt hvis man får et uafhængigt kodereview.

Hvis softwaren ikke er fri software, så er det pivnemt at skjule en bagdør, og derfor må man som kunde firewalle sig ud af det: Sørg for, at softwaren kun modtager opdateringer, og ikke sender uventede data ud. Det er noget sværere og ikke mindst dyrere kontinuert at skulle holde øje med dette, men det er bare en af de skjulte ekstraomkostninger, som man må forvente ved ikke at køre fri software.

Er du så i mål? Nej, men så er du i hvert fald ude over at skulle bekymre dig om Schrems II, og du har fået langt mere kontrol over dine data.

(I øvrigt mener jeg, at du skal få dine venner til at skrive under på borgerforslaget om offentligt betalt software.)

Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Rasmussen

Hvorfor kan man kun anvende NemID med nøglekort? Når en side drives af Folketinget, må man forvente, at kunne logge ind via NemID både med nøglekort og hardware - mener faktisk, at alle sider, det offentlige driver, med NemID skal understøtte begge former for NemID login.

  • 8
  • 0
#3 Michael Cederberg

Nu er GovCloud ganske lukket om hvad de kan, men jeg fandt denne her oversigt: https://govcloud.dk/media/11706/servicespecifikation-govclouddk.pdf

Men oversigten viser meget godt problemerne ved at vælge en provider der ikke er stor nok til at definere markedet. Listen er ret tynd. Læg oveni at de har produkter i kataloget hvis overlevelse er tvivlsom (Rancher og MapR). De mangler også en distribueret cloud SQL database og sikkert en bunke mere.

Læg oveni spørgsmål om hvordan det er med SLA hvis jeg bestiller ekstra services. Lad os fx. sige at jeg i Januar 2020 var begyndt med online møder hos GovCloud ... hvordan havde servicen håndteret 11. Marts 2020?

Siden mangler også information om deres Office 365 alternativ ... man skal være ualmindelig naiv for at tro det betyder andet end at de meget lidt har.

Sidst kan man spekulere over hvorvidt 2 ludere og en lommetyv hos statens IT er i stand til at levere fornuftig sikkerhed. Fx har både Google, Apple, Facebook og AWS i flere tilfælde afvist specifikke hardware løsninger fra hardware leverendører fordi de ikke anså dem for sikre. Jeg gad godt se GovCloud presse hardware leverandørerne på områder som Intel ME/AMD PSP. Dette er naturligvis blot et eksempel.

  • 11
  • 8
#5 Ole Tange Blogger

De mangler også en distribueret cloud SQL database og sikkert en bunke mere.

Nu bliver GovCloud's produktportefølje i høj grad sat af kunderne. Og hvis kunderne efterspurgte det, så er jeg sådan set ikke i tvivl om, at det kunne leveres.

Siden mangler også information om deres Office 365 alternativ ... man skal være ualmindelig naiv for at tro det betyder andet end at de meget lidt har.

Det virker som om du ignorerer, at hvis Microsoft Office 365 dømmes ude af Schrems II (hvilket er min vurdering), så er har du ingenting, hvis du alene kører Microsoft Office 365.

Men vi havde altså også kontorpakker før Microsoft Office 365.

Og ja, det kan godt gøre ondt - det gør det nogen gange, når man ikke har udvist rettidig omhu.

  • 25
  • 0
#6 Jørgen Elgaard Larsen

Nu bliver GovCloud's produktportefølje i høj grad sat af kunderne. Og hvis kunderne efterspurgte det, så er jeg sådan set ikke i tvivl om, at det kunne leveres.

Det kan være rigtigt, men spørgsmålet er hvornår og til hvilken pris. I sin nuværnde form er GovCloud desværre primært lagt an til web-vendte tjenester, og det er uforholdsmæssigt dyrt at bruge.

  • 0
  • 2
#8 Povl H. Pedersen

Jeg er helt klart enig i, at alt software staten/kommunerne/regionerne betaler for at få udviklet skal være Open Source. Security by obscurity må ikke være et argument imod dette.

Men der skal så ansættes nogle folk der er ansvarlige for repos, så man kan tage imod forbedringer. Og API ansvarlige.

Man kunne også forestille sig at unge mennesker under uddannelse fik til opgave at forbedre eksisterende software.

Og krav til nye leverandører om at de skal benytte eksisterende libraries til diverse funktionalitet, herunder integrationer. Det gør både udvikling og vedligehold lettere. Lavere pris.

