Month: April 2021

Stormfulle skyer

“Amerikanerene vedtok nettopp en lov som sa at myndighetene skal ha tilgang til all data fra alle amerikanske selskap, mens Schrems II-dommen gjør at det er ulovlig for selskap å gi info om europeere over landegrensene. Disse lovene er helt i kollisjon, men ingen vet hva de skal gjøre med det enda. Alle som bruker en skytjeneste eller en plattformtjeneste blir jo berørt av dette. Men ingen vet hva de skal gjøre!”

Omtrent dette ble sagt i lunsjen på onsdag. Og siden jeg er inne på dette med sky for tiden, så ble jeg litt ekstra nysgjerrig på hva som lå bak dette utsagnet.

Begrepsavklaring

Først litt kjapt om GDPR, Schrems II, og CLOUD act.

GDPR (General Data Protection Regulation) er den europeiske lovreguleringen rundt det å behandle og lagre informasjon om borgere av EU (og i forlengelsen EØS). Fra 20 juli 2018 er loven en del av norsk lovgiving. GDPR er omfattende og komplisert.

Schrems II er betegnelsen på en dom avsagt i EU-domstolen 16. juli 2020 som i korte ord etablerte at europeiske borgeres personvern ikke blir ivaretatt i USA på grunn av “de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking.” (som Datatilsynet formulerer det 16.07.2020).

CLOUD Act (“The Clarifying Lawful Overseas Use of Data Act“) er en amerikansk lovgiving som gjør justeringer til  Stored Communications Act (SCA) fra 1986. Denne loven gir amerikanske politimyndigheter anledning til å kreve lagret informasjon fra amerikanske teknologiselskap. Oppdateringen i Cloud Act er at dette gjelder uavhengig om serverene informasjonen er lagret på befinner seg i USA eller andre land.

Skytjenester og underleverandører

Forrige innlegg interoduserte jeg begrepet “Plattform som en Tjeneste”, eller PaaS som det oftere heter. En utfordring med slike plattformer er at veldig mange bruker Microsoft, Amazon eller Google. Amerikanske plattformer. Det betyr altså at selv om programvaren og alle applikasjoner er egne og selvutviklede for bedriften ikke har noe å si (angående dette). Under laget – i infrastrukturen, ligger alt lagret hos amerikanske selskap. Selskap som må utlevere data ved krav fra amerikanske myndigheter – uavhengig hvor serverene er.

Når det gjelder personvern er det fort de offentlige tjenestene mine tanker går til.

Offentlig-paas.no (som jeg altså er helt overivrig over å ha snublet over) hinter til at de fleste offentlige (selvutviklede) tjenestene bruker kubernetes. Og jeg skal være ærlig og si at jeg er på litt tynn is her (-kan du masse om kubernetes, gjerne ta kontakt og lær meg). Men dette er hva jeg forstår av kubernetes (etter å ha lest på kubernetes.io): Det er et open source verktøy som gjør deg uavhengig av plattform. Det vil si at du får en slags mellomting mellom IaaS og PaaS. Du får valgmulighetene og kontrollen til infrastrukturen som du ville hatt med IaaS, samtidig som du får en plattform du kan bygge programvare på (som ved PaaS). En slik “mellomløsning” blir som regel kalt CaaS (Container as a Service). Det virker (betryggende nok) som om mange av de offentlige tjenestene allerede fikler rundt med dette.

Fordi: dersom du har en tjeneste som er tungt integrert med Microsoft Azure (for eksempel), så er det ikke bare å “bytte”. Og bruker du amerikanske tjenester er det knapt mulig for dem å sikre at GDPR faktisk blir fulgt, uten at de bryter loven i sitt hjemland (ved å ikke samarbeide med politet). Altinn ligger på Microsoft Azure (altinndigital.no, 19.02.2021). I samme slengen nevnes det at “Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.”

“Å flytte hjem” – selv om det er noe jeg brenner for (hadde jeg jobbet i DigDir hadde jeg argumentert kraftig for at all norsk data skal befinne seg i Norge) – er vel strengt tatt ikke nødvendig, det er mange land i EU som er omfattet av de samme rammene som…. vel, EU. Det er særlig amerikanske tjenester som er i fokus i denne problemstillingen, og det er generelt flest amerikanske tjenester.

