bloghoved ole tange

Tillid til cloud = masseselvbedrag?

Lad mig starte med at sige, at jeg synes cloud er en fantastisk teknologi. At kunne spinne 1000 servere op og bruge dem i 8 timer for herefter at lukke dem igen og så kun betale for 8000 timers serverdrift er en fryd. Men cloud er ikke mit udstyr, og jeg kan ikke vide mig sikker på, hvad leverandøren har gjort ved hardwaren. Så det kræver, at jeg har tillid til, at leverandøren behandler mine data på en måde, som jeg også kan stå inde for.

Det er næppe særligt problematisk, hvis jeg skal bruge de 8000 timer på at lave proteinfoldning eller streame worldcup fodbold. Men det kræver mere tillid, hvis jeg skal behandle almindelige personoplysninger eller måske endda følsomme personoplysninger - og som fagforening er de fleste af vores personoplysninger følsomme, fordi de indikerer medlemskab af en fagforening.

Før Snowdens afsløringer i 2013 kunne man med en hvis rimelighed sige, at det ikke var bevist, at regeringer har deres nysgerrige datasnabler nede hos cloudleverandører. Efter afsløringerne og specielt efter Lavabits lukning og omstændighederne ved den mener jeg ikke, at man med rimelighed kan forvente, at data holdes fortrolige, hvis de lægges hos en cloudleverandør med store interesser i USA.

Derfor blev jeg lidt forundret, da jeg blev kontaktet af en sælger, som ville sælge adgang til et system, der var hostet på Amazon cloud i Irland, og som ville komme til at indeholde persondata. Jeg er ikke i tvivl om, at man har fået det juridiske på plads (bl.a. revisorgodkendelser, GDPR-opfyldelse og databehandleraftaler), men med Snowdens afsløringer i 2013 og CLOUD Act fra 2018, så kan jeg kun se det som et selvbedrag at antage, at data ikke flyder til amerikanske efterretningstjenester.

The CLOUD Act synes jeg gør det klokkeklart (min fremhævelse):

This bill amends the federal criminal code to specify that an electronic communication service (ECS) or remote computing service (RCS) provider must comply with existing requirements to preserve, backup, or disclose the contents of an electronic communication or noncontent records or information pertaining to a customer or subscriber, regardless of whether the communication or record is located within or outside the United States.

Selv med Privacy shield mener jeg ikke, at man har grund til at have tillid. For dengang vi havde Safe Harbour, var der også en forventning om, at USA ikke havde datasnablen nede i vores data, og det viste Snowden ikke var sandt. Hans afsløringer viste ovenikøbet, at folk højt i systemet er villige til at lyve for den amerikanske kongres om emnet. Netop den udtalelse var iflg. Snowdens selvbiografi (som i parantes bemærket kan anbefales - også til ikke-IT-personer) med til at få ham til at lave afsløringerne.

Hvis jeg skulle vælge en cloudleverandør og jeg var tvunget til at give dem adgang til følsomme persondata, så ville jeg nok vælge en, der kun havde interesser i EU og helst kun i Danmark. Jeg har ikke hørt om, at der er EU lande, der har lovgivning som ligner CLOUD Act, men hvis der er, ville jeg nok vælge virksomheder fra, der havde væsentlige interesser i disse lande.

Hvis du bruger cloud hos en cloud-udbyder, der har store interesser i USA, og der er persondata i systemet, kan du så lokkes til at uddybe, hvorfor du har tillid til, at amerikanerne ikke har snablen nede i dine data? Hvilken form for afsløring skulle der til, for at du mister den tillid? Er det etisk forsvarligt at lade data ligge hos disse udbydere, hvis du ikke har tillid til, at amerikanerne ikke kikker med?

Relateret indhold

Kommentarer (40)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjørn Damborg Froberg

Efter min opfattelse forholder det sig generelt sådan at jo mere teknisk man er, jo mindre tillid har man til Cloud. Som tommelfingerregel.
Det er i reglen i ledelses-laget at man er enddog meget cloud-begejstret.