EU har tidligere haft en del chip-produktion, og ARM er faktisk fra England. Der er ikke noget der forhindrer en Europæisk chip og maskinkonfiguration.

Der strømmer store mængder billig arbejdskraft til EU fra Afrika og Mellemøsten, så man kan sagtens være med på lønnen, bare fagforeningerne ikke kommer og blander sig. De er glade hvis de har mad og tag over hovedet, og kan sende 500 kr hjem hver måned. Medmindre man belønner dem mere for ikke at lave noget / lave kriminalitet.

Fagforeningerne fik lukket slagterier i Danmark, så alle følgeerhverv også måtte lukke ned. Tyskland tog med glæde imod dem, og tillader udenlandsk (østeuropæisk) arbejdskraft til lav løn for at holde på alle følge-arbejdspladserne. Det er omtanke for samfundet. Hysteriske mindstelønninger for tilrejsende arbejdskraft er ikke.

  • 3
  • 19
#9 Henrik Sørensen

Jeg har stadig til gode at høre koret af danskere der oplever at deres Office365 data bliver misbrugt af NSA m.fl.

Til gengæld står eksemplerne i kø når det gælder det offentliges snagen og misbrug af information gravet frem på Facebook, Instagram og andre tjenester.

Fuldstændigt lovlydige borgere bliver mødt med mistro og fejlslutninger baseret på sagsbehandleres snagen rundt i deres billeder og data …. DET er sgu det offentlige man skal frygte

  • 20
  • 4
#10 Torben Wolff

Spændende indlæg om Schrems II. Statens IT fortæller desværre ikke meget om hvilke virksomheder det er som de har som kunder GovCloud.

Kunne være interessant at høre om hvilke virksomheder som har gjort forsøget og hvilke forretningsapplikationer de benytter, hvilke "office-produkter" de integrerer med og hvordan de kommunikerer med deres leverandører og kunder.

  • 3
  • 0
#12 Lars Bendix

Jeg er helt klart enig i, at alt software staten/kommunerne/regionerne betaler for at få udviklet skal være Open Source. Security by obscurity må ikke være et argument imod dette.

Men der skal så ansættes nogle folk der er ansvarlige for repos, så man kan tage imod forbedringer. Og API ansvarlige.

Man kunne også forestille sig at unge mennesker under uddannelse fik til opgave at forbedre eksisterende software.

Genial ide! De studerende ville få sig noget "real life experience" som virkelig er real life (og med et formål som er mere end "examination") og det offentlige vil få nogle gratis bidrag fra en ret så stor studentermasse. Ligner en win-win situation. Så det bliver sikkert ikke til noget :-/

  • 8
  • 0
#13 Michael Cederberg

Nu bliver GovCloud's produktportefølje i høj grad sat af kunderne. Og hvis kunderne efterspurgte det, så er jeg sådan set ikke i tvivl om, at det kunne leveres.

Men det er ikke noget man bare gør (og i øvrigt er der ikke nogen gode open source relationelle databaser der skalerer ordentligt når man roder med store datamængder). Det der med at bringe og hoste produkter ind af den type, det kræver at man forstår de produkter indgående.

Tænk på en gammeldags DBA. Han kender rigtigt meget til hvordan databasen virker og de operationelle aspekter omkring den. Når man udbyder en platform som en service, så skal man være ekspert i alle de services man udbyder. Ellers bliver den service man udbyder ikke god nok.

Læg så oveni det jeg nævnte med elasticitet. Hvis jeg skal bestille ressourcer 1 år i forvejen så er det håbløst. Eller det jeg nævnte med sikkerhed. Man skal have top-notch folk på det område. Og dit "ikke svar" omkring Office 365 viser meget klart at de intet konkurrencedygtigt har.

Pointen er at staten kan ikke bare stoppe pga. screms dommen. Den er nødt til at vælge blandt dårlige muligheder. Hvis nogen kunne levere et godt alternativ så havde vi ikke denne diskussion men den findes ikke. Hvis Microsoft, Amazon, Google kunne finde et setup der fungerede for Europa så kunne vi ende med noget godt.

Men lige nu er det valg mellem dårlige løsninger. Og så må man vælge den der giver færrest problemer.

  • 4
  • 9
#14 Søren Koch

Men det er ikke noget man bare gør (og i øvrigt er der ikke nogen gode open source relationelle databaser der skalerer ordentligt når man roder med store datamængder). Det der med at bringe og hoste produkter ind af den type, det kræver at man forstår de produkter indgående.