Hva blir konsekvensene for meg?

Ryktebørsen går, og det er de som tror denne dommen er slutten på skytjenester. “On prem”-tjenester, eller altså da å lagre alt “hos seg selv” er plutselig mer i vinden igjen – som om vi går tilbake noen år.

Men hva blir egentlig konsekvensene for sånne som meg og deg? Sannsynligvis flere arbeidsplasser til konsulenter – både juridiske og innen skyteknologi. Det blir mange endrede systemer og flere tjenester som utvikles. Det blir kanskje ikke de store tydelige konsekvensene for meg og deg – men det er en sånn langsiktig utvikling som blir interessant her. Jeg tror det hele kan dreie seg mot en langt mindre amerikansk dominans i teknologimarkedet på sikt. Mer nasjonalisme i lagringsstrukturen – flere tjenester lagres på norsk jord av mer lokale leverandører. Det vil også bli vanskeligere for tjenester som Dropbox å få tillit. Særlig når de så tydelig understreker at de følger GDPR til punkt og prikke – selv om vi vet at de har serverene sine i USA.

Hva blir konsekvensene?

EDPB (The European Data Protection Board) ga ut en rapport 10. november 2020 om hvordan selskap kan møte utfordringer knytte til Schrems II-dommen. Her er en link til rapporten i sin helhet (den er overraskende tydelig til offentlig rapport å være). Den gir flere råd og om å blant annet ettergå tjenester og å innføre ytterligere beskyttelsestiltak for å møte kravene som nå stilles.

I min søking rundt dette tema kommer jeg fort til tilbud om konsulenthjelp for å “innføre ytterlige beskyttelsestiltak” som det er krav om bedrifter for å gjøre – om de skal følge GDPR. Noe en bedrift vil, for det finnes trusler om ganske høye bøter om du ikke tilpasser deg GDPR. (Europeiske tilsynsmyndigheter har skrevet ut bøter for svimlende 272,5 millioner Euro siden 2018 kan Finansavisen fortelle 19.01.2021).

“Beskyttelsestiltak” fra kunden sin side er bra, men er det nok?

Noen skyleverandører går kraftig ut for å berolige sine kunder. Microsoft får jevnlig gjennomgå av Max Shrems på Twitter (den Schrems som har gitt navn til dommen) for sine forsøk på å “renvaske” seg:

Og samtidig kan det godt være Microsoft er først i klassen her – jeg har ikke sett Schrems kritisere Amazon (AMZ) like tydelig – det henger kanskje sammen med at de ikke har tatt seg bryet med å sette seg inn i problemstillingen i det hele tatt?

Dropbox har gått for løsningen å la være å svare på spørsmålet offentlig. Vi kan vel bare spekulere i hva det skal bety.

Advokatmat

Som med GDPR er det egentlig ikke teknologi som blir utfordringen – det er det juridiske. Men det juridiske må ha kunnskap om den teknologiske infrastrukturen for å i det hele tatt forstå utfrodringene. Heldigvis har mange også det. Jeg får opp en del treff, og her er to:

Advokatfirmaet PwC uttrykker “Flere av skytjenesteleverandørene viser til at de lagrer personopplysninger i datasentre innad i EU/EØS, og at de derfor ikke er underlagt kravet som følger med overføring av personopplysninger til tredjeland. Her må det bemerkes at ren teknisk tilgang i seg selv anses som en overføring av personopplysninger.” (pwc.no, 18.11.20, min kursiv).

Advokatfirmaet Scjødt (schjodt.no, 06.10.2020) antyder rett ut at skylagring som vi kjenner det kommer til å endres, fordi slik det er nå er det ikke sannsynlig å unngå tilgang til personlig data ved bruk av skytjenester:

For cloud services, high availability requirements are normally required, often “24/7/365”. In order for this to be practically feasible, technical personnel may have to access the database containing personal data – encrypted or not – through remote access from different time zones. In other words, a “transfer” happens if a consultant/operator in the United States can access personal data on a European server, for example when supporting an ERP system. Many cloud service providers have also explicitly reserved the right to grant such remote access in its standard agreements with the customer.

