– For meg handler skytjenester om én ting... KONTROLL

NSMs fagdirektør Roar Thon kommenterer amerikansk dom.

– For meg handler skytjenester om én ting... KONTROLL
Et av de viktigste og sentrale spørsmål er om vi skal ha informasjonen vår i en nasjonal sky eller om vår nasjonale informasjon skal kunne transporteres og lagres utenfor landets grenser og av hvem, skriver fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet. Bilde:

KOMMENTAR: Informasjon som vi lagrer i skyen kan bli gjenstand for lovlig innsamling. Så er spørsmålet hva som er lovlig innsamling og i forhold til hvilke lover?

Når andre land endrer sine lover er det ikke sikkert at vi i Norge lenger har det samme syn på hva som er lovlig innsamling av informasjon, ei heller at det vil det tjene våre nasjonale interesser.

Jeg vil presisere at jeg skriver dette ut i fra et sikkerhetsfaglig ståsted, hvor fokus er å beskytte informasjon på en slik måte at utenforstående ikke får tilgang til den, uavhengig av politikk, økonomi eller andre faktorer. Informasjon som skal beskyttes … bør beskyttes!

Torsdag 31. juli ble ingen god dag, i hvert fall ikke sett med nord-amerikanske teknologiselskapers øyne. Det som skjedde på torsdag kan etter min mening indirekte skade tilliten til et større antall selskaper som de fleste av oss har et forhold til. I hvert fall om torsdagens dom i en amerikansk føderal domstol blir stående, og vi forstår konsekvensene og det prinsipielle ved dommen.

LES OGSÅ: Slik får USA data utlevert fra fremmede land

Roar Thon er fagdirektør i Nasjonal sikkerhetsmyndighet (NSM)
Roar Thon er fagdirektør i Nasjonal sikkerhetsmyndighet (NSM)

Slik jeg tolker det er dommen fortsatt ikke er rettskraftig, men den har nå vært behandlet i to rettsinstanser, og de som bryr seg om personvern og sikkerhet bør følge nøye med på hvor dette ender opp. Jeg er ganske sikker på at amerikanske teknologiselskaper skjelver litt i buksene og det med god grunn.

I det amerikanske rettssystemet har det pågått en sak som har sin bakgrunn i at amerikanske myndigheter utstedte en rettslig ordre hvor Microsoft ble beordret til å utlevere informasjon knyttet til en e-post konto. Denne ordren nektet Microsoft å etterkommer da den etterspurte informasjonen var lagret hos et Microsoft -eid og -kontrollert utenlandsk (sett med amerikanske øyne) datterselskap i Dublin, Irland. Med andre ord, informasjonen er lagret utenfor amerikansk territorium og ikke i USA.

Det handler ikke lenger om hvor informasjonen er lagret, men hvem som lagrer den for deg

La meg stoppe opp litt her og presisere enkelte momenter før jeg går nærmere inn på konsekvensene av dommen. La det være helt klart at det finnes en rekke avtaler mellom land som gjør det mulig å begjære straffeprosessuelle og andre rettslige skritt foretatt i et annet land. Men dette skjer da i en gjensidig dialog mellom landene og i avtalene tas det høyde for de ulike juridiske forskjellene som eksisterer fra land til land. «Mutual Legal Assistance Treaties» (MLAT) er betegnelsen som blir benyttet i den amerikanske dommen som jeg straks kommer tilbake til. Skulle normale prosedyrer følges, ville amerikanske myndigheter anmodet irske myndigheter om å utstede en utleveringsordre/ransakingsordre som ville ha fulgt krav og vilkår i henhold til irske lover.

konsekvensene etter fredagens dom er at den ser bort ifra allerede eksisterende avtaler og den utfordrer i praksis andre staters juridiske suverenitet i det digitale rom Jeg er ingen motstander av lov og rett, straffeprosess, eller internasjonale avtaler. Jeg har før min tid i NSM, selv anmodet om både pågripelser, ransaking og utlevering av informasjon og jeg har effektuert andres rettslige anmodninger om det samme. Jeg vet av egen erfaring hvor viktig det kan være å fremskaffe bevis eller informasjon som driver en etterforskning videre. Men konsekvensene etter fredagens dom er at den ser bort ifra allerede eksisterende avtaler og den utfordrer i praksis andre staters juridiske suverenitet i det digitale rom, om den ikke var utfordret nok allerede.

Fra amerikansk side argumenteres det med at det er en byrde å arbeide med andre lands myndigheter fordi det går for sakte og det tar opp mye ressurser. De tar seg retten til å gå utenom de allerede eksisterende prosesser. Dommen som falt på fredag snur om på tidligere prinsipper og praksis når det gjelder juridisk tilgang til digital informasjon. Dommen tar i realiteten ikke hensyn til HVOR informasjonen fysisk befinner seg, men HVILKEN nasjonalitet selskapet har som tilbyr tjenesten/lagrer informasjonen. Om selskapet er amerikansk, så mener man etter dommen, at amerikanske myndigheter kan forlange å få utlevert informasjon uavhengig av hvor informasjonen befinner seg i verden.

Microsoft har i to rettsinstanser blitt pålagt å utlevere informasjonen direkte til amerikanske myndigheter uavhengig av hva slags lover Microsoft er underlagt innenfor EU og i Irland. Microsoft har anket avgjørelsen og andre amerikanske selskaper sitter nok på gjerdet og venter i spenning. Det bør vi også gjøre her i Norge.