Hvad med postgres?

Den bruges så vidt jeg ved i ca halvdelen af verndes core routre mm (det var i hvert fald hvad jeg fik at vide til et foredrag for noegn år siden af en af udviklerne af postgres replikeringssystem), og lige der vil jeg mene at performance er et ret stort issue.....

  • 7
  • 0
#15 Tomas Loft

Det er en god teori men i praksis er det ofte umuligt at kontrollere medmindre man selv er en maskine der kan se og godkende data i real time i Wireshark. Der findes et hav af maskiner der ikke kan lukkes godt nok af til at data ikke kan smutte ud hvis de stadig skal kunne fungere. Især i mindre pro settings og til ekstremer i hjemme setups. Der sendes livligt løs på porte og protokoller der er svære at undvære og blokere for mange (HTTPS og DNS over HTTPS f.eks.).

I realiteten er der kun tre kategorier af servers:

  • dem der sende alt ud de vil

  • dem der står i et super sikret setup og måske(!) ikke sender

  • dem der ikke har internet adgang overhovedet.

That's it.

  • 0
  • 0
#18 Michael Cederberg

Hvad med postgres?

En fin monolit. Amazon tog Postgress og udviklede kraftigt på den og ud kom Amazon Redshift. Ikke længere en monolit. Scalerer linært. Google har BigTable og Spanner. Microsoft har Azure SQL. Til alle platforme kan man også købe Snowflake databasen. Alle sammen kan håndtere enorme mængder data, queries, users. Alle[1] er rigtige cloud løsninger hvor data gemmes distribueret og queries udføres distribueret.

[1] Jeg har ikke bygget løsninger med dem alle. Blot foretaget evaluering - der er sikkert små fejl i analysen.

Hvad mener du? Skal staten tilsidesætte dommen fordi den giver for meget besvær?

Staten skal fungere. Hvis man fjerner de IT systemer der bruges så holder staten op med at fungere. Det tager laaang tid at skifte til noget andet.

  • 0
  • 0
#20 Thomas Rasmussen

Godt skrevet, Tange, og jeg er fuldstændig enig. Desværre oplever jeg også en Schrems-fjendtlighed blandt mine kolleger på medarbejder-niveau i statslige styrelser. Det lugter lidt af, at nogle arkitekter og andre karrieresultne embedsmænd på borgernes vegne sprang over, hvor gærdet var lavest i 2010'erne, og nu må sande konsekvenserne. Det er aldrig sjovt at rydde op, heller ikke efter sin egen cloud-konfetti-fest. Stram op på fagligheden, må jeg bare sige til rette vedkommende — har I glemt, hvem I egentlig arbejder for? (min egen oplevelse er helt reel og trist, men ikke nødvendigvis generel for hele branchen, I know).

  • 12
  • 0
#22 Peter Stricker

Staten skal fungere. Hvis man fjerner de IT systemer der bruges så holder staten op med at fungere. Det tager laaang tid at skifte til noget andet.

Men det betyder jo ikke nødvendigvis, at man blot skal lade stå til. Man kunne give "staten" en deadline for, hvornår de ulovlige systemer skal være udfasede og en noget tidligere deadline for, hvornår der skal foreligge en plan for udfasningen.

  • 5
  • 0
#23 Peter Stricker

Det er ganske få systemer i en virksomheder der har brug for internet forbindelse.

Nu blev der specifikt talt om servere.

Og i mange tilfælde kan man klare sig med en VPN forbindelse når det er point-to-point.

Og en VPN kan klares over en dedikeret forbindelse der ikke har kobling til internettet. Men findes disse i et relevant omfang? Og hvor VPN klienten heller ikke har nogen forbindelse til internettet.

  • 0
  • 0
#24 Michael Ørnø

Spændende artikel og debat. Vi stiller gerne op til en snak med Version2 og hvem der ellers har interesse for emnet. - og bare for en ordens skyld, så har vi ikke planer om at udkonkurrere de globale, men derfor kan man godt bygge nogle driftsplatforme, som vores kunder kan have glæde af.

  • 13
  • 0
#25 Michael Cederberg

Det afhænger så sandelig hvilken branche man er i...

Selvfølgeligt.