Det er med andre ord egentlig ikke helt innafor å bruke tjenestene slik vi gjør i dag. Men det er jo veldig komplisert – hvordan gjør vi det nå? La meg ta meg selv om et eksempel. Jeg er jo enig i at mitt personvern er viktig. Jeg har fremdeles ikke sluttet å bruke Dropbox. Det går på den gamle “hvis du ikke har noe å skjule, hvorfor beskytte det”. Jeg har ikke noe å skjule – men det er likevel ikke det som er poenget med dette. Poenget med dette er at dette er på SYSTEMNIVÅ.

“Alle” gjør det – altså bruker tjenester som i europeisk domstol rett og slett har blitt dømt til å være uskikket til å ta vare på personvernet til europeiske borgere. Og når dette skjer på system er det et problem.

Men hvordan skal man endre et system – et system basert på teknologi og juss som er så komplisert at de aller fleste ikke aner hvordan noen av delene fungerer?

Så langt virker konklusjonen fra lunsjen ganske riktig: Ingen vet helt hva de skal gjøre.

Dette er Max Schrems (2016). Bilde: Manfred Werner – Tsui cc-by-sa3.0

Øyene mot skyene

Jeg liker å fortelle historien om da jeg trodde at når noe var i “skyen” betød det at kode fløyt rundt i lufta, og så på en magisk måte – så magisk som bare kode kan – manifesterte koden seg til dokumenter når jeg bare trykket på ikonet på datamaskinen.

Jeg innbiller meg at om jeg hadde vært ung i dag hadde jeg forstått at “skyen” er like håndfast som ledninger og datamaskiner. Ikke minst har spurten med hjemmekontor gjort de fleste av oss veldig bevisste på hva som er i skyen (og dermed tilgjengelig), og hva som ikke er det. Til tross for at det er mer kjennskap til skyen nå enn før er det likevel mange sprikende ideer om hva skyen er, og hvordan det hele fungerer. Jeg hører oppdraget kalle, så la meg herved komme med en liten introduksjon på hva skyen er.

Kode flyter rundt i lufta, og…

Neida, bare tuller. Nå begynner vi.

For å begynne med det første først: Skyen er Cloud.

Skyen er et begrep på å lagre dataen din et annet sted enn på egen datamaskin. Skyen er det samme som lagringsplass som ikke er hjemme. For bedrifter kan “egen datamaskin” forsåvidt bety å lagre i egne lokaler (“on premises” som det så fint heter).

Det er flere måter å få tilgang til en sky. Quentin Hardy, beskriver forskjellige skytilganger slik (New York Times, 23.01.2017):

When people think of cloud computing, they often think of internet-connected public clouds run by the likes of Amazon, Microsoft and Google. (If you use Gmail, Dropbox or Microsoft’s Office 365, you are using a cloud service.) There are also consumer clouds that, for example, hold your pictures and social media posts (think of Facebook or Twitter), or store your music and email (think of Apple or Google).

Det er mange grunner til å lagre i skyen. Mine mest åpenbare grunner er at jeg får tilgang på bilder og dokumenter uansett hvor mange ganger jeg må bytte datamaskin*. Jeg har også etter hvert behov for mer lagringsplass enn det finnes på egen datamaskin. Et tredje behov er selvfølgelig å ha en sikker plass å lagre gamle bilder og viktige dokumenter. Men skyløsning handler ikke bare om å lagre private dokumenter på en ekstern server. Sky er mer, og i bedriftsmarkedet har sky kommet for bli.

*mmmmmm…. minnet om å styre med eksterne harddisker og knuse gamle laptop-er for å skru ut harddisk strømmer på…

Fra on prem til PaaS

Mange bedrifter utvikles i retningen til å bruke skyløsninger og går bort fra å være “on prem”, on premises – eller altså….”i egne lokaler”. “On prem” betyr at Bedriften har noen datamaskiner eller servere med lagringsplass hos seg selv.

Det kan være fordeler med å ha lagringen hos seg selv – men det krever kunnskap, tid og engasjement. I utviklingen mot å effektivisere, økonomisere og strømlinjeforme blir de spesialiserte tjenestene fort utflagget. Så om Bedriften da ønsker å bruke skytjenester, må de altså kjøpe dette. Neste steg er å finne ut i hvor stor grad de skal gjøre ting selv. Jo mer de gjør ting selv, jo mer kontroll og mer av fordelene til on premises-fordelene har de, samtidig som de kan dra nytte av infrastrukturen og utstyret til skyleverandørene.

