Kære myndigheder: Stop med at pive over Schrems II - der er en løsning
Jeg forstår ikke, at myndighederne piver over Schrems II-dommen.
Hvis man bare har fulgt en smule med i Snowdens afsløringer, så er dommen altså ikke nogen overraskelse: Indsættelse af bagdøre i software og hardware, tapning af kabler og samarbejde med cloududbydere; derudover kommer så det, som er fuldstændigt offentligt kendt: FISA-retten, National Security Letters, og Cloud Act. Alle peger de i een retning.
Hvis din netleverandør (og underleverandør) kan presses af fremmed magt (eller af FE i samarbejde med NSA), så skal du regne med, at de bliver det, og at de udleverer alle de data, som du sender gennem deres netværk.
Hvis din cloudleverandør kan presses af en fremmed magt (f.eks. den amerikanske stat/NSA), så skal du regne med, at de bliver det, og at de udleverer alle de data, som du hoster hos dem.
Hvis din softwareleverandør kan presses af en fremmed magt (f.eks. den amerikanske stat/NSA), så skal du regne med, at de bliver det, og at de (eller andre) bygger bagdøre ind i systemet, så de kan udlevere alle de data, som du putter i systemet.
Hvis din hardwareleverandør kan presses af en fremmed magt (f.eks. den amerikanske stat/NSA), så skal du regne med, at de bliver det, og at de bygger bagdøre ind i systemet.
Hvis dette er en overraskelse for dig, så har du sovet i timen. Og nej: En advokatudtalelse eller en revisionserklæring gør ikke, at NSA pludselig siger: "Uha, så tør vi ikke få adgang til de data."
Vi kan ikke få 100% sikkerhed, og at lave sin egen hardware i praksis ikke muligt i EU idag. Var det muligt, så ville jeg anbefale at købe hardware herfra - gerne med teknologi lignende AMD SEV, så man kan slippe for at stole på anden hardware end netop CPU'en.
Fortrolighed på datatrafik har vi i praksis løst med kryptering. Selv når kvantecomputeren bliver stor nok, har vi løsninger. Der er stadig et metadata-problem, som Tor kan hjælpe på, men Tor kan ikke løse hele problemet, og vi er nok nødt til at leve med det problem en rum tid fremover.
Men vi kan sagtens vælge en cloudleverandør, der ikke kan presses af en fremmed magt. Som f.eks. GovCloud. De tilbyder i øvrigt online mødefacilitet, som køres på deres udstyr, og hvor kunden kan få kildekoden; og finder kunden en bagdør, så er jeg ikke i tvivl om, at GovCloud vil modtage information om det med kyshånd.
At kommunalbestyrelserne og ministerier ikke kræver, at alle deres cloudservices køres på GovCloud er mig en gåde, og de fortjener alle de GDPR-tæsk de kan få, indtil de forstår vigtigheden af det.
Softwaren er lidt sværere. Hvis udviklingen af softwaren er betalt af det offentlige, så bør den jo være fri software (Har du fået dine venner til at skrive under på borgerforslaget?), og så er det svært at skjule en bagdør - specielt hvis man får et uafhængigt kodereview.
Hvis softwaren ikke er fri software, så er det pivnemt at skjule en bagdør, og derfor må man som kunde firewalle sig ud af det: Sørg for, at softwaren kun modtager opdateringer, og ikke sender uventede data ud. Det er noget sværere og ikke mindst dyrere kontinuert at skulle holde øje med dette, men det er bare en af de skjulte ekstraomkostninger, som man må forvente ved ikke at køre fri software.
Er du så i mål? Nej, men så er du i hvert fald ude over at skulle bekymre dig om Schrems II, og du har fået langt mere kontrol over dine data.
(I øvrigt mener jeg, at du skal få dine venner til at skrive under på borgerforslaget om offentligt betalt software.)
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
