Digital forvaltning, It sikkerhed og kryptering

Skyen i stormvejr

Illustration: Mikkel Henssel

Salget af amerikanske cloud-løsninger som AWS og Azure vokser eksplosivt i Norden, og flere og flere virksomheder lægger forretningen op i skyen. Men det bliver mere og mere usikkert, hvor vidt det overhovedet er lovligt for europæiske virksomheder at placere persondata hos amerikanske selskaber på grund af EU’s regler om datasikkerhed.

Vejrudsigten for cloud computing byder på både strålende solskin og rasende orkan for tiden. Solskin, fordi salget af public cloud-løsninger ifølge analysefirmaet IDC er tredoblet i Norden på bare fire år. De nordiske virksomheder strømmer især til spillere som Amazon Web Services (AWS), Microsoft Azure og Google Cloud, fortæller Anders Elbak, der er analysechef i IDC Nordic.

Og orkan, fordi det bliver mere og mere usikkert, om virksomheder i EU overhovedet kan holde sig inden for lovens rammer, når de placerer persondata hos dem.

På den ene side i dramaet står EU med et charter og en GDPR-forordning, der skal beskytte borgernes privatliv. På den anden side står de amerikanske efterretningstjenester, der – med amerikansk lov i hånden – kan tvinge sig adgang til amerikanske cloud-udbydere. Også hvis data ligger på servere i EU, takket være den amerikanske Cloud Act.

De kan ligefrem kræve, at kunderne og offentligheden ikke får det at vide, ved hjælp af såkaldte National Security Letters.

Spørgsmålet er, om vi ikke er for paranoide

Henning Mortensen, Rådet for Digital Sikkerhed

Med linjerne trukket så hårdt op, er spørgsmålet, om det er muligt at overføre persondata til USA uden at komme i strid med GDPR?

– Jeg har meget vanskeligt ved at se, at man både kan tillade amerikanerne at spionere og samtidig beskytte borgernes privatliv. Jeg tror ikke, det kan lade sig gøre på nogen måde, siger Ole Tange, der er it-politisk rådgiver i PROSA.

Han er langtfra den eneste ekspert, der er skeptisk.

– Jeg har svært ved at forestille mig, at man kan skrive en kontrakt, som gør, at man modvirker det her, lyder det fra Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.

Et højaktuelt emne

EU-domstolen har to gange erklæret EU’s egne juridiske ’frameworks’ for overførsel af persondata til tredjelande ugyldige. Det var ordninger, som mange danske virksomheder brugte som hjemmel til at overføre persondata til USA.

Først røg den såkaldte Safe Harbor-ordning, og i juli 2020 røg Privacy Shield-ordningen. Det skete med den meget omtalte Schrems II-dom, som er opkaldt efter den østrigske aktivist Max Schrems.

– Det, EU-domstolen siger mellem linjerne, er, at USA ikke har regler, der beskytter europæiske borgere godt nok. Og at de ikke lever op til princippet om en demokratisk retsstat på det her punkt, siger Allan Frank fra Datatilsynet.

Man kan ikke lovligt sætte kikkerten for det blinde øje

Allan Frank, Datatilsynet

I november sendte EU nye skrappe bestemmelser for overførsel af persondata til tredjelande i høring – såkaldte standardkontraktbestemmelser. En færdig udgave forventes i starten af 2021, men allerede nu står det klart, at det fremover bliver vanskeligt at overføre persondata på lovlig vis fra EU til USA.

Hvis det skal gøres lovligt, vil det kræve såkaldte supplerende foranstaltninger. Og om dem siger Henning Mortensen, formand for Rådet for Digital Sikkerhed:

– De muligheder, der skitseres som supplerende foranstaltninger, er få. De er tekniske – som i meget tekniske. Og de udbydes ikke 100 procent af markedet på nuværende tidspunkt.

Hvad hvis serveren står i EU?

I de senere år har både Google, Apple og Facebook placeret datacentre i Danmark, og senest har Microsoft besluttet at lægge tre datacentre på Sjælland. Men kan problemet løses, hvis udbyderen lægger persondataene på servere i EU?

– Tusind kroner-spørgsmålet er: Hvis man nu ved, at der findes sådan en regel som for eksempel Cloud Act, kan man så overføre til amerikanske udbydere, der har deres servere i EU, fastslår Allan Frank fra Datatilsynet.