Jeg har dog endnu til gode at se eksempler på, hvor traditionel drift bliver billigere af at rykke i Cloud.
Og ja, du ejer ikke længere dine data.
Det er vel også derfor mange virksomheder i Tyskland begynder at hive hjem igen.

  • 19
  • 1
Aslak Stage

Fuldstændigt enig.

Outsourcing er gået hen og blevet et mantra særligt for toplederne.

Men businesscasen for at gøre det og at det kan betale sig, mangler stadig.

Cloud og outsourcing kan være et supergodt tillæg til interne funktioner, fordi det giver mulighed for skalering i pressede perioder, men at fjerne de interne funktioner og den dertilhørende ekspertise og viden er kortsigtet og ødelæggende for en virksomheds kontrol over sine data og ikke mindst it.

Cloud over for traditionel drift er efter min overbevisning at give det som bør være ens styrker og sikkerheder bort.

  • 11
  • 1
Flemming Riis

Hvis en myndighed har en dommerkendelse om de så henter data i din kælder , eller nærmeste colo eller lokalt cloud er vel lige meget

Forskellen på de store er vel at de har resourcerne til at gå i retten mod dem der vil have data udleveret, og aktivt gør det for at stoppe udleveringen af data.

  • 3
  • 10
Lars Hansen

Hvis en myndighed har en dommerkendelse om de så henter data i din kælder , eller nærmeste colo eller lokalt cloud er vel lige meget

Hvis en amerikansk myndighed vil hente data i mit datacenter legalt, så bliver de nød til at gøre det indenfor rammerne af min nations lovgivning, medmindre man samarbejder.

Det er ikke, per default, bare noget de har snablen i. Ikke indenfor lovens rammer i hvert fald.

/Lars

  • 15
  • 0
Claus Futtrup

De fleste der er begejstede for Cloud løsninger, de søger vejen fordi at dermed fralægger man sig et ansvar (meget ansvar). Det er cloudløsningens ansvar at GDPR xx og yy overholdes. Det er cloudløsningens ansvar at beskytte mod virus og nedetid, osv.

  • 3
  • 6
Claus Futtrup

"Hvis jeg skulle vælge en cloudleverandør og jeg var tvunget til at give dem adgang til følsomme persondata, så ville jeg nok vælge en, der kun havde interesser i EU og helst kun i Danmark. "
Er der en oversigt over dette noget sted?

  • 2
  • 0
Anne-Marie Krogsbøll

Her er et par eksempler:

https://www.reddit.com/r/Denmark/comments/avovqx/staten_har_nu_krav_om_a...

https://digst.dk/media/12417/analyseafprohovedrapportv10.pdf

https://www.regionsjaelland.dk/Kampagner/broen-til-bedre-sundhed/Materia...

Og jeg ved fra en aktindsigt, at sundhedsappen Drugstar opbevarer sine persondata hos Amazon i Irland.

Det er jo lidt pudsigt, taget holdningen hos fagfolk her i betragtning...

  • 4
  • 1
Aslak Stage

Jeg er enig et stykke af vejen.

Men hvis en virksomhed udelukkende bruger cloud og ikke længere har sine egne folk til at varetage de ting de får gennem clouden, så er de også prisgivet cloududbyderen. Og så er fleksibilitet og det at kunne eksekvere opnået for en meget høj pris , både i penge, viden og afhængighed. Og det er der jeg savner businesscasen, som sætter kroner og øre, men også ord på hvad den afhængighed har af omkostninger.

Forstå mig ret, cloud er med de eksempler Ole Tange nævner, enormt godt til nogen ting, men som med alt andet, så er det godt at være konstruktivt kritisk over for det og ikke glemme bagsiden af medaljen.

ang. gdpr og sikring af personlige data mod evt. efterretningstjenester og deres adgang via lovgivning, så kan jeg kun se en løsning og det er ikke at bruge cloud overhovedet.

En dansk cloududbyder med datacenter i DK kan være fint nok, men hvis udbyderen bliver købt af eksempelvis et amerikansk selskab hvad så?

