BLOG: Datatilsynets afvisning af Odense Kommunes brug af Google Apps betyder tilsyneladende, at det bliver meget vanskeligt at bruge cloud computing i Danmark fremover.
Men udgangspunktet for afgørelsen, at der er forøget risiko forbundet med cloud computing, er forkert. Så hvad skal der ske i praksis, og hvordan kommer vi videre?
Meget omfattende krav lige nu, men kun på kort sigt Afgørelsen stiller meget store krav til danske virksomheder og myndigheder, der ønsker at benytte en cloud løsning. Se f.eks. Jesper Langemarks fra Bender von Haller Dragsted checkliste i hans gennemgang af Datatilsynets udtalelse. Det vil dog kun være på kort sigt, som beskrevet nedenfor.
Afgørelsen forskelsbehandler cloud computing I nogle af mine efterfølgende blog indlæg vil jeg gennemgå en række af de specifikke punkter som Datatilsynet nævner i udtalelsen, bl.a. ENISA's dokument, som Datatilsynet anbefaler man benytter til risikovurderingen. Men først et par generelle kommentarer omkring cloud computing:
Ikke noget mystisk ved cloud - og vurderinger kan genbruges Der er ikke noget mystisk ved cloud computing, det er grundliggende bare enorme mængder it-systemer i kæmpe datacentre, og hvis man benytter standard outsourcing er man allerede i dag i et "multi-tennant, distributed environment".
Men i de traditionelle outsourcing-løsninger arbejder navngivne personer direkte på de specifikke kunder-systemer, som de er ansvarlige for. Dermed er der en række procedurer og specifikke opgaver, der kan og skal revideres. Men i cloud-løsninger er dette helt anderledes.
Rigtige cloud løsninger er standardiserede og langt de fleste arbejdsopgaver er fuldt automatiserede, det er ikke udsædvanligt med én administrator for 10-, 20- eller 30.000 fysiske maskiner (for Google endnu flere). Det giver derfor ikke mening at reviderer alle cloud-kundernes systemer individuelt i cloud datacenterne. Google laver for eksempel ikke noget anderledes i et cloud datacenter i forhold til et andet datacenter, uanset om serverne er placeret i et andet land. Alle arbejdsopgaver er standardiserede og automatiserede.
1000 identiske vurdringer? Når cloud-løsninger er så standardiserede betyder det også, at når først én organisation har vurderet en løsning vil de efterfølgende vurderinger selvfølgelig komme frem til det samme resultat, så længe vurderingen er god nok. Hvis 1000 danske myndigheder og virksomheder benytter en standardiseret cloud-løsning giver det ikke mening at de alle skal belaste Datatilsynet med dokumentation for, at de krævede sikkerhedsforanstaltninger overholdes af databehandleren. Alle 1000 skulle jo dokumentere nøjagtigt det samme, fordi alt er standardiseret og automatiseret i cloud-løsningen.
Spild af tid og penge Af samme grund er det spild af tid og penge hvis hver enkelt myndighed og hvert enkelte private virksomhed skal gentage de samme detaljerede risikovurderinger igen og igen. Så en gennemgang som den Datatilsynet ligger op til i udtalelsen får bare ting til at ske langsommere - uden at forbedre sikkerheden for vores persondata.
Derfor kan det kun være første gang en cloud-løsning vurderes, at der skal foretages en dyb teknisk vurdering med dokumentation for Datatilsynet. Dvs, når brugen af Google Apps først er godkendt, må enhver identisk brug af løsningerne efterfølgende selvfølgelig også kunne godkendes ved bare at referer til godkendelsen.
Hvad er løsningen Det er naturligvis utroligt vigtigt, at vores persondata er beskyttet, også i cloud-løsninger. Men Datatilsynets udtalelse, som den står lige nu forskelsbehandler cloud computing i forhold til almindelig outsourcing.
Selvom der ikke er forøget risiko forbundet med cloud computing må de første kunder, der benytter en anden specifik cloud-løsning, som det ser ud lige nu, samarbejde med cloud-leverandøren om at dokumentere Datatilsynets mange krav, se igen Bender von Haller Dragsteds checkliste. Men det må også være muligt for kunderne at læne sig op ad andre vurderinger.
Ny dansk cloud organisation Der skal derfor hurtigst muligt etableres en dansk organisation til at vurdere og "certificerer" cloud-leverandører og cloud-produkter igennem en standardiseret tilgang. Vurderingen skal naturligvis foretages for alle cloud-løsninger, også hvor der ikke behandles persondata.
Datatilsynet får derfor en vigtig rolle i at give input til organisationen til de sikkerhedskrav cloud-leverandøren og kunden skal opfylde, ligesom Datatilsynet naturligvis fortsat skal vurderer de specifikke områder i cloud-løsninger, der ikke er standardiserede.
Ved at ligge vurderingsarbejdet i en specialiseret cloud-organisation kan alle cloud-løsningerne vurderes ud fra de samme kriterier - væsentligt bedre end en enkeltstående kunde kan. Den betyder, at en cloud-leverandør formelt kan forhåndsgodkendes af organisationen én gang fra centralt hold, hvorefter alle offentlige myndigheder og virksomheder kan benytte tjenesten, uden at skulle gentage den samme sikkerhedsgennemgang hver gang.
