Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Indsættelsen af Trump som USA’s præsident har for alvor genåbnet debatten om datasuverænitet.
Trumps administration har signaleret, at amerikanske interesser går forud for internationale aftaler – og præsidenten selv har ovenikøbet udtalt, at man ikke nødvendigvis hverken kan eller skal overholde Cloud Act, hvilket jo også gør, at EU-US Data Privacy Framework (DFP) heller ikke indeholder de nødvendige krav til compliance ved ord alene.
Den udtalelse satte himmel og hav i flammer. Virksomheder frygtede pludselig for deres datasikkerhed i skyen, og for eventuelle GDPR-brud trods alle gode intentioner.
Det har ført til et stort fokus fra de største hyperscales – Google, Amazon og Microsoft – som jo alle er amerikanske, til at forsvare deres position og databeskyttelse.
Som it-chef eller CIO står man derfor over for et centralt spørgsmål, når nu signifikante del at både infrastruktur og andre kritiske workloads ligger hos dem, og hvor man realistisk set ikke kan udskyde dem indenfor de næste 10 år: Kan vi trygt gemme data i amerikanske cloud-tjenester, eller skal vi rette kikkerten mod europæiske løsninger?
Det er en meget relevant og rimelig overvejelse, men jeg vil vove den påstand, at intet har forandret sig – i hvert fald ikke, hvis du har styr på dine cloud-data.
Cloud Act & DPF: Ny lov – gammel adgang
Der har været megen postyr om den amerikanske Cloud Act (Clarifying Lawful Overseas Use of Data Act) fra 2018 og den efterfølgende DPF fra 2023.
Lovens formål var at præcisere, at amerikanske myndigheder kunne kræve data udleveret fra amerikanske virksomheder, selv hvis data ligger på servere uden for USA (US Cloud Act: Threat for European Data Protection).
Med andre ord: Den teoretiske mulighed for amerikansk adgang til data har været der hele tiden - også før Trump.
Kombinationen af Cloud Act og en politisk ledelse i USA, der tilsyneladende er villig til at tilsidesætte aftaler og måske ser et større behov for at tilgå europæiske data, skaber usikkerhed hos mange europæiske virksomheder.
Vi har set EU’s domstol underkende Privacy Shield-aftalen (Schrems II), netop fordi amerikansk lov (inklusive Cloud Act og overvågningslove) underminerer EU-borgeres databeskyttelse.
Og Trumps holdning forstærker kun usikkerheden, da han med et pennestrøg kan rulle sikkerhedsforanstaltninger tilbage og potentielt udvide amerikansk adgang til udenlandsk data.
Som CIO bør man derfor tage debatten om datasuverænitet alvorligt, men spare panikken. Med de rette værktøjer kan du beskytte data – også I hyperscale-miljøer, for selvom truslen om amerikansk data-adgang lurer i baghovedet, giver de store cloud-udbydere faktisk værktøjerne til selv at beskytte data fuldt ud.
Nøglen ligger i at udnytte følgende muligheder som den af en samlet sikring af dine data:
• Kryptering med egne nøgler: Ved at kryptere data, både i transit og i hvile, og selv styre krypteringsnøglerne, kan virksomheden sikre, at cloud-udbyderen ikke har nøglen til at dekryptere data, idet den er placeret et sikkert sted udenfor hyperscaleren.
Selv hvis en amerikansk myndighed banker på hos Microsoft, Google eller Amazon, vil de kun få uforståeligt krypteret indhold, så længe udbyderen ikke har adgang til nøglerne.
• Geo-lokation og dataplacering: De fleste cloud-tjenester lader jer vælge, hvilket land eller datacenter-region jeres data fysisk gemmes i. Benyt jer af den mulighed og placer følsomme data i europæiske eller danske datacentre.
• Adgangsstyring og overvågning: Implementér strenge adgangskontroller, logning og overvågning af al dataadgang i skyen.
Cloud-udbydere tilbyder som avanceret identitetsstyring (IAM) og overvågning af unormal adfærd. På den måde opdager I hurtigt, hvis der er uautoriserede adgangsforsøg – uanset om de kommer udefra eller indefra.
Kort sagt kan man med de rigtige tiltag opnå, at data i skyen er lige så sikkert – eller endda mere sikkert – end on-premise.
Teknologier som avanceret kryptering, nøglestyring og Zero Trust-arkitektur betyder, at selv hvis data ligger i en amerikanskejet sky, har hverken cloud-udbyderen eller fremmede myndigheder praktisk mulighed for at læse med og det giver jo i sagens natur andre muligheder for disaster recovery når data ligger distribueret hos en hyperscaler med multiple fysiske lokationer - bare i Europa.
Hvad skal i skyen, og hvad skal forblive på jorden?
Et afgørende led i strategien er at vurdere, hvad der overhovedet bør placeres i skyen.
Ikke al data er lige velegnet til at flytte ud af husets fire vægge.
Som it-chef/CIO bør du og din organisation stille skarpt på dataklassificering: Hvilke data er forretningskritiske, fortrolige eller underlagt lovkrav – og hvilke er mindre følsomme?
Det gode lokale danske eksempel er systemer omfattet Lokationsbekendtgørelsen.
Samtidig bør man også tage højde for den driftsmæssige risiko.
Cloud giver fleksibilitet og skalerbarhed, men indførelsen af fremmede tredjeparter betyder også afhængighed. Udnyt skyen til det, den er bedst til – skalering, globale tjenester og innovation.
Omvendt set kan det at have sit data sikkert og krypteret i skyen også vare en garant for en sikkerhed, man ikke opnår med et on-premise datacenter i tilfælde af meget omfattende katastrofer – menneske eller naturskabte!
Datasuverænitet kræver mådehold, ikke panik
Ud fra den nuværende situation kan man konkludere, at Cloud Act og DFP samt amerikansk lovgivning ikke er en ny trussel, men en påmindelse om en eksisterende.
Trumps retorik og den generelle geopolitiske usikkerhed har gjort CIO’s opmærksomme på problemstillingen, hvilket i sig selv er positivt: Det tvinger os til at genoverveje, hvordan vi beskytter data, og hvor vi placerer dem.
Den rigtige tilgang er hverken naivt at ignorere risiciene eller at male fanden på væggen og kappe alle bånd til cloud-tjenester, det er ikke et realistisk scenarie for langt de fleste virksomheder.
I stedet handler det om mådehold og omtanke: Brug cloud, hvor det giver forretningsmæssig og brug sikkerhedsmekanismerne hvor det mening, men gør det med åbne øjne.
Stil krav sikkerhed og gennemsigtighed. Implementér de tekniske foranstaltninger, der holder jer i førersædet hvad angår databeskyttelse.
Bottom line for it-chefen: Intet regulatorisk lyn fra en klar himmel har fundamentalt ændret spillereglerne, men spillet om data kræver, at man kender reglerne og spiller sine kort klogt.
Med fornuftige valg om teknologi og datahåndtering kan I både høste cloudens fordele og bevare kontrollen over virksomhedens mest værdifulde aktiv: Data.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.