  • 6
  • 1
Ole Tange Blogger

Hvis en myndighed har en dommerkendelse om de så henter data i din kælder , eller nærmeste colo eller lokalt cloud er vel lige meget

Hvis myndigheden er NSA, og de ikke ønsker, at du skal opdage, at de kopierer dine data, så er det svært, hvis serveren står din kælder i Danmark.

Hvis det istedet er en virtuel server hos Amazon, så vil de med The Cloud Act og et National Security Letter i hånden kunne få Amazon til at udlevere et snapshot af hele din virtuelle server - uden du bliver informeret.

Forskellen på de store er vel at de har resourcerne til at gå i retten mod dem der vil have data udleveret, og aktivt gør det for at stoppe udleveringen af data.

The Cloud Act kom fordi Microsoft nægtede at udlevere data fra Irland med undskyldningen om, at det jo var det irske datterselskab af Microsoft, der havde adgang til data og at Microsoft HQ jo ikke havde det. Den slags pis gad amerikanerne ikke finde sig i, så derfor blev The Cloud Act vedtaget.

Så du har ret: De store har allerede været i retten. Og det affødte en ny lov, som gjorde det helt klart, at de ikke skal i retten næste gang.

  • 13
  • 0
René Pagh

Skal vi ikke bare blive enige om at hvis man vil sikre data mod stater, agencies med 3 bokstaver eller lignende så har vi nok tabt på forhånd...

Jeg ved da godt at der sidder nogle mennesker rundt omkring og siger at deres servere og software er uden fejl og krypteret efter alle kunstens regler. Men faktum er at når du kommer op i en størrelse hvor data er interessante så er der så mange mennesker inde over at lige meget hvad skal der nok være en vej ind.

Som IT-konsulent gennem mange år har jeg været i utallige datacentre og serverrum i danske og udenlandske virksomheder.
Jeg tror ikke der er et eneste sted hvor jeg ikke ville kunne have isat en USB-nøgle eller på anden måde kompromittere noget udstyr.
Det er selvfølgelig ikke lige så nemt som at bare bede cloud provider X om data.
Men så kunne man bare teste med en phishing mail, den går jo i gennem næsten hver gang...

Så er der også lige det lille problem, hvem laver dit hardware...

Jeg siger absolut ikke at dette ikke er et problem. Men mere at lad os kæmpe de kampe vi har en chance for at vinde, og sikre os mod at vores data ligger og flyder på åbne servere, og at myndigheder bruger plugins fra Google og Facebook, CD'ere der bliver sendt til kineserne, sundhedssystemer der er outsourcet, telesystemer der administreres fra østlande mm.

Kort sagt jeg kender til mange virksomheder hvor data er sikret 100 gange bedre ved at være hos en cloud provider, og ikke i et serverrum hvor man ikke ved hvad halvdelen af udstyret gør, men man tør ikke pille ved det for hvis nu... nå ja og patches det når vi nok.

Jeg er ikke sikker på at jeg kunne svare på spørgsmålet: Er du mest tryg ved at dine data er hos Microsoft / Amazon eller hos KMD / DXC (tidligere CSC).

Tillid; det har jeg ikke, men at plukke de lavest hængende frugter det er jeg stor tilhænger af...

  • 10
  • 1
Henrik Eriksen

Vil du kode krypteringen selv fra scratch ?

For størst mulig sikkerhed vil det være nødvendigt.

Der er visse ting man er nødt til at gøre selv, hvis man vil være helt sikker. Kryptering er en af dem. En keylogger er en anden.

Jeg har lært mine børn, at alt - ALT - uden undtagelse som man lægger ud på nettet, om det så er at sende en email, snapchats, ligemeget hvad, det taber man de facto kontrollen over.
Jeg fik også skolen overbevist om, at videoer uden videre kunne downloades og videreformidles fra 'skoletube.dk'. Det troede de da ikke at man kunne...?

Sådan er verden altså i dag...!

  • 5
  • 1
Anne-Marie Krogsbøll

René Pagh:

Ærlig snak - men en anden og nødvendig konklussion er jo, at det offentlige skal lade være med - mod bedre vidende? - at blive ved med at befolkningen ind, at man har styr på data. Vi andre skal lade være med at lade os bilde det ind. Og læren må så være, at vi skal holde op med at (tvangs)høste og koncentrere disse enorme mængder private data.

