Digital suverænitet er på få år rykket fra bekymring over leverandør-prispres til at være en ekstrem varm politisk kartoffel der konkretiserer Danmark og Europas anstrenge forhold til USA.
Indtil videre drives eventuelle politiske forandringer dog primært fra EU og vi har endnu til gode at se større danske politiske initiativer.
Men spørgsmålet er om ikke virksomheder og organisationer på egen hånd så småt er ved at tilpasse deres teknologiske setup til en ny og mere usikker tid - og det med praktiske værktøjer inden for risikovurdering, sikkerhed og teknologi.
Senest har professor Jan Damsgaard fra CBS i sin bog "Digital suverænitet" udgivet et værktøj som lader organisationer score omfanget af deres afhængighed.
For nyligt udgav den tyske sikkerhedsmyndighed BSI så et kriteriekatalog, der kan bruges til at vurdere brugen af en cloud-tjenester i forhold til ens ønske om digital selvstændighed.
Dokumentet hedder "Criteria enabling Cloud Computing Autonomy", hos BSI forkortet C3A.
Du kan læse mere om dokumentet og hente det på engelsk hos BSI her.
BSI beskriver selv kataloget som et vejledende framework. De understreget at der ikek er tale om nogen form for regulering, men skal skabe gennemsigtighed og give cloud-kunder et grundlag for risikobaserede beslutninger.
Fem områder du bør holde øje med
Fem områder er særligt relevante, og især de første nok ikke så overraskende:
For det første skal leverandøren kunne dokumentere jurisdiktion, hovedkontor og reel kontrol. Det betyder, at datacenterets placering ikke er nok. Ejerskab og governance bør indgå i vurderingen.
For det andet skal kunden kunne se, hvor kundedata, kontodata og afledte data lagres og behandles. BSI lægger samtidig vægt på ekstern nøglehåndtering, så kunden kan styre krypteringsnøgler uden for leverandørens cloud-miljø.
For det tredje handler suverænitet om drift. Kataloget går tæt på, hvem der må have fysisk eller logisk adgang til infrastrukturen, hvor administrativ adgang kommer fra, og hvor Security Operations Center-funktioner drives.
For det fjerde opstiller BSI krav om såkaldt disconnect. Leverandøren skal kunne afbryde forbindelser til aktører uden for EU uden at skade tilgængelighed, integritet og fortrolighed. Det gælder blandt andet opdateringer, dataudveksling, heartbeat-signaler og globale licensservere. Afkoblingen skal dokumenteres og testes mindst én gang om året.
For det femte bør leverandøren kunne dokumentere afhængigheder til software, hardware og eksterne cloud-tjenester.
BSI lægger op til, at cloud-leverandører kan bruge kriterierne til at dokumentere, hvilke krav de lever op til, og fremlægge dokumentation gennem audit.
Tilsvarende kan cloud-kunder bruge kataloget til at udvælge de kriterier, der er relevante for deres egen risikoprofil, og dermed definere et konkret grundniveau for cloud-suverenitet.
BSI skriver samtidig, at myndigheden senere vil offentliggøre yderligere information om, hvordan C3A-audits kan standardiseres.
