Cloud sikkerhed får svar på tiltale
Under henvisning til datalovgivning, krigslove og deslige mener organisationer (og Datatilsynet) at man ikke kan bruge skyen. Faktum er, at lovgivningen hviler på et forældet grundlag. Nu kommer modtrækkene.
Der er nok en del virksomheder og offentlige institutioner, der faktisk kunne finde løsninger på cloud sikkerheden, men ”når nu Odense kommune ikke fik lov, så kan det nok ikke lade sig gøre”.
Selvfølgelig er der noget reelt i problemstillingen. Persondata og specielt personfølsomme data kan ikke bare ligge og flyde i skyen uden tilstrækkelig sikkerhed. Og det er vitterligt en barriere for at bruge skyen i en række situationer, hvor den ellers kunne give god mening.
Omvendt vil bevægelsen mod cloud-services næppe blive slået ihjel af lovgivning. Det skulle da være den første gang i historien, at en teknologisk udvikling kan dræbes politisk. I stedet ser vi nu fra flere kanter en vilje til at få løst problemerne.
Fra leverandørside erkender man, at man er nødt til at forholde sig til problemet. Således annoncerede Amazon deres GovCloud sky, hvor de over for den amerikanske regering lover, at de opbevarer data i overensstemmelse med den strikse offentlige lovning i USA (http://www.businesswire.com/news/home/20110816006678/en/Amazon-Web-Services-Announces-AWS-GovCloud-AWS). I bund og grund er det jo bare en virtual private cloud implementering.
Nogle vil sikkert hævde, at en sådan garanti er lige så luftig som skyen, når nu Amazon er en privat virksomhed. Ja, danske politikere har endda været inden på det samme, og at skyen derfor skulle styres af det offentlige (http://www.computerworld.dk/art/116188/her-er-oppositionens-cloud-planer-for-danmark). Politikere kan åbenbart også være naive.
Så er der mere ræson i regeringens (altså den nuværende) tanker om en modernisering af datalovgivningen, så den følger bare lidt med den teknologiske udvikling. Det fremgår af den netop udsendte fællesoffentlige digitaliseringsstrategi (side 41, punkt 11.4 i http://tinyurl.com/42tl9w2). Her nævnes, at ”utidssvarende regler skal ikke være en unødig barriere for cloud computing”. En evt. ny regering bakker næppe op om dette.
Det synes ellers på tide. En lovgivning, der er baseret på den fysiske placering af data, er udtryk for en dybt forældet tankegang. Hvis man tænker over det, er det direkte paradoksalt at definere sikkerhed af elektroniske data gennem deres fysiske lokation. Med den stigende kompleksitet af transportveje og lokationer data befinder sig, har ingen længere styr hvor data bevæger sig fysisk alligevel.
Der kommer også nye teknologier, der kan være med til at løse udfordringerne, selv om de ikke nødvendigvis er universalløsninger. Et eksempel er Cloudswitch, der netop er blevet købt af Verizon, og som sørger for, at virksomhedens data bliver isoleret og krypteret ude i skyen (http://www.cloudswitch.com/).
Problemerne er altså ikke uovervindelige, og hvis man vil, kan man godt finde løsninger. Som så ofte i denne verden må teorien indrette sig efter virkeligheden.
Twitter:
http://twitter.com/p_andersen
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