Spørgsmålet er uafklaret, fordi det ikke har været prøvet endnu, forklarer han. Men udfordringen er til at føle på. For som dataansvarlig skal man kunne dokumentere, at GDPR bliver overholdt.

– Man kan ikke udelukke, at de vil kunne dokumentere det, men forordningen siger, at man skal være i kontrol som dataansvarlig. Man kan ikke lovligt sætte kikkerten for det blinde øje, siger Allan Frank.

Cloud Act er ikke omfattet af de bestemmelser, der er i høring for tiden. De drejer sig kun om overførsel af data ud af EU.

Worst case-scenariet er et EU-forbud. Og Ole Tange fra PROSA mener, at forbuddet – i realiteten – allerede er her:

– Min vurdering er, at forbuddet kom i sommer, i og med at Privacy Shield døde. Jeg tror, vi kommer til at se, at de amerikanske udbydere vil oprette uafhængige europæiske datterselskaber og hævde, at de ikke er underlagt Cloud Act. Men i praksis tror jeg ikke, det kan lade sig gøre. For hvis moderselskabet bliver pålagt en ordre af de amerikanske myndigheder, er det svært at forestille sig, at datterselskabet nægter, siger Ole Tange.

Dansk Erhverv håber på løsning

I Dansk Erhverv håber digitaliseringspolitisk fagchef Janus Sandsgaard på en løsning. Danske virksomheder har stor glæde af de amerikanske cloud-udbydere, understreger han. Men det bliver ikke nemt at finde en løsning.

– Det her er en kæmpe udfordring, som berører alle. Og derfor skal den selvfølgelig løses centralt. Det er ikke noget, den enkelte virksomhed eller myndighed skal prøve at fikse selv. Det er et internationalt problem, som skal løses internationalt, siger Janus Sandsgaard.

Også Christian Damsgaard Jensen, der er lektor i it-sikkerhed hos DTU Compute, ser det som en svær problemstilling.

– Jeg har svært ved at tro, at man helt forbyder brugen af de store cloud-løsninger, og at de helt kan få trukket benene væk under sig. Men der kan godt komme begrænsninger på, siger han.

Flere kilder beskriver det ellers som en naturlig udvikling, at it-systemer flytter op i skyen. Nogle virksomheder har hele it-systemer i skyen, mens andre har hybrid-løsninger, hvor dele af systemet er lokalt.

Anders Elbak fra IDC udlægger tendensen sådan her:

– Langt op i 1980’erne var telefonsvarere kasser med bånd i. I dag ligger det bare som en service hos telefonleverandørerne. Det er det samme, vi ser på hele strea­mingområdet. Og i princippet er det også det samme, vi ser inden for professionel it, siger han.

Janus Sandsgaard fra Dansk Erhverv sammenligner det med elektricitetens historie: Engang producerede hver virksomhed sin egen elektricitet, men så kom kraftværkerne. Analogien stammer fra bogen ’The Big Switch’, fortæller han.

Men spørgsmålet er, hvor skyen skal ligge.

Amerikanerne er bedst

Lige nu er de store amerikanske udbydere, rent teknisk, de bedste spillere på markedet. Det er Prosabladets kilder enige om. Og hvis der kommer et eksplicit forbud, vil det svække it-anvendelsen herhjemme. Det vurderer Henning Mortensen fra Rådet for Digital Sikkerhed.

– Hvis vi pludselig ikke kan bruge de her tjenester, så vil vi en overgang have dårligere tjenester. De er blevet så store, fordi de er gode. Vi ville miste momentum i digitaliseringen, og vi vil formentlig også få nogle tjenester, der er mindre sikre, siger han.

Henning Mortensen vurderer, at mange virksomheder er bedre garderet mod hacking hos store cloud-udbydere, end hvis de selv skal stå for it-systemerne.

– Spørgsmålet er, om vi ikke er for paranoide. Det, der står i toppen af min risikovurdering, er ikke, om der bliver kigget på vores data i cloud. Det er i højere grad sådan noget som ransomware, CEO fraud og hacking. Det er selvfølgelig godt, at man står vagt om de garantier, der bliver givet i EU’s charter. Men i praksis vil det også – i hvert fald på den korte bane – få nogle negative konsekvenser, siger han.

AWS har ikke tid til interview

Prosabladet har bedt AWS og Microsoft om interview. Men begge oplyser, at de ikke har tid. Til gengæld sender deres pressefolk nogle links med information.

