US-China Economic and Security Review Commission frykter kinesisk spionasje gjennom Microsofts skytjeneste Azure.

Frykter Kina-spionasje gjennom Azure

Amerikansk sikkerhetskommisjon advarer.

USA har en egen kommisjon, US-China Economic and Security Review Commission (USSC), for å overvåke hvordan amerikanske forbindelser med Kina innvirker på fedrelandets økonomi og sikkerhet.

Kommisjonen har nettopp levert sin årlige rapport til USAs nasjonalforsamling: 2013 Annual Report to Congress (pdf, 465 sider).

I rapporten framheves at Kinas satsing på nettskyen kan utgjøre en sikkerhetsrisiko for amerikanske brukere og tilbydere av nettskytjenester (se side 30 i rapporten).

Det vises spesielt til to forhold.

Det første gjelder utenlandske selskapers bruk av kinesiske nettskytjenester. Det andre gjelder en avtale mellom Microsoft og 21Vianet, en kinesisk tilbyder av skytjenester.

Egen sone for nettskyen
Et typisk trekk ved Kina er at det opprettes egne soner for å utvikle spesielle typer teknologi. Sør for Beijing er det for eksempel en sone viet solceller og batterier. Nettskyen har fått sin sone i Chongqing. Rapporten viser til «Chongqing Special Cloud Computing Zone».

Chongqing har over 30 millioner innbyggere. Den er en av fire kinesiske byer – de andre er Beijing, Shanghai og Tianjin – der myndighetene rapporterer direkte til regjeringen i Beijing. Det gir det sentrale sikkerhetsdepartementet nærmest fri adgang, ikke bare til alle data som brukerne oppbevarer i Chongkings nettskyer, men også til alt tilbyderne vet om sine kunder.

Rapporten viser til kinesiske lover, som gir myndighetene adgang til å «inspisere utstyr og instrumenter for elektronisk kommunikasjon og liknende utstyr og installasjoner» hos alle selskaper og organisasjoner som opererer i Kina.

USSC framhever faren dette innebærer. Samtidig står det at de ikke har konkrete eksempler på kyberspionasje eller andre former for overgrep knyttet til nettskyene i Chongqing.

Microsoft: Azure og Office 365
Kommisjonen mener avtalen som Microsoft har inngått med 21Vianet for å tilby Office 365 og Azure i Kina på sikt kan gi kinesiske myndigheter – les kyberspioner – tilgang til Microsofts datasentraler i andre land.

Det vises til en rapport Kommisjonen bestilte fra et privat amerikansk selskap, Defense Group Inc (DGI), med et eget senter for analyse og forskning av etterretningsinformasjon (Center for Intelligence Research and Analysis). Rapporten er fritt tilgjengelig: Red Cloud Rising: Cloud Computing in China (pdf, 59 sider). Det framgår av rapporten at Microsoft er alene blant store amerikanske IT-bedrifter om å planlegge å tilby nettskytjenester fra anlegg i Kina.

Kinesisk lov tvinger utenlandske selskaper som vil operere i landet å samarbeide med kinesiske partnere. Avtalen mellom 21Vianet og Microsoft går ut på at 21Vianet tilbyr Office 365 og Azure til kinesiske kunder, gjennom egne datasentraler. Avtalen tolkes dithen at det er, eller blir, en direkte forbindelse mellom datasentralene til 21Vianet og Microsoft. Det advares i DGI-rapporten at denne mistanken bygger på ufullstendig informasjon, og at avtalen mellom 21Vianet og Microsoft ikke er i drift ennå. Samtidig presiseres det at det ser ut som om meningen er å gjøre 21Vianet-sentralene «fullt integrert» i Microsofts globale nettsky, med forbindelser ikke bare til Microsoft-sentralene i Hongkong og Singapore, men også til sentralene i Europa og Amerika.

– Partnerskapet mellom Microsoft og 21Vianet utgjør en potensiell sikkerhetsrisiko for Windows Azure-brukere uten noen som helst forbindelse i Kina, heter det i DGI-rapporten.

Delvis dementi
I Bloombergs omtale av USSC-rapporten heter det at kommisjonen er i ferd med å distansere seg fra advarselen mot avtalen mellom 21Viasat og Microsoft.

USSC sier at de har mottatt ny informasjon og at de vil innhente opplysninger fra alle parter for å vurdere det gjør det nødvendig å endre på sine påstander.

Bloomberg sier de har mottatt en e-post fra Leigh Ann Ragland, en av forfatterne bak DGI-rapporten om nettskyer i Kina, der det heter at DGI mottatt feilaktig informasjon fra Microsoft om avtalen med 21Vianet og at dette kan få konsekvenser for formuleringer i både DGI-rapporten og USSC-rapporten. Hun står fast ved at ordningen uansett gir kinesiske myndigheter mulighet til å utnytte sikkerhetshull de måtte oppdage i for eksempel Azure.

En talsperson for Microsoft, Doug Hauger, avviser overfor Bloomberg at 21Vianet har tilgang til «tjenester og datasentraler drevet av Microsoft utenfor Kina». Hvordan en partner kan levere tjenester som Office 365 og Azure uten forbindelse til Microsofts datasentraler i andre land, forklares ikke.

Til toppen