Microsoft: Sådan skal cloud-sikkerhed skrues ordentligt sammen

Klumme: Debatten om balancering af privacy og sikkerhed på nettet er vigtig og aktuel, men de uheldige sager om datalæk har givet cloud computing dårligt omdømme. Det er ikke fair.

I en tidligere klumme skrev jeg om fire bærende og ufravigelige principper, som Microsoft opererer under.

Vores principper er ikke nye ej heller groundbreaking. Men i kølvandet på den generelle bekymring omkring internetsikkerhed har de stor værdi for os som virksomhed.

Disse ufravigelige principper er ikke alene fundamentet for en succesfuld forretning, de er også med til at sikre et demokratisk samfund som vores. Særligt princippet om retten til privatlivsbeskyttelse fortjener stor opmærksomhed i øjeblikket - fra borgere såvel som myndigheder og virksomheder.

Retten til privatliv er en menneskeret
Vi starter med det helt fundamentale.

I artikel 17 i verdenserklæringen om menneskerettigheder er retten til privatliv beskrevet som en grundlæggende rettighed. I den europæiske menneskerettighedsdeklaration definerer vi så et par omstændigheder, som kan retfærdiggøre at retten krænkes, herunder hensynet til landets sikkerhed, offentlig tryghed m.m.

Når vi definerer privatlivet som en grundlæggende ret, styrker det tilliden og trygheden blandt mennesker. Når vi samtidig definerer et par undtagelser, sker det for også at sikre, at vi som samfund har regler, der gælder i de tilfælde, hvor den samlede tryghed/sikkerhed i en nation, er i konflikt med den enkeltes ret til privatliv.

Som borgere nyder vi alle godt af disse principper og regler. Vi har generelt stor tillid til, at myndighederne udelukkende bringer undtagelserne i spil, når det er tvingende nødvendigt - og at dette kun sker efter en grundig juridisk proces.

På den måde ved vi, at samfundet forbliver trygt og godt; vi har tillid til samfundet. Og alt dette lyder jo herligt - men desværre ser vi også, at denne præmis er under pres.

Pres på princippet om retten til privatliv
Gennem mere end 20 år har internettet været i konstant vækst, og i dag er hovedparten af de tilbud og tjenester, vi som borgere, virksomheder og myndigheder anvender, baseret på én eller anden form for internetteknologi.

Desværre har vi set en række sager, hvor retten til privatliv og lovgivningen om behandling af vore personlige data er blevet krænket.

Dette er sket som følge af simple kriminelle handlinger (tys tys kilden), det er også sket i tilfælde af avanceret hacking (CSC-sagen), det er sket ved ubetænksom omgang med data (Integrationsministeriets "smutter") og desværre har vi også grund til at formode, at der har været tilfælde af statsstøttet hacking eller anden form for spionage og/eller overvågning.

I kølvandet på disse bekymrende sager ser vi i disse dage diskussionen om, hvorvidt man kan/skal slække yderligere på princippet om retten til privatliv.

Her mener nogle, at vi som samfund ikke kan sikre os godt nok, hvis vi fastholder de eksisterende principper. Emnet fylder endnu ikke så meget i den brede politiske debat, men enkelte politikere synes dog at mene, at man rent politisk måske er gået for langt i forhold til at bøje princippet om retten til privatliv.

En debat, som Microsoft hilser meget velkommen!

For selvom der umiddelbart kan syntes at være nogenlunde enighed om at fastholde princippet om retten til privatliv, så skal der oftest kampagner til som fx Forbrugerrådets 'Hvis din bagerjomfru var en app!', før det bliver tydeligt for den enkelte, hvor vigtigt et princip vi kan være i færd med at give køb på, og derfor overses effekten i jagten på at vise handlekraft, når det gælder vores digitale sikkerhed.

Cloud computing og princippet om retten til privatliv
For organisationer verden over - virksomheder, regeringer og NGO'er - er specielt brugen af cloud computing blevet en essentiel del af it-strategien.

Selv EU har set potentialet i cloud og adgangen til nærmest ubegrænset kapacitet for lagring og databehandling, ligesom de har set fordelene i frigørelsen af ressourcer fra vedligehold, indkøb, opgradering etc., når man kun betaler for den kapacitet, man reelt forbruger.

Desværre er der stadig en opfattelse af, at man ikke længere kan sikre retten til privatliv, når man ønsker at nyde godt af fordelene ved cloud computing.

Men dette er en stor misforståelse.

Når man gør brug af cloud computing-løsninger, opnår man som udgangspunkt hverken mere eller mindre privatlivsbeskyttelse. Man skal derimod overveje, hvilke principper der ligger bag en løsningen - og tænke over, hvordan man som bruger/kunde/borger sikrer sig, at disse principper efterleves.