På sin hjemmeside skriver AWS, at de gør, hvad de kan for at holde efterretningstjenesterne ude af kundernes data.

”Når AWS får en forespørgsel efter data, der er lokaliseret uden for USA, har vi redskaber til at udfordre det, og vi har en lang historik for at gøre det”, skriver for eksempel Michael Punke, vicepræsident for Global Public Policy hos AWS, i et blog-indlæg.

På AWS’ hjemmeside står der også:

”Vi vil ikke videregive kunders indhold, medmindre vi er nødt til at gøre det for at leve op til loven eller en bindende ordre fra et regeringsorgan”.

Også Microsoft kæmper mod de lange fangarme, og i november offentliggjorde techgiganten to løfter.

Dels lover de juridisk at udfordre alle stater, der vil have fat i en kundes data – hvis der er juridisk basis for at gøre det. Og så lover de at give økonomisk kompensation til kunder, hvis de bliver tvunget til at udlevere data, og hvis det strider mod GDPR.

Kryptering som løsning

Microsoft og AWS understreger også, at de bruger kryptering. Men løser det problemet? Flere eksperter tvivler.

– Data ligger typisk på virtuelle maskiner, når det er ude i skyen. Typisk kan man lave et snapshot af en virtuel maskine: CPU, ram, disk, hele maskinen. Du kloner maskinen, og ud af den her klon kan du så gennemgå rammen og finde diverse adgangskoder, forklarer Ole Tange fra PROSA.

Men nye teknologier kan måske ændre billedet. Ole Tange peger på AMD’s Epyc-CPU’er, der gør det umuligt at tage et snapshot af hele maskinen, og på Googles nye Confidential Computing, der krypterer data i brug. Men det er stadig for tidligt at sige, om den slags teknologier kan sætte efterretningstjenesterne på porten, vurderer han.

Og der er også andre måder at få adgang til data på. For eksempel de metoder, som amerikanske National Security Agency (NSA) benytter. Flere kilder peger på Edward Snowden-afsløringerne og DR’s nylige artikler om NSA-overvågning i Danmark via kabeltap.

En mulig løsning er, at den amerikanske stat giver sig – men det er der ikke tegn på. En anden løsning er, at EU går på kompromis med borgernes privatliv. Men som Allan Frank fra Datatilsynet siger det:

– Det er fundamentale menneskerettigheder, dybt forankret i charteret. Det er ikke sådan noget, der lige bliver skrevet om i morgen.

En tredje løsning er nye skudsikre krypteringsteknologier. Og en fjerde løsning er, at amerikanske cloud-udbydere indgår alliancer med europæiske selskaber, så de amerikanske efterretningstjenester mister muligheden for adgang.

Men der er også en femte løsning: Find en europæisk udbyder, foreslår Pernille Tranberg, medstifter af datatænketanken DataEthics.

– Der er rigtig mange, der ikke aner, at der findes relativt store cloud udbydere rundt omkring i Europa. Og hvis man begynder at bruge dem, så bliver de større, billigere og bedre, siger hun.

DataEthics bruger selv den tyske cloud-udbyder Hetzner, der også servicerer større virksomheder.

Pernille Tranberg ser også et lys i Gaia-X, som er en vordende europæisk cloud-infrastruktur, startet af den tyske og franske regering og en lang række techvirksomheder.

– Der er sindssygt meget brug for initiativer som Gaia-X, mener Pernille Tranberg.

Safe Harbor og Privacy Shield

Safe Harbor var en aftale mellem EU og USA om overførsel af personoplysninger. Den østrigske aktivist Max Schrems klagede i 2013 over overførsel af persondata til Facebook Inc. i USA, fordi amerikanske virksomheder ikke kunne sikre et tilstrækkeligt beskyttelsesniveau. EU-Domstolen erklærede i 2015 Safe Harbor ugyldig.

Safe Harbor blev i 2016 erstattet af Privacy Shield, men Max Schrems mente heller ikke, at den nye ordning var i orden, særligt på grund af den lempelige amerikanske lovgivning om myndig­heders adgang til indsamling af persondata. 16. juli 2020 afgjorde EU-domstolen, at Privacy Shield-ordningen er ugyldig. Den ophørte derfor straks som grundlag for overførsler fra EU til USA.

Kommentarer

Log på Mit PROSA for at se eller skrive en kommentar til artiklen