Artikel top billede

(Foto: Marcus Spike)

Krigsreglens afløser er allerede forældet - det står skræmmende tydeligt efter russernes invasion af Ukraine

Klumme: Efter ændringer i reglerne, er argumentet for, at kritisk infrastruktur skal placeres i Danmark, at folk med adgang til data skal være under dansk jurisdiktion. Det kan paradoksalt nok komme til at udgøre en alvorlig trussel imod vores kritiske infrastruktur.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Den var tidligere kendt som Krigsreglen, men ved ændringen i 2018 skiftede den navn til Lokationskravet, stadig under databeskyttelsesloven.

Den har ikke noget med de juridiske udfordringer med fx. GDPR at gøre. Det er et spørgsmål om Rigets sikkerhed.

Data må ikke falde i fjendens hænder for misbrug eller ødelæggelse, og fra lovgivers sider vurderer man, at dette bedst sikres, hvis disse data opbevares inden for landets grænser.

I vejledningen udarbejdet til forståelse af ændringerne foretaget i 2018 står det specifik, at ændringerne er foretaget grundet den teknologiske udvikling.

Man erkender således, at et behov for at destruere data, så de ikke falder i de forkerte hænder, ikke forudsætter, at man fysisk har kontakt med de enheder, hvor de opbevares. Det er ikke nødvendigt at køre en magnet over floppy’en eller bruge en mukkert på serveren.

Ikke desto mindre vurderer man stadig, at sikkerhed og beskyttelse er afhængig af en placering inden for landets grænser.

Men er det virkelig det, eller opnår man præcis det modsatte?

Langt, langt væk

Et eksempel, der desværre er meget aktuelt: I Ukraine blev det hurtigt klart, at deres kritiske digitale infrastruktur var i overhængende fare, og både data og samfundskritiske systemer risikerede at blive taget som krigsbytte eller smadret af de russiske tropper.

Med såvel militærstrategiske konsekvenser som helt grundlæggende muligheder for opretholdelse af samfundets vigtigste funktioner og dermed ukrainernes overlevelse.

Datas fysiske placering i landet blev identificeret som det centrale problem, og verdenssamfundet satte sig i bevægelse.

Konkret ved at en af verdens største cloudleverandører iværksatte en operation, der involverede et enormt antal mobile lagerenheder, som blev tilsluttet ukrainske servere.

Data blev herefter overført og derpå transporteret ud af landet, hvor de blev uploadet til clouden. Adskillige petabytes data blev sikret.

61 sæt af regeringsdata blev dermed migreret, og matrikeldata og digitale kopier af vigtig kulturarv og artefakter blev flyttet videre til cloudbaserede servere.

Derudover fik Ukraines største forretningsbank – PrivatBank – hjælp til at fortsætte driften med en tilsvarende migration af data og understøttende systemer.

Operationen blev gennemført ud fra den klare erkendelse, at fysiske lokale servere er let identificerbare og dermed sårbare mål, og at den kritiske digitale infrastruktur måtte flyttes fra landet, krigen og de fjendtlige tropper til en placering, der dels var langt væk, men også svær at identificere grundet cloudens muligheder for hurtig relokation til alternative placeringer.

Stat vs. privat

Dermed fulgte den ukrainske regering i sporene på private virksomheder i hele verden, hvor en fast bestanddel af enhver god disaster recovery-strategi er, at man ikke alene opbevarer data lokalt, men samtidig på flere lokationer med geografisk adskillelse

Det er dog tilsyneladende ikke en strategi, som man anerkender på statsniveau i Danmark.

Man arbejder naturligvis med alternative placeringer, men givet formuleringen skal det altså fortsat være inden for landets grænser.

Så tilbage til spørgsmålet: Hvad hvis landet er under angreb?

Realiteten er, at brutal krigsførelse på skræmmende vis er rykket ind i vores baghave, og med en irrationel og skruppelløs diktator med fingeren på den røde knap er spørgsmålet derfor alarmerende aktuelt.

Sprængningen af gasledningen lige på kanten af vores maritime grænse i Østersøen understreger, at scenariet ikke er en urealistisk dommedagsprofeti, og at vores fysiske infrastruktur er et nemt offer: Er det lokalt, og er det fysisk, er det sårbart.

Vi kan naturligvis ikke flytte vores gasledninger og kloakker til cloud, men vores kritiske data og de systemer, der udgør vores kritiske digitale infrastruktur, som er essentielle for at Danmark overhovedet kan fungere, skal beskyttes maksimalt.

Og modsat hvad Lokationskravet skulle sikre, sker dette ikke med en lokal placering inden for rigets grænser.

Snarere tværtimod: En lokal fysisk placering blotter vores samfundskritiske infrastruktur og i tilfælde af angreb eller ligefrem fremmede tropper på dansk jord, er det en fatal trussel mod både landet og indbyggernes liv.

Det er tid til endnu en opdatering. 2018 var en anden tid og den teknologiske opdatering som førte til indførslen af Lokationsbestemmelsen bør revurderes!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.