Stort galleri:Tag med til kåringen af Årets CIO 2021 - og se hvordan Morten Holm Christiansen blev udnævnt

Artikel top billede

Mark Ryland er CISO hos AWS. Foto: Computer Sweden

AWS-krypteringsspecialist: Sådan beskytter vi dine data mod amerikansk lov, der giver mulighed for at kigge i dine data

Amerikanske myndigheder kan med den såkaldte Cloud Act i hånden nemmere forlange data fra amerikanske cloud-leverandørers kunder udleveret - også selv om de er omfattet af GDPR. Men det vil de ikke få meget ud af, siger svensk AWS-ekspert.

Du håndterer masser af forretningskritiske data og personfølsomme data i din virksomheds systemer til daglig.

Og du passer rigtig godt på dem, for de er både afgørende for virksomhedens overlevelse - og så er de også omfattet af GDPR og mulige kæmpebøder, hvis de bliver kompromitteret.

Den situation er hverdag for it-ansvarlige i masser af danske virksomheder.

Men mange af dem benytter også en cloud-løsning til lagring af data leveret af en af de amerikanske giganter som Microsoft og AWS.

Netop disse og alle andre amerikansk-ejede cloudleverandører har siden marts i år været omfattet af den såkaldte Cloud Act.

Den kan i visse tilfælde give amerikanske myndigheder adgang til data lagret i amerikansk-ejede datacentre, uanset hvor de er placeret, og uanset om data er omfattet af GDPR.

Cloud Act gælder altså også amerikanske datacentre i Amsterdam, Luleå og Viborg.

AWS: Ingen grund til bekymring

Men der er ingen grund til bekymring, siger Mark Ryland, der er chief information security officer hos Amazon Web Services (AWS) til Computerworlds svenske søstermedie, Computer Sweden.

Ifølge Mark Ryland har AWS allerede sikkerheds-og krypteringsløsninger på sine platforme, som gør det umuligt også for AWS at se de data, som kunderne har liggende på AWS’ servere.

“De tekniske funktioner på vores platforme giver enormt god integritet for vores kunder, Man kan arbejde med nøglehåndteringen i cloudtjenesten S3 på en måde, så selv om vi skulle få en ordre om at udlevere data af en myndighed, så kan vi kun udlevere krypterede data. Vi kan altså ved at arbejde omhyggeligt med disse tjenester beskytte kundernes data uanset eksempelvis Cloud Act”, siger Mark Ryland.

Han fortæller, at krypteringsløsningerne hele tiden udvikles.

For eksempel krævede den kontroversielle amerikanske finansgigant Goldman Sachs en funktion, hvor banken fik sin egen hovednøgle til krypteringen, og at hovednøglen derfor blev fjernet fra AWS’ eget nøglehåndteringssystem.

Beskytter både kunder og AWS

“Det gav Goldman Sachs en følelse af 100 procents kontrol og var afgørende for bankens migrering til en cloudløsning. Hvis du ser på vores nye Nitro-platform og den nye EC2-arkitektur, så er det bogstavelig talt umuligt for os at læse vores kunders data. På den måde beskytter vi os selv, hvis ondsindede aktører skulle finde på at bruge vores platforme, men det gør også, at de kunder, som bruger platformen, får reel intregritet”, siger Mark Ryland.

Også det danske Aula-system, som er afløseren for Skoleintra og indeholder meget store mængder personfølsomme oplysninger, bliver driftet hos AWS. Chefkonsulent Frank Stjerne, som er specialist i it-drift i KOMBIT, siger 10. september i en pressemeddelelse på aula.dk:

“De data, der ligger i Aula er sikre. Data er krypterede fra det øjeblik de bliver afleveret til Aula, når de transmitteres, og når de lagres i Aula og helt frem til brugerens web-browser eller Aula-appen. Nøglerne til krypteringen er gemt i Danmark under lås og slå, og ingen uvedkommende – end ikke Amazon AWS – vil kunne læse de data, som er gemt i Aula”.

Læs også:

Hele industrien holder øje med Amazon Web Services i piskende innovations-tempo: Her rykker selskabet for alvor




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
Kæmpe it-problemer i det danske skattevæsen: Har kun kortlagt it-beredskabet for syv ud af 230 it-systemer
Statsrevisorerne skyder en sønderlæmmende kritik af Skatteministeriets it-beredskab af sted. It-beredskabet for kritiske forretningsprocesser "er utilfredsstillende og utilstrækkeligt," lyder det. I værste fald kan det ende med, at staten ikke kan opkræve skatter og afgifter, udbetale løn, SU, sociale ydelser og pension.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
Undgå nedbrud når der kommer opdateringer til din Dynamics 365
Hyppige opdateringer af din Dynamics 365 sikrer hurtig adgang til nyeste funktioner og opdateringer. Men metoden rummer også risici. Læs her, hvordan du minimerer dem.