Et universelt problem med sikkerhet i skyen

Men denne saken handler egentlig ikke spesifikt om den amerikanske dommen på fredag. Saken er bare en god beskrivelse av hvilke utfordringer vi står ovenfor når vi virkelig skal begynne å diskutere det offentliges bruk av skytjenester. Hva slags løsninger skal staten velge når staten virkelig kommer til å flytte offentlig informasjon, helseinformasjon, personverninformasjon og annet ut i skyen? Hvor sikre kommer de løsningene til å bli? Det er ikke første gang jeg tar opp det temaet, men den amerikanske dommen endrer situasjonen for mange globale skytjenesteleverandører som allerede er leverandører av slike tjenester i Norge. Det gjør at det er relevant å ta problemstillingen opp på nytt.

De fleste av oss bruker skytjenester bevisst og ubevisst, og det er viktig å forstå at informasjonen som vi legger igjen i det digitale rom, kan bli gjenstand for lovlig innsamling. Men så er det sentrale spørsmål hva som er lovlig innsamling og i forhold til hvilke lover? Hva når et annet lands lover gir anledning til industrispionasje eller innhenting av andre årsaker enn rent strafferettslige. Det er ikke sikkert at Norge har det samme syn på hva som er lovlig innsamling av informasjon, ei heller at det vil tjene våre nasjonale interesser.

Jeg påstod i et tidligere blogginnlegg at sikkerhet i skyen ikke bare handler om at noen kan hacke seg inn for å hente ut informasjon, men også at andre med loven i hånd kan få utlevert din, kommunens, bedriftens og statens informasjon. Ikke fordi informasjonen befant seg i “skyen”, men på en server plassert på en annen stats territorium. Jeg påstod at dette var noe som vi burde ha et bevisst forhold til. Situasjonen kan gjennom dommen endre seg ytterligere og spørsmålet er hva som er mottiltakene?

Vi kan se på denne forenklede fremstillingen:

Informasjon i skyen FØR dommen

  • Norsk informasjon lagret i skyen + Skyen/lagringen befinner/skjer seg i et annet land = underlagt annet lands lovverk.

Tiltak for å beskytte informasjon på en bedre måte er å sørge for at informasjonen fysisk befinner seg innenfor nasjonal jurisdiksjon. Da blir formelen som følger:

  • Norsk informasjon lagret i skyen + Skyen/lagringen skjer/befinner seg i Norge = underlagt norsk lov.

Informasjon i skyen ETTER dommen

  • Norsk informasjon lagret i skyen + Skytjenestene leveres av et amerikansk selskap + lagringen skjer i et tredje land = Underlagt annet lands lovverk + amerikansk lovverk på grunn av tjenesteleverandør.

Eller

  • Norsk informasjon lagret i skyen + Skyen/lagringen skjer i Norge + men skytjenestene leveres av et amerikansk selskap = Underlagt norsk lov + amerikansk lovverk på grunn av amerikansk tjenesteleverandør.

Mottiltakene for å beskytte sin informasjon bedre er å fjerne en verdi fra formelen og legge til en annen verdi. Da blir regnestykket som følger:

  • Norsk informasjon lagret i skyen + Skyen/lagringen skjer/befinner seg i Norge + Norskeid skytjenesteleverandør = Underlagt norsk lov.

Bruk av skytjenester krever kontroll, kontroll og atter kontroll

Skyen åpner mange nye forretningsmuligheter. Små og store leverandører satser stort på å utvikle og posisjonere seg i det som allerede er blitt et stort globalt marked. Stadig nye løsninger tilbys i det kommersielle markedet til virksomheter og forbruker. Men i ly av dagens situasjon bør norske selskaper virkelig se mulighetene og gripe sjansen.

Bruken av skytjenester har mye positivt over seg og det kan være mye å hente når det gjelder effektivisering og ressursbruk. Vi kan sågar få bedre sikkerhet ved å bruke skyen fordi tjenester profesjonaliseres, men da bør vi unngå å skaffe oss unødvendige problemer ved å plassere våre verdier på steder eller hos leverandører som utfordrer hvem som skal ha tilgang til den informasjonen.

For meg handler skytjenestene om en ting. KONTROLL! – Kontroll over hvem som er leverandør, kontroll med hvem som har tilgang til data, kontroll med hvor informasjonen blir lagret, kontroll med hvordan informasjonen transporteres og sist og ikke minst, nasjonal kontroll over nasjonal informasjon. Det betyr ikke at det ikke finnes sikkerhetsutfordringer utover dette, men en god regel innen sikkerhetsarbeidet er å redusere risiko så mye som overhode mulig.

Jeg våger å påstå at et av de viktigste og sentrale spørsmål er om vi skal ha informasjonen vår i en nasjonal sky eller om vår nasjonale informasjon skal kunne transporteres og lagres utenfor landets grenser og av hvem? Uten nasjonal kontroll og -lagring er ikke skytjenester bare et spørsmål om teknologi og forretningsjus, men andre lands nasjonale lovgivning blir plutselig trusselfaktorer som påvirker vår mulighet til å beskytte informasjonen.

Proteksjonisme er kanskje ikke sett på som et positiv ord i mange kretser, men når det kommer til det offentliges beskyttelse av nasjonal informasjon og verdier er det kanskje et veldig positivt ord.

Det skyer til i vest, så det er bare å sette i gang her i nord.

Innlegget til fagdirektør Roar Thon er gjengitt med tillatelse og er tidligere publisert på Sikkerhetsbloggen til NSM.

Delta i debatten
Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

    Les også:

Les mer om: