Opdateret 1. november
Se Camilla Fisker, der er projektleder i Digitaliseringsstyrelsen og arbejder med cloud-teknologi-området nedenfor, kommentar nedenfor.
EU-kommissionen har i august 2011 taget stilling til cloudløsningers juridiske aspekter i lyset af The Patriot Act. Og ifølge kommissionen kan og skal amerikanske myndighedsorganisationer gå via EU eller det enkelte lands juridiske apparat, før der kan udleveres data på formodet mistanke.
Man må formode, at VmWares juridiske afdeling følger EU-domme inden for cloud-teknologi nært, og det er svært ikke at tolke deres fastholde af problemet med The Patriot Act som talen mod bedrevidendende for at styrke VmWares value proposition i det europæiske marked.
VmWare VmWorld i København: Datasikkerhed og cloud-løsninger
I sidste uge løb WmWare WmWorld af staben i København, og et af punkterne var datasikkerhed og de juridiske problemer og udfordringer, der knytter sig til cloudhosting og cloudcomputing. Ton Hermes og Willem van Engeland fra VmWares juridiske afdeling kunne bl.a. berette, at en række europæiske persondatalove blev kompromitteret / ophævet af den amerikanske Patriot Act, der blev vedtaget efter terrorangrebene i USA i 2001.
The Patriot Act, datasikkerhed & personfølsomme oplysninger
The Patriot Act gør det muligt for amerikanske myndigheder at få udleveret datasæt på begrundet mistanke — og den ophæver den Safe Harbor-aftale, der ellers er indgået mellem en række europæiske lande og USA. Det betyder, at amerikanske myndigheder kan få adgang til personfølsomme data, der er placeret på cloudløsninger fra fx RackSpace, Amazon, Google Apps eller Microsoft 365.
Læs også: Danske cloud-servere fra 118,75 per måned.
Anbefalingen fra VmWares juridiske eksperter
VmWare, der udbyder infrastrukturløsninger til private clouds, er selvfølgelig ikke uden partsinteresse, men problematikken er reel og kræver addressering. Van Engeland udtalte efter sikkerhedsseminaret til Digi.no:
“Dette er et stort problem i mange europæiske lande. Vi er klare i vores anbefalinger: Skal man være nogenlunde sikker på, at det man har af data ikke havner i amerikanske hænder, må man vælge en europæisk leverandør” (min oversættelse).
The Patriot Act & VmWare: Amerikanske cloudløsninger og personfølsomme og personhenførbare oplysninger,
Jeg er ret sikker på at Odense Kommune arbejder på at få lov til at bruge Googles tjenester, hvis Google kan garantere at de servere data ligger på befinder sig i Europa. Det er vist et smuthul man kan bruge, og dermed også undgå ovenstående problemstilling.
Hej Allan!
Tak for input. Som jeg læser udmeldingerne fra VmWares juridiske team vil det ikke løse problemet, at Google garanterer, at data placeres fysisk på servere i Europa (fx Irland). For de amerikanske myndigheder vil fortsat på baggrund af begrundet mistanke kunne få adgang, så længe virksomheden bag tjenesten, her Google, er en juridisk entitet registreret i USA (også selvom det “blot” er hovedselskabet).
Desværre for der er jo rigtigt mange penge at spare ift. selvhostet Exchange/Windows Server-løsninger.
Alt godt,
Kasper
Datatilsynets kommentar til Odenses kommunes vist nok tredje eller fjerde ansøgning om at anvende Google Apps:
“Som sagen foreligger, er det Datatilsynets opfattelse, at der på en række punkter, jf. nedenfor, er problemer i forhold til kravene i persondataloven og sikkerhedsbekendtgørelsen. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps. Datatilsynet modtager gerne sagen til fornyet udtalelse, hvis Odense Kommune arbejder videre med sagen og søger efter løsninger på de påpegede problemstillinger”
Fra Version2.dk.
Sagen har jo i sine tidligere stadier også handlet om hvorvidt sikkerheden overhovedet var tilstrækkelig. Dette har Google jo adresseret. Endvidere nu med mulighed for territorial begrænsning af data.
Det løser dog fortsat ikke udfordringen med ekstern adgang til data ved mistanke. Kommunen kan dog alligevel med stor sandsynlighed ikke dække deres behov med en løsning udelukkende baseret på en udbyder. Dermed vil der fortsat være services og data der er placeret i Private- og Public Clouds i større eller mindre grad.
Vi bør derfor fokusere på muligheden for dataklassifikation og sikring af disse logisk i en Hybrid Cloud sammenhæng. Dette kombineres med audit af hvem der har haft adgang til data og hvornår, samt hvor de pågældende data befinder sig.
Behovet for dataklassifikation og audit af data forsvinder desuden ikke ved at placere data i en EØS kontrolleret Cloud. Det efterlever lovgivningen. Men jeg tror ikke det giver kommunen end mere produktiv eller sikker platform.
Kære Tommy Hvid!
Tak for solide indspark ang. datasikkerhed — separat og i lyset af The Patriot Act.
Setuppet med hybrid clouds er nok vejen frem, men jeg tænker, at det bliver svært at kvalitetssikre for fx Odense Kommune, hvis personfølsomme data ikke må/kan deles via fx mail og dokumenter, men skal huses i sikre zoner. Det kommer i hvert fald til at koste på fleksibilitetskontoen. Men det kan være, jeg misforstår din idé?
Alt godt,
Kasper
Lige lidt ekstra information som er særdeles relevant i denne sammenhæng; EU kommissionen tog i august måned stilling til spørgsmålet omkring Patriot Act og USA’s mulighed for at håndhæve dette i EU medlemslandene.
Hvis jeg kort skal opsummere kommissionens kommentar, så skriver de, at i henhold til international ret om juristiction, så kan en fremmed magt ikke direkte håndhæve egen lov i et andet land. Det vil sige, at hvis den amerikanske regering vil håndhave Patriot Act i et EU medlemsland (dvs også hvis der er tale om en amerikansk virksomhed med et datacenter placeret i EU), skal de gå igennem enten en EU myndighed eller myndigheden i det pågældende land.
Samtidig anerkender kommissionen også, at hvis datacenteret er placeret i USA kan den amerikanske regering frit håndhæve Patriot Act, også hvis der er tale om virksomheder under Safe Harbour.
Hele kommentaren fra EU kommisionen kan læses her:
Spørgsmål: http://www.europarl.europa.eu/sides/getDoc.do?type=WQ&reference=E-2011-006901&language=DA
Svar: http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=E-2011-006901&language=DA
Vh Camilla
Projektleder, cloud computing
Digitaliseringsstyrelsen (tidligere IT- og Telestyrelsen)
Kære Camilla!
Tusind tak for dit fantastiske vidensindspark. Det lyder jo godt for alle dem, der ønsker at bruge en amerikansk cloududbyder af en eller anden art.
Personligt ville jeg nok have mine bekymringer om, hvorvidt de amerikanske myndigheder husker at få sagen kørt igennem i det EU-land, inden de be’r cloududybderen udlevere dataset på formodet mistanke. Men den bekymring vil jo altid være der.
Også mange tak for linksne, som jeg glæder mig til at læse op på!
Alt godt,
Kasper
@Camilla — Man skulle næsten formode, at VmWares juridiske eksperter kendte til kommisionsudtalelsen af august, hvilket indikerer, at de har talt mod bedrevidende til VmWorld-konferencen (for at styrke VmWares value proposition i det europæiske marked).
Det er fortræffeligt at der er fokus på The Patriot Act, ingen tvivl om det.
Men USA er ikke det eneste land, der kan påhæftes “Issues of Concern” i denne anledning. Jeg læste nedenstående artikel og syntes at mindes en lovgivende forsamling, der på et tidspunkt (2008?) flyttede deres mailservice?
http://www.version2.dk/artikel/eksperter-svenske-facebook-servere-stiller-ikke-europaeerne-bedre-32291?utm_medium=email&utm_source=nyhedsbrev&utm_campaign=v2daglig
Nu deltog jeg ikke i VMworld, men det er min opfattelse at VMware har langt større interesse i private skyer hos de enkelte kunder fremfor cloudløsninger generelt, så man kan vel ikke fortænke dem i at gøre opmærksom på problematikken?
Mvh.
Vagn
Kære Vagn!
Tak for kommentar og linket. Jeg er helt enig med dig i, at VmWare selvfølgelig har en solid partsinteresse, al den stund de sælger licenseret cloud-teknologi til en lang række formål, herunder private clouds.
Det koster dem dog lidt på troværdighedskontoen, hvis de har kendt til EU-kommissionens dom af august 2011, hvilket man næsten må tro, da jeg formoder, at deres juridiske eksperter følger EU-kommissionens stillingtangen i cloud-spørgsmål ret tæt.