  • 6
  • 0
René Pagh

Anne-Marie Krogsbøll:

Misforstå mig nu ikke...

Vi er helt enige om at den total overvågning som efterhånden er ved at være på plads, og at alt lige fra en lille app developer til store multinationale selskaber og nu også staten vil have mest muligt indsigt i "alt" og måde det gøres på er at hvis du har noget imod det er du terrorist eller pædofil...

Men jeg tror faktisk ikke altid at de folk der "bestemmer" kan se den fulde konsekvens af indførslen af "system", "løsning" eller "overvågning x" og derfor burde de selvfølgelig lytte til brancher og eksperter på området.

Lad os tage et tænkt eksempel:

Expert 1: (leder af efterretningsvæsen)
Vi er nødt til at have værktøj X for ellers springer der bomber i alle offentlige bygninger og ved hver landskamp på stadion, og der er sikkert også nogle pædofile der går fri...

Expert 2: (leder af IT-brancheforening)
Dette vil være en total overvågning af alle Danskere, der vil være risiko for at data kan misbruges til identitetstyveri, afpresning og økonomisk ruin og fremtidens DDR -find selv på mere.

Hvis vi nu ser på konsekvensen af beslutningen, så har vi haft mange skandaler i IT-branchen med meget store konsekvenser for den enkelte, samt nogle store virksomheder hvor det har kostet en milliard eller 3. Men har det haft en direkte berøring af den der har taget beslutningen.... sikkert ikke noget der ikke kunne overleves. så når nu branchen kommer og siger om 2 år "vi advarede dig jo" så er der ingen der dvæler ved det mere en 2 -3 måneder. (se bare tele skandalen, vi følger den i branchen, men hvem interessere sig ellers rigtigt for det)

Ser vi nu på alternativ 2.
Hvis der springer en bombe, lige meget om det kunne være forhindret eller ej... og efterretningschefen kommer og sider "vi advarede dig jo" så vil det blive tærsket gennem medier i årtier.
(skyd efter benene, 9/11, krudttønnen etc.) og lur mig om der ikke også vil blive lavet dokumentarfilm fra nu og til dages ende.

Det er derfor let at tage den beslutning der har den mindste konsekvens nu og her, men som måske er den farligste på den lange bane...

Jeg tror at der er noget som vi er meget optaget af fordi vi kan se konsekvensen, men jeg tror ikke det er meget anderledes for andre brancher...

Der er sikkert en "fagperson" der har sagt:

  • Asbest det er altså farligt.
  • Vi kan ikke bare "fikse" 737 MAX sådan; den styrter ned.
  • Hvis vi bygger på den der måde, kommer der skimmelsvamp.
  • De bolte er ikke stærke nok til at holde den bro.
  • folk bliver afhængige af den medicin.
  • Millioner af mennesker vil blive syge hvis vi fusker med udledningerne.

Vi har jo også set at det ikke hjælper at lave lovgivning for det, den bliver bare tilsidesat (ulovlig logning).

Jeg tror at den nemmeste vej er at vi som IT fagpersoner tager et ansvar, og simpelthen begynder at lave løsninger som "holder vand" og at dem som står og underviser tager ansvar for at uddanne den næste generation til "privacy by design". Så kan det også være at de organisationer der kæmper kampen vil få flere tilhængere.

Jeg siger ikke det er den eneste vej, men jeg tror det er der hvor hver enkelt kan gøre den største forskel. For samfundet vil ikke interessere sig for det før det er for sent.

  • 7
  • 0
Hans Nielsen

De fleste der er begejstede for Cloud løsninger, de søger vejen fordi at dermed fralægger man sig et ansvar (meget ansvar). Det er cloudløsningens ansvar at GDPR xx og yy overholdes. Det er cloudløsningens ansvar at beskytte mod virus og nedetid, osv.

Det er cloudløsningens ansvar at GDPR xx og yy overholdes.