På den måde vil det i mange tilfælde også være muligt at etablerer en "forhåndsgodkendelse" eller forhåndsvurdering af specifikke cloud-løsninger som myndigheder og virksomheder ønsker at benytte eller udvikle.
tl; dr Det er meget vigtigt, at vores persondata er beskyttet, men cloud-løsninger er standardiserede og man kan nøjes med foretage en detaljeret vurdering af en fuldt standardiseret løsning én gang, så længe vurderingen er god nok.
Vi bør derfor oprette en dansk organisation til at vurdere cloud-løsningerne, det bør ske i samarbejde med de internationale projekter som CAMM.
Korrekt at cloud tilfører nogen funktionsværdier som vi bør se på at udnytte. at cloud som minimum har de samme sikkerhedsproblemer som outsourcing.
Men derefter bliver vuirderingerne farvet af interessen.
a) Cloud er softkey og kan ikke sikres. Der er ganske enkelt ingen teoretisk mulighed for at lave sikre cloud-systemer.
b) De største cloud-leverandører / services er direkte skabt for at udnytte de indbyggede bagdøre til data.
Specielt Google Apps/Gmail er det rene spyware, hvor virksomheder bløder konkurrenceevne og desideret forærer deres konkurrenter adgang til sensitive kundeinformation når Google videresælger viden om kundeprofilen til 3. part.
Din vurdering af odense-sagen overser efter min mening 3 forhold.
1) Datatilsynet er normalt så naive og vage i deres udtalelser at man må studse over at afvisningen af Odense er så klar som den er. De skriver eksplicit at Google "privacy Policy" er værdiløs.
2) Nøgternt er Odense-sagen at Kommunen sælger persondata til Googles misbrug mod at få billigere it-services. Men efter Kommunen ikke har nogen som helst ret hertil, så er det en klart umulig vej at gå.
3) Hvis man skulle bruge cloud i den offentlige sektor, så skal man redesigne applikationerne, så der ikke kommer persondata ind i cloud. Sikkehredsmæssigt kan man sammenligne det med at isolere modkørende trafik fra hinanden når man designer motorveje.
Konkret må cloud-leverandøren ikke kunne sammenkoble 2 transaktioner med den samme person/device.
Problemet i den konkrete sag er selvfølgelig at Google forretningsmodel bryder sammen, hvis de ikke må misbruge data eller applikationerne designes, så de forebygger mod Googles systematiske misbrug af persondata.
Så når Datatilsynet åbner døren på klem for Odense, så skyldes det dels at det Dansk Datatilsynet er internationalt kendt for altid at give efter for lobbyisternes og navnlig bureaukraternes pres, dels at man godt ved at formuleringen betyder at Odense aldrig kan få Google Apps godkendt fordi det ganske enkelt er uforeneligt med fundamentale retstatsprincipper.
Nu mangler vi så bare at se cloud-leverandørerne begynde at tage blot et minimum af ansvar.
Den første regel omkring clud er simpel - ingen person/device-henførbare data i cloud - det er hverken nødvendigt eller gavnligt. Derfra er det blot en designøvelse om hvordan man designer applikationer så de kan tåle at komme i cloud - det kan man hvis man tager sit ansvar alvorligt.
Jeg behøver ikke nævne, at man har arbejdet med cloud indenfor det offentlige i USA i flere år. Ellers vil en hurtig Google-søgning give masser af information. England har også arbejdet målrettet imod cloud computing i flere år og meddelte i januar, at man forventer 50% af alle offentlige IT-indkøb være indenfor cloud computing allerede i 2015. Men EU bevæger sig også hurtigt nu.
Cloud er det første rigtig store skifte siden internettet. Uanset om du du sælger software licenser eller sko i en fysisk butik, så kommer cloud computing snart til at påvirke dig.
Jeg er træt af, at vi ikke kommer videre. Hver eneste gang nogen næver "cloud computing" kommer der nøjagtigt de samme kommentarer som for flere år siden.
Jeg er særligt træt af de uendelige "Cloud ødelægger sikkerheden" indlæg, der ødelægger enhver relevant diskussion om cloud. Faktisk mener jeg som sikkerhedsmand, at det meste hypede ved cloud computing er, at "cloud er usikkert". Hvis bare man havde kaldt cloud computing for "self-service computing", så havde diskussionen været et helt andet sted i dag.
Carsten Jørgensen er bl.a. CISSP, CISA og CISM. Han har beskæftiget sig med sikkerhed på fuld tid siden 1999 og arbejder i dag som it-sikkerhedschef i Falck.
I sin fritid driver han hjemmesiderne CloudSecurity.dk og ComputerForensics.dk. Carsten er facilitator for Dansk-IT's kompetancenetværk for Cloud Computing og virtualisering, han underviser i it-sikkerhed på DIKU.
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Log ind
Publiceret d. 10. februar 2011 kl. 15.24
| 