Det bør altid være et kerneprincip at bygge løsningen med udgangspunkt i bedst mulig indbygget sikkerhed (security by design) og konstant at forbedre samme.

Ligeså bør det være helt naturligt, at netop privatlivsbeskyttelsen er tænkt ind fra starten (privacy by design), ligesom det er essentielt at sikre en løbende revision af principperne bag (compliance & transparens).

Hos Microsoft prioriterer vi disse grundprincipper meget højt i alle vores løsninger, og vi arbejder stålsat på at sikre princippernes udbredelse, kvalitet og tyngde både nationalt og internationalt.

Vi ser nu, hvordan både analytikere og branchen som sådan er nået til en konsensus om, at cloud computing i mange tilfælde sikrer et højere sikkerhedsniveau sammenlignet med de mere traditionelle løsninger. Dette er en positiv udvikling - selvom man altid bør vælge sin leverandør med omhu.

Kan man behandle personfølsomme data i cloud?
Det korte svar er ja. Det er dog underordnet, hvorvidt man bruger cloud eller ej - det handler netop om principperne og leverandøren bag.

I slutningen af 2014 etablerede den internationale standardiseringsorganisation (ISO) den første specifikke cloud privacy-standard (ISO27018), og i starten af 2015 kunne Microsoft annoncere, at vi har implementeret alle kontrollerne i standarden til fulde.

Ud over de kontraktlige forpligtelser, som er standard for vores cloud-løsninger (såsom EU Model Clause og den danske sikkerhedsbekendtgørelse), så baserer vi vores cloud-leverancer på følgende principper:
  • Dine data bruges ikke til reklameformål
  • Microsoft vogter over dine data og anvender dem udelukkende til de formål, som er nødvendige for de tjenester, du bruger
  • Hvis en myndighed kontakter os med henblik på at få adgang til kundedata, sender vi forespørgslen videre til dig. Vi gør altid indsigelser ad rettens vej, hvis kravet er ugyldigt eller hvis vi forbydes at offentliggøre informationer om anmodningen
  • Vi stiller vidtrækkende kontroller til rådighed, så du selv kan styre beskyttelsen af personlige oplysninger - herunder hvem i organisationen der har adgang til data, og hvilke data de har adgang til
  • Vi offentliggør antallet af anmodninger fra ordensmagten via vores gennemsigtighedsrapporter.
  • Og skulle du beslutte at forlade os, kan du naturligvis tage dine data med dig
Vi mener, at disse principper bør være grundlaget for enhver cloud-leverance.

Hvis vi alle kan blive enige om dette grundlag, så er der kun én ejer af dine data - og det er dig.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Er Huawei truet på livet? Her er konsekvenserne af Google-forbud og amerikansk modstand
ComputerViews: Huawei indkasserer flere voldsomme bredsider fra blandt andre den amerikanske stat og Google. Den kinesiske tech-gigant er dog ikke sendt til tælling - endnu. Se her, hvad der kan komme til at ske.
Computerworld
Google blokerer med omgående virkning for Huaweis brug af Android-licenser - se hvad det kommer til at betyde for dig
Google begrænser med omgående virkning kinesiske Huaweis brug af Android. Huawei vil ikke længere have adgang til tjenester fra Google.
CIO
Danske Joachim Ærtebjerg er med i toppen som CTO for Intel i EMEA - hør hans bud på it-udviklingen efter 25 år hos processor-giganten
Tech fra Toppen: Danske Joachim Ærtebjerg har arbejdet for Intel siden de lancerede Pentium-processoren i midten af 90´erne. I dag er han CTO for EMEA-området - og giver her sit bud på it-udviklingen.
Job & Karriere
"Vi var fem mennesker, der fik 400 millioner kroner, et lokale på 12 m2 og et stempel fra Undervisningsministeriet. Det kalder jeg mit første start-up. Det blev til IT-Universitetet. "
"Da jeg var færdig med PhD´en så var vi fem mennesker, der fik 400 millioner kroner, et lokale på 12 m2 og et stempel fra Undervisningsministeriet. Så skulle vi bare have et nyt universitet op og køre på seks måneder. Det kalder jeg mit første start-up. Det blev til IT-Universitetet."
White paper
Spændende undersøgelse: Her ligger forretningsværdien i print-sikkerhed
En undersøgelse fra IDC viser, at der for virksomheder er en solid business case i at prioritere sikkerhed på print, og ethvert it-initiativ der kan nedbringe omkostninger, er attraktivt for ledere. I undersøgelsen har IDC lavet dybdegående interviews med 16 organisationer, som bruger en entreprise printerløsning, og disse interviews viser at der ligger stor forretningsværdi i denne løsning. Organisationerne blev bedt om at beskrive forskellen på ”før” og ”efter” og det viser sig, at de har opnået et mere sikkert print-miljø, samtidig med at der spares både penge og tid.