Nej så har du helt misforstået loven.
Det er faktsik svære rent GDPR at outsource, da du stadig skal overholde alle regler om GDPR i forhold til data behandling.
Mens du samtidigt skal sørge for at din udbyder over holder regler om datasikkerhed.
Sådan kort, og meget upresis

Det er cloudløsningens ansvar at beskytte mod virus og nedetid,
Nej, antivirus/backup er jo stort set dit egen ansvar. Eller noget du skal betale mere for.
Nedetid er også kun garanteret. Men ikke altid noget som overholdes. Hvis man først er nede med en Cloud løsning, så kan man kun trille tommelfinger.

Men for mindre virksomheder, så er det da langt det nemmeste og billigste, at have de fleste af ens service på andre mennesker server.

Her er Microsoft mail og mindre kontor løsning, til 30 kr om måneden per medarbejder et godt eksemple

Men hvis man kommer op over en hvis størelse, så kan manglen ved at have sparet en vidensmedarberjder i IT bort, og satse på Cloud blive dyr.

Og selv med Cloud, så skal lokale klienter jo stadigt holdes i live.

  • 1
  • 1
Hans Nielsen

Vil du kode krypteringen selv fra scratch ?

For størst mulig sikkerhed vil det være nødvendigt.

Så går du dog imod hvad alle sikkerheds experter og emperi viser.

Egen udviklet sikkerheds mekanismer, protocoler og software er for det meste meget usikkert, og flydt med fejl og sikkerhedshuller.

GPL/GNU/FOSS software, hvor sikkerheden er prøvet og bevist matematisk er vejen frem, med henblik på sikkerhed og kryptering.

De fleste kunne ved et simple skifte af OS blive særdeles mere sikker.

Der er ikke sket meget på sikkerheds området, ud over Spectre og meget mere kryptering, så står brugeren på samme sted :-)

http://www.linuxbog.dk/sikkerhed/sikkerhed/sikkerhed-introduktion.html

  • 2
  • 3
Claus Futtrup

"Nej så har du helt misforstået loven." Hej Hans Nielsen, et al. Jeg ser thumbs down til min forrige kommentar. Jeg har ikke misforstået loven, men det har muligvis mange af de cloud begejstrede små og mellemstore virksomhedsledere, som vælger Cloud løsningen for at fralægge sig ansvaret. Bemærk at min kommentar ikke er møntet på nogle få store virksomheder med IT afdelinger fyldt med kompetente folk, men små og mellemstore virksomheder, som har nok at bekymre sig om - og det er meget sjældent at de ligefrem føler for at køre alting lokalt og skulle løfte dette ansvar også. Når jeg snakker om de mange, så er de de mange små jeg snakker om.

  • 1
  • 0
Martin Tästensen

Nu har jeg læst kommentarerne, og jeg undrer mig voldsomt over 2 ting.

1) Hvorfor er det at mange herinde antager, at det at skifte sit datacenter ud med cloud (eks. Azure) er det samme som at skifte vidensmedarbejdere ud? Microsoft drifter jo ikke andet end selve Hypervisorne (hvis det er VM'ere), så skulle du selv håndtere dem før, så skal du også stadig bagefter.
2) Mange herinde skriver det ikke kan betale sig. Dette kan de have ret i til en vis grad. Argumentet omkring prisen har bare den forudsætning at man vil spare på økonomien og kun det. Det er bare ikke det indtryk jeg har når jeg snakker med kunder, her er det fleksibiliteten der er det kunden køber ind på. Skal udviklerne bygge et test miljø, super, de får en subscription og GO! så kan de gå igang, ikke nogen øvelser med en sag til IT der skal godkendes hvorefter en server skal bygges og de misforståelser det kan give. som bonus bliver prisen på applikationen synlig fordi du betaler per asset, så noget som før lignede en god business case bliver pludselig synlig (og måske en dårlig case) fordi man kan se den æder både SQL og andre ressourcer for at virke, samt den præcise cost på dem. Skal en ekstern have adgang fordi det er en 3. part leverandør? Så giver vi dem da adgang til de præcist de resourcer de skal bruge, vi skal ikke arbejde med VPN og alt muligt andet, de kan logge direkte på med deres egen konto og vi har alt logget.
De samme kunder har typisk i øvrig deres egen IT afdeling, og den bliver ikke mindre af at bruge cloud.