Likevel er det mer vanlig å kjøpe forskjellige varianter av ferdigpakker. Det er ikke nødvendig å gjøre alt selv, og du kan kjøpe en ferdig tjeneste som dekker behovet til Bedriften uten noe særlig mer styr. Andre utvikler egen programvare og ønsker litt mer styr. Valg av nivå du vil ha i skyen henger også sammen med alle deler av bedriften. Juridiske elementer, som GDPR eller lagring av personsensitivt materiale spiller inn. Tekniske elementer som API (Application Programming Interface – utgangspunkt for å kunne koble til forskjellige tjenester og programmer til eksisterende tjenester eller programmer), maskinvare eller infrastruktur spiller inn. Alt krever kompetanse. Bedriften må ta et standpunkt om de er interessert i, eller har nytte av, å ha den kompetansen på egen lønningsliste – og om de i det hele tatt vet hva den kompetansen skal bestå i.

Så hva slags nivåer finnes? De tre vanligste inndelingene er Infrastructure as a Service (IaaS), Software as a Service (SaaS) og Platform as a Service (PaaS).

Forskjellen mellom Saas, Paas og IaaS

  • SaaS: Programvare som er tilgjengelig via tredjeparter over Internett
    • Eksempler: Google Apps, Dropbox, MailChimp, Jottacloud, Netflix, Wix, DocuMaster
  • PaaS: Plattform for å ha egne maskiner og applikasjoner tilgjengelig over Internett 
    • Eksempler: Amazon, Microsoft, OpenShift, Apache Stratos
  • IaaS: Skybaserte ressurser; lagring, nettverk og virtuelle maskiner.
    • Eksempler: Amazon, Microsoft, Rackspace, Blix Solutions, TietoEvry

Det finnes også andre versjoner av -aaS, hvor CaaS (Container as a service) er mest anvendt og FaaS (Function as a Service) er kanskje mest obskurt, men de tre listet over er en generell oversikt over forskjellige nivåer av skytjenester.

Bilde lånt fra https://azure.microsoft.com/en-us/overview/what-is-paas/

Med Software as a Service (SaaS) får du den tjenesten du ber om. Dette er enkelt og greit at du betaler for en tjeneste. Det er opptil tjenesteleverandøren å tilpasse avtalen og tjenesten slik at det passer for deg. Noen tjenester er tilpasningsdyktige, det vil si du kan velge litt i innhold og forbehold, mens andre er mer statiske. Software as a Service er altså en tjeneste du kjøper, og denne tjenesten kjører på skyen (Internett. Du må være på Internett for å få full bruk av tjenesten). SaaS er lett å bruke og kan settes i gang på en-to-tre. Men dersom Bedriften skal utvikle egne programmer eller systemer, vil det være mer fornuftig å ha en av de andre, “dypere” tjenestene.

Platform as a Service (PaaS), eller Plattform som en Tjeneste, som jeg så Skatteetaten så nydelig hadde oversatt det til, er et annet nivå av skytjenester. Dette er altså en slags grunnflate, et operativsystem om du vil, som bruker for å utvikle egne programmer og systemer oppå. Forøvrig har store deler av det offentlige Norge, storkunder av PaaS-løsninger, gått sammen i et fagnettverk for å dele erfaringer om PaaS-utvikling. Nettsiden til fagnettverket er offentlig-paas.no.

Infrastructure as a Service (IaaS) er nettopp det: infrastruktur. Istedenfor å måtte kjøpe hardware og lokaler for å drive med hosting, kan Bedriften leie tjenester som passer sitt behov. Det er lett å både opp- og nedskalere ved å endre leieforholdene. Virtuelle maskiner (forkortet med VM av de som ikke tar seg bryet med å skrive ordene helt ut) er tilsynelatende egne servere som bedriften har full digital råderett over. Virtuelle Servere er strengt tatt ikke helt egne fysiske servere, men en digital tilgang som gjør at hostingleverandører kan tilby tjenesten uten at Bedriften trenger å være fysisk tilstede på sin maskinvare. Tilbydere av SaaS (som for eksempeler Dropbox og DocuMaster) er typiske kunder av IaaS.