Hvis vi man opdeler problemstillingen omkring internetadgang i to: Indgående og udgående. Det er meget få systemer der har brug for generel udgående internet adgang (dvs. at de i princippet har behov for at kunne connected til samtlige IP adresser). Få systemer har behov for specifik udgående internet adgang - dvs. adgang til et begrænset antal eksterne systemer som ikke skifter så hurtigt. Her kan firewalls med IP filtre eller endnu bedre VPN være med til at begrænse risikoen. Med VPN slipper man i praksis fra at skulle ud på internettet. Man kan også begrænse DNS opslag hvis man i forvejen ved hvem der connectes til.

På den indgående side så er der masser af systemer der har brug for at enhver IP adresse kan connecte til dem. Det er typisk kundevendte systemer eller når man udbyder et API. Dem er der normalt ikke særligt mange af i en given virksomhed. Resten har sjældent brug at være tilgængelige for indgående trafik. I det omfang man udbyder brugerinterface eller API'er til andre virksomheder kan man igen opsætte VPN. På den måde bliver angrebsfladen mindre.

Det er selvfølgeligt voldsomt irriterende med alle de begrænsninger og der er også problemer med mobile devices (som kan løses). Men det er i mine øjne et offer man må bringe for at nå dertil at vores systemer er mindre sårbare.

  • 1
  • 0
#27 Carsten Thomsen

Så lang tid Danmark er nært allierede med andre lande, så vil der foregå et skjult samarbejde. Det kan, desværre, argumenteres at overvågning, også af regeringsledere, kan være nødvendigt, idet alle mennesker på alle niveauer kan kompromiteres.

Men idet alle lande, samt EU og NATO har forskellige grader af hemmelighedsklassifikationer, så vil den skjulte overvågning aldrig komme til at se dagens lys, bortset fra kilder som Snowden. Når man har afgivet ed om dyb fortrolighed, er det også implicit forstået at man, hvis nødvendigt, er nødt til at lyve om det.

Om vi kan lide det eller ej, sådan er livets realiteter.

  • 0
  • 2
#29 Rune Hansen

Ja, og så skal men aktivt tilvælge at blive overvåget. Hvis ikke man har nogen til at rådgive sig om de rette kommunikations midler, eller man nægter at benytte kryptering (som 95% af de mennesker jeg kender nægter at gøre, da de tror at de dermed bliver mistænkte), så er man overvåget.

Jeg kan kun have foragt for folk der ringer eller sms’er til mig efter jeg har bedt dem om at benytte andre kommunikationsmidler.

Fint at de selv lever i “smallville”, men hvilken mangel på respekt at de ikke acceptere at dem de kontakter ønsker fortrolighed med dem dé taler med.

  • 1
  • 0
#30 Tobias Skytte

Der er forskel på statslig overvågning af andre landes regeringsoverhoveder og masseovervågning af befolkningen foretaget af store private firmaer. Det første kan måske argumenteres for men ikke så meget det sidste. De fleste blander tingene sammen og siger "jammen jeg har ikke noget at skjule" fordi de netop selv ikke er super vigtige statsoverhoveder, men de glemmer at deres forsikring måske pludselig stiger fordi de har udtalt noget på FB eller v2 eller at de presses til at købe noget de ellers ikke ville have købt af AI systemer der ved hvilke knapper der skal trykkes på fordi de kender dem bedre end deres egen familie...

  • 4
  • 0
#31 Michael Cederberg

Hvis jeg skal være fræk vil jeg sige at man altså ikke er tvunget til at vælge "cloud" bare fordi det er moderne... Der er også andre muligheder.

Der kan være betydelige omkostningsbesparelser ... der er en glidende overgang mellem blot at få hostet virtuelle maskiner og så en fuldt cloudsetup. Hver gang man rykker lidt i retning af et fuldt cloudsetup da har man overdraget lidt ansvar til cloudprovideren og i stedet vundet lidt economy of scale. Hvis jeg fx. kigger på hvad jeg kan købe cloud-storage for, så er der ingen mulighed for at komme i nærheden med andre løsninger.

Der er forskel på statslig overvågning af andre landes regeringsoverhoveder og masseovervågning af befolkningen foretaget af store private firmaer. Det første kan måske argumenteres for men ikke så meget det sidste.

Overvågning foretaget af private firmaer er også noget der kan klares ved hjælp af love og domstole. Efterretningstjenesters handlinger i fremmede lande er foregår naturligt udenfor loven.

  • 0
  • 0
Log ind eller Opret konto for at kommentere