Omkring sikkerheds aspektet i det, så mindes jeg en sag for nogle år siden, hvor (jeg mener det var NSA) blev afsløret i at stoppe pakker fra de store amerikanske selskaber under forsendelsen, montere noget nyt software i dem, og derefter pakke og forsegle dem, inden de blev sendt videre. Så hvorfor går i ud fra det klassiske jern sikkert? Det samme jern som i øvrig bliver produceret i Kina (typisk ved Foxconn) hvor vi så igen må formode, at hvis Kina ville, så kunne de også pille ved det der.

  • 4
  • 0
Martin Tästensen

@Claus Futtrup

Håber da at alle de kunder bliver rådgivet inden. At gå i cloud (uanset leverandør) er jo ikke det samme som at man overholder GDPR. Dog er der værktøjer (i hvert fald i Azure og M365) som kan hjælpe en med at overholde det. Men tvivler på at små virksomheder har pengene eller lysten til at sætte det op (få sat det op) .

Cloud kan hjælpe små virksomheder til at de skal undgå at have ting stående ude i skabet, med det vedligehold det kan give. Men det i sig selv løser intet omkring GDPR, og det er nødvendigvis heller ikke billigere end hvis de købte en server med essentials og lod den trille i et kælder lokale med TSM el. kørerne.

  • 1
  • 0
Hans Nielsen

Skal vi ikke bare blive enige om at hvis man vil sikre data mod stater, agencies med 3 bokstaver eller lignende så har vi nok tabt på forhånd...


Nej
ikke hvis man ikke direkte er mål for sådan.

Hvis vi ikke taler industrispinage, så håber jeg faktisk det lykkes dem, med deres overvågning, hvor det er på sin plads.

Grunden til at jeg tror at kryptering virker, og vi derfor slet ikke har tabt, men tværtimod vundet stort, på privacy, hvis vi lige glemmer det vi selv bidrage med på facebook og google.

Snowden fortalte at kryptering virker.

De 3 stjernet bruger selv kryptering som beskyttelse.

De piver og vil have gjort krypterng uloveligt, eller have indbygget bagdøre

  • 3
  • 1
Maciej Szeliga

Men når de direkte modificere det, så er det når modtager er specielt interessant. Samt helt i orden, efter min mening, hvis det har været forbi en dommer.


Nu behøver hverken NSA eller CIA en dommers velsignelse for deres gøremål...
...fordi de må gøre hvad der passer dem så længe målet ikke er statsborgere i USA.
...hvis det derimod er statsborgere i USA eller indenfor USAs grænser så går det bare gennem DHS - og DHS behøver ikke spørge nogen om noget.

Din dommer er på et sidespor - især hvis du ikke er født i Guds Eget Land!

  • 6
  • 0
Martin Tästensen

Men når de direkte modificere det, så er det når modtager er specielt interessant

Og det mener du ikke "modtageren" er, hvis de går ind i et Amazon eller Azure datacenter og beder om adgang til data på en specifik kunde?

tvivler på at nogen, hverken NSA eller CIA har ressourcer til at læse og forstå samtlige kunders data i eks. Azure's datacentre.

  • 4
  • 0
Hans Nielsen

tvivler på at nogen, hverken NSA eller CIA har ressourcer til at læse og forstå samtlige kunders data i eks. Azure's datacentre.


De har nu adgang ganske mange penge og resuer, så hvorfor ikke.

Alle blev vel også overrasket over hvor omfatende, og uloveligt den overvågning som Edward Snowden beviste var.

"""Din dommer er på et sidespor - især hvis du ikke er født i Guds Eget Land

Tror du har misforstået mig. Jeg har ikke noget mod overvågning, under regler, domstol og demokratisk kontrol.
At det ikke foregår sådan, det er jeg fuldt klar over. Selv om man er holdt op med at overvåge Amrikanske bogere i USA, så beder de bare Danskere, Engelske eller Tyskere efterretningstjenester om det. Og så dele de til gengæld omlysninger om Tyske, Danske og Engelske borgere med dem. Hvis de altså i det hele taget gider overholde lovgivningen.