Derudover er vi helt på linje. Distribution af datasæt til 2. og 3.parts lande er og bli’r en juridisk hård nød at knække i forbindelse med cloudtjenester, i hvert fald så længe ip-adresser og mailadresser regnes for personhenførbar (og personidentificérbar) information.
Tænk fx på alle de virksomheder, der anvender Google Analytics. Hér gemmes ip-adresser og besøgsadfærd jo på kryds og tværs af Googles serverparker i en lang række forskellige lande. Og opt-in/opt-out-diskussionen, vi havde sidste år, addresserer jo kun en flig af den generelle problemstilling, som jeg ser det.
Alt godt,
Kasper
Der findes jfr. mit kendskab datacentre i EU der er frigjort fra The Patriot Act eller andre i cloudregi “generende emner”. Disse har desuden ofte et hav af både IaaS, PaaS og SaaS offerings.
En fokusering på dataklassifikation kombineret med en cloudbaseret sikkerhedsløsning (der understøtter audit) og en fiksering af det pågældende opbevaringsområde, vil logisk set hæve det nuværende niveau betydeligt, da en praktisk udnyttelse af f.eks. mailsystemer jo i forvejen afføder at content heunder attachments er spredt over både forskellige mailsystemer, landegrænser og forskellige governance strukturer og discipliner. Hvor er sikkerheden lige i det for nuværende?
Forudsat man ikke via regulativer og EU pres kan undgå at data kan hentes af 3. mand, kunne en strategi være at placere data i et sådant datacenter og forsøge sig med en fiksering af dokumentområdet fra den enkelte service f.eks. Office365 eller SaaS udbyder i.e. Google. Al kommunikation fra det pågældende delingsområde ville så skulle enforces, helst teknisk men alternativt via processer, til at skulle ske via links / workflows. Dette kombineres så af en audit mekanisme placeret i det pågældende datacenter.
På den måde udnytter vi den hybride Cloud og henter lidt igen på fleksibilitetskontoen samtidig med at det reelle sikkerhedsniveau hæves.
Jeg synes det er en rigtig interessant og valid dialog i artiklen og i kommentarerne, og som ansat i VMware og deltager på VMworld vil jeg ydmygt give et par input til diskussionen
Når jeg læser artiklen og kender vores holdninger så er VMwares budskab i ovenstående og generelt, at man skal være opmærksomme på, hvilken public cloud leverandør man vælger dvs. leverandørens ophav og hvor de gemmer data og om data kan flyttes til andre lande uden kundens viden.
Dette kan for nogle virksomheder være ligegyldigt og for andre være meget vigtigt pga. personfølsomme data.
Det er dette budskab vi gav på VMworld og som jeg læser er gengivet i artiklen, hvor vi ser udfordringen være at man uden egen vidende kan risikere at data kan flyttes fra eks. Europa til USA og derved pludselig være omfattet af Patriot Act. Det er som jeg ser det udelukkende derfor mine kollegaer anbefaler i en bred vending at vælge en europæisk leverandør, så kan man være sikker på at data er i Europa.
Håber dette giver et bedre billede af vores budskaber og anbefalinger og at vi ikke har forsøgt at promovere egeninteresser ved at nævne Patriot Act, men istedet hjælpe med nogle gode råd og erfaringer
… og til information så leverer VMware også masser af virtualiserings software til mere end 2.000 service providers over hele verden der leverer public cloud tjenester lokalt og internationalt, og vi ser derfor de fleste mellemstore og større virksomheder fremadrettet vil have både private, hybrid og public cloud løsninger og derved få det bedste fra alle verdener.
Pingback: Kommentar fra WmWare | Server-Cloud -- om cloud-computing og servere
Kære Peter Klint!
Du skal have mange tak for din deltagelse i debatten. Jeg har tilladt mig at videredele på server-cloud.dk, her:
http://server-cloud.dk/kommentar-fra-wmware
Derduover tænker jeg, at du og jeg måske på et tidspunkt skulle stikke hovederne sammen til den obligatoriske faglige kaffe?
Alt godt,
Kasper
Pingback: Nyt fra cloudtjenesten PHP Fog | Server-Cloud -- om cloud-computing og servere
Pingback: Kampen om clouden & mediernes værdifødekæde | Server-Cloud -- om cloud-computing og servere