I 2023 fikk USA en adekvansbeslutning fra EU-kommisjonen. Det ga grønt lys for bruk av amerikanske skytjenester, fordi USA på det tidspunktet ble vurdert til å tilby datavern på linje med GDPR.
Men dette er ingen evig garanti. Skulle den politiske vinden i DC skifte, eller om personvernet svekkes, kan beslutningen trekkes tilbake raskt – og da står europeiske selskaper i en ny virkelighet.
Tidligere i år advarte Tobias Judin fra Datatilsynet: Norske selskaper bør ha en exit-strategi klar dersom USA mister sitt GDPR-stempel. For realiteten er at hele IT-økosystemet til mange norske virksomheter er tett bundet til amerikanske leverandører, langt ut over lagring av filer.
_logo.svg.png){kind=logo}
Geopolitikk møter skystrategi
Europeiske selskaper begynner derfor å forberede seg på å kunne hoppe ut av de amerikanske skyene. Driverne er tydelige:
-
Regulatorisk risiko – særlig USAs Cloud Act, FISA702 og Executive Order (EO) 12333 som gir amerikanske myndigheter rett til å hente data selv når serverne står i Europa.
-
Digital suverenitet – ønsket om at europeiske data reguleres av europeiske lover, og ikke påvirkes av skiftende politiske vinder på andre siden av Atlanteren.
Dette har gitt grobunn for en boom av nasjonale skyløsninger. Norske aktører posisjonerer seg nå som «Norges sikreste skytjeneste» og lanserer plattformer spesielt rettet mot stat og kommune.
Microsofts motgrep
Selv Microsoft ser utviklingen. Med Microsoft 365 Local tilbyr de muligheten til å kjøre tjenester som Exchange og SharePoint på lokale datasentre eller i såkalte «sovereign private clouds».
Kunden får større kontroll over hvor data lagres og prosesseres, for å møte både lovkrav og politiske bekymringer.
Men er dette egentlig full suverenitet – eller bare et plaster på såret som fremdeles binder oss til et amerikansk økosystem?
For sikkerhetsfolk er ikke spørsmålet først og fremst «hvor ligger dataene», men «hvordan beskytter vi dem?».
I et helhetlig økosystem som M365 henger alt sammen: endepunkter, identiteter, e-post, Web applikasjon brannmur (WAF), apper og logger. Når alt sys sammen i Microsofts sin egen løsning, Sentinel, kan man lage meningsfulle alarmer og raskt reagere på trusler.
Skaper vi nye angrepsflater?
Men hva skjer når vi bryter dette opp i isolerte nasjonale løsninger?
-
Kan et hjemmedyrket e-postsystem integreres like godt med et europeisk endepunktvern?
-
Vil et SD-WAN-oppsett og virtuelle brannmurer gi samme oversikt som et globalt sensor-nettverk?
-
Og hvor mange nye angrepsflater skaper vi når vi må sy sammen flere leverandører uten det «limet» de amerikanske gigantene tilbyr?
Digital suverenitet er en viktig målsetning. Ingen ønsker at norske persondata skal bli kasteball i internasjonal geopolitikk. Men veien dit må ikke bare være politisk, den må også være teknologisk robust.
For spørsmålet vi til slutt må svare på, er dette:
Hvordan opprettholder vi like sterkt sikkerhetsnivå når vi forlater de amerikanske skyene?
Dansk Microsoft-exit: – Ser om vi kan tenke likt i Norge