  • 0
  • 0
Michael Cederberg

Et af de store sikkerheds problemer ved cloud er at der mangler defence in depth. I praksis er det eneste der adskiller mine processer fra andres processer noget hardware i CPU'en samt sikkerhedsfeatures i operativsystemet/virtual machine implementationen. Hvis nogen finder et hul, så kan de se de andre processer (fx. ville meltdown og spectre give de muligheder). Hvis man har noget man gerne vil holde hemmeligt så skal man have mere end en sikkerhedsbarriere.

  • 1
  • 0
Hans Nielsen

Fordi jeg har krypteret mine persondata?
Så kan de snable så meget de vil ...

Hvor gemmer du nøglerne? Dem kan du jo ikke kryptere.

Her vil jeg give dig ret Michael.

Man skal stole fuldstændigt på sin udbyder af Cloud, hvis man skal stole på at data er sikkert.
En kryptering af data, har jo ingen betydning, hvis man kan tilgå det virtuelle system når det er låst op.

Så i forhold til setup lokalt. Hvor du har firewall og mulighed for overvågning.

Så skal du ved brug af Cloud stole på at alt hardware og software i centeret er sikkert og opdateret. Samt at der ikke er nogle brående kar mellem de mange ansatte, eller i ledelsen.
At de 3 stjernet eller andre ikke har haft mulighed for at pille, og endeligt, at der ikke kommer nye love og regler.

https://www.version2.dk/artikel/microsoft-vil-ikke-udlevere-mails-myndig...

  • 0
  • 0
Martin Tästensen

De har nu adgang ganske mange penge og resuer, så hvorfor ikke.

Alle blev vel også overrasket over hvor omfatende, og uloveligt den overvågning som Edward Snowden beviste var.

Du overså vist det sidste jeg skrev, en ting er om de har penge og ressourcer til at få fat i alt data, det vil vel alt andet lige kræve nogle datacentre i stil med dem som alle cloud udbydere har, og dertil en bunke ekstra ressourcer for at kunne koble data sammen.

Men der er stadig en kæmpe forskel på at få adgang til data, hente data og **forstå **data. Eller for den sags skyld at få sat det op så de får en notifikation når de rammer noget data som rent faktisk er interessant.

Ifølge en artikel på forbes (hurtig google søgning) bliver der genereret 2.500 Petabytes om dagen. Lad os så sige at en stor del af det bliver genereret i en cloud service, og NSA/CIA har adgang herned i, så er det en seriøst stor stak data de skal igennem, alene for at lave et index. Og derefter et endnu større arbejde for at arbejde sig igennem hvad der evt. måtte være krypteret derfra, for at vi så skal videre til at de skal have en eller anden form for automatik som slår ud når den rammer noget relevant data. I de her data ligger jo så også når jeg laver en madplan på min firma onedrive konto el.

Vi er ikke uenige om at de har penge, men i min verden er det helt urealistisk at de har den slags ressourcer. Snowden beviste at de har ressourcer, og har placeret dem på steder, som gør de har en stor magt. Men det betyder ikke deres ressourcer er endeløse.

  • 1
  • 0
Hans Nielsen

Vi er ikke uenige om at de har penge, men i min verden er det helt urealistisk at de har den slags ressourcer.


Hvis de bare har resurser til at gemme data, også behandle dem, når man en dag kan decryptere dem.

Med gode algoritmer og omtanke, og de har de helt sikkert.
Så kan de gemme det meste til eftertiden.

Hvis man ikke har kapacitet til at gemme private katte billerder, så kan man sikkert gemme det meste om firmaer og regeringer ?

Det eneste forsvar som tilsydenladen virker, er meget stærk kryptering, og at holde de vigtigste data inden døre.

Om det sker, og i hvor høj grad, det er gætteri. Men det er helt sikkert en hed tanke ved mange 3 stjerner, så de vil da helt sikkert forsøge.

Men hvis du er ved at udvikle et produkt til det Amrikanske markede til en værdi af mange millioner kroner, vil du så tage chancen ved at bruge skyen ?

  • 1
  • 0
Troels Arvin

Man kan med rette tvivle på de det legitime i at benytte cloud-tjenester, som har hovedsæde uden for vores egen jurisdiktion. - Fx grundet the Cloud Act i USA.

Men det nytter ikke meget, hvis der ikke er noget alternativ inden for EU, for cloud er simpelthen for smart til ikke at blive taget i anvendelse. Derfor synes jeg, at det er meget mere interessant at drøfte, hvad der er af muligheder i EU.

Jeg har hørt om følgende, men har aldrig brugt dem selv:
https://www.ovh.com/
https://www.hetzner.com/cloud
https://www.gandi.net/en/cloud

Jeg mener, at jeg på dem alle uden held har forsøgt at få trial accounts, men at det sagde, at den slags bruger de ikke... :-(
Andre idéer?

  • 2
  • 0
Troels Tolstrup

Det er rigtigt godt at der er nogen der prøver at tage kampen op med de store udbydere, konkurrence er altid godt.

Men de har godt nok at stykke vej for at komme i nærheden af de muligheder du får ved at vælge en af de store.

Løsningen virker mere til at være politisk og et spørgsmål om at EU stiller krav til firmaer der gerne vil operere servere inden for vores grænser. Meeen det skal de nok få implementeret forkert hvis de prøver

  • 0
  • 0
Frithiof Andreas Jensen

Andre idéer?


Amazon AWS og/eller Microsoft Azure - monopolerne længe leve :p.

Fordi:

Underlige Cloud udbydere som man ikke kan 'lave lidt privat hackning for sjov med' forbliver en niche og vil fejle i markedet, så det er spild af tid at sætte sig ind i dem med mindre nogen direkte betaler for det.

Den eneste use-case for en 'Exclusive V.I.P.-Cloud' udbyder, som jeg ser det, vil være 'Government Cloud' - som i øvrigt kan være lige så elendig som det passer den at være fordi det er hvad 'vi' er blevet dresseret til at forvente fra 'Offentlig IT' (og den kan naturligvis driftes af et Amerikansk selskab, fordi det også er 'kotume' her i landet).

Dermed leverer AWS / Azure egentligt det samme 'sikkerhedsniveau', bare bedre implementeret og mere tilgængeligt!

  • 0
  • 0
Jens Pedersen

Ja, men der er det specielle ved NSA, at de opererer fuldstændig udenfor juridisk og politisk kontrol, gennem deres "old boys" netværk. FBI ulejliger sig hen til en domstol for at få date udleveret, det gør NSA ikke, de hiver det bare hjem, gerne med dybt kriminelle metoder.

  • 2
  • 0
Michael Cederberg

Ja, men der er det specielle ved NSA, at de opererer fuldstændig udenfor juridisk og politisk kontrol, gennem deres "old boys" netværk. FBI ulejliger sig hen til en domstol for at få date udleveret, det gør NSA ikke, de hiver det bare hjem, gerne med dybt kriminelle metoder.

Til gengæld kan NSA data heller ikke bruges til så meget fordi det kan ikke fremlægges offentligt. Jeg er ikke specielt bange for den slags.

Der hvor det bliver et problem er når FBI kan få en warrent på adgang til data i et datacenter i Europa. Den slags data kan bruges i retssale og offentliggøres.

Det kan til gengæld håndteres ved at lave en regel om at datacentre i Europa skal opereres af Europæere. At det er strafbart at overlade data eller hardware med data i til ikke-europæere. At datacentret skal tage skrift til at sikre at dette ikke kan ske.

Så kan FBI komme med en dommerkendelse til Apple/Amazon/Google/Microsoft om adgang til data. Og når den amerikanske chef sender en mail til en underordnet i Europa om at få udleveret data eller hardwaren den ligger på, så vil europæeren nægte fordi det er ulovligt.

Men sådan en lovgivning får vi først den dag europæiske myndigheder ikke har brug for amerikanerne til at lave overvågning.

  • 0
  • 0
Log ind eller Opret konto for at kommentere