Oversikt over de største IaaS fra 2016 hentet fra rapport laget av METISfiles

Det er selvfølgelig også mulig å gå inn i egenprodusert sky også, men jeg stopper her. Har du behov for en egen sky trenger du uansett mer dybdekunnskap enn jeg kan gi deg.

Hva med sikkerhet og sånn?

Grunnen til at jeg skriver om sky i det hele tatt, er forrige innlegg om brann i et datasenteret til OVH i Strassburg. Det ble en del reaksjoner med “jeg trodde” eller “vi hadde”, og det virker som om mange snakker forbi hverandre når det snakkes om sky. Det er ikke så rart – “skyen” er som jeg har vist over – ikke bare “skyen”. Det er forskjellige grader av hvor dypt du er inne i skyen. Og disse gradene påvirker også brukervilkårene og sikkerheten på mange måter.

Et av argumentene for mange å lagre i skyen er sikkerhetskopiering. De fleste SaaS har “backup” som en del av tjenesten. Mange av tjeneste er nettopp sikkerhetskopiering. Det er ikke uvanlig å finne elementer av backup i avtaler med PaaS også, selv om det ikke alltid er tilfellet. IaaS har derimot ikke noe innebygd sikkerhetskopiering og det er opp til kunden selv å sørge for dette.

Er det så nøye for deg hva kunder med IaaS gjør, det er vel snakk om større bedrifter, ikke sant? Tja – mange av disse større bedriftene har også sånne som meg og deg som sine kunder. Som jeg nevnte over er SaaS-tilbydere typiske kunder til IaaS. Da er det opp til disse SaaS-tilbyderne å aktivt påse at det finnes en ordning for sikkerhetskopier i sine IaaS-oppsett. Et eventuelt problem vil jo til sist nå sluttkundene – oss (og Bedriften selv da – men jeg prøver liksom å skrive sånn at alle kan relatere seg til denne problemstillingen).

Det er altså forskjellig hva man kan forvente av skytjenester, og det er avhengig av hvilke avtaler den tjenesten du bruker har gjort videre. En ekstra utfordring er når kunder forventer at det skal være backup på tjenesten, uten at de selv har satt det opp. For skyen er jo lagring på eksterne servere, så da er de sikre, ikke sant?

Jeg snublet innom et litt eldre innlegg fra 2017 av Marius Sanbu i TietoEvry “What is your backup strategy for Cloud based IaaS deployments?” som går gjennom nettopp denne misforståelsen. På en langt mer kompetent måte beskriver han hvordan et tidsbilde (en “snapshot”) som kreves for drift av IaaS-kunder ikke er en full backup. (Merk at det er et eldre innlegg, og jeg har ikke gått inn og sjekket vilkårene til AWS, Azure og Google som han skriver om – men problemstillingen står seg like fullt). I et nyere innlegg fra mars 2021 snakker Marius Sandbu videre om nettopp Disaster Recovery Plan, mon tro om han ikke også fikk med seg brannen…)

De fleste har backup, altså. Ramsalt, som var tidlig åpne med at de ble påvirket av brannen og som jeg også nevnte i forrige innlegg – tilbyr full innsikt i det meste hva som skjedde i etterkant av brannen (dog jeg har hørt rykter om at de har utelatt gullkorn fra den interne dialogen mens det hele pågikk). Allerede få timer etter brannen var Ramsalt sine første sider oppe og gå – alle sidene deres er igjen oppe. Ramsalt hadde en Disaster Recovery Plan, og den virket. Alle har ikke en Disaster Recovery Plan (kriseopprettingsplan?), og selv om de har det kan den være basert på feil premisser eller rett og slett ikke fungere.

Denne brannen var på mange måter en god påminnelse. Noen tjenesteleverandører ble rimelig stresset, fordi deres servere var alle plassert på én lokasjon. At en server går ned, eller går i stykker – det skjer. At et helt datasenter brenner er mer usannsynlig. Det ligger på linjen der med at man vet at røyking fører til kreft, men man festrøyker i studietiden likevel. Det er en av de usannsynlige greiene som kan skje, men som man aldri forventer skal skje.

Hvor dataen er lagret betyr noe

I et tidligere innlegg om smittestopp, forklarer jeg at hvor serverene står har en betydning – og at det var et problem med første smittestopp-app at dataen ble lagret utenfor Norge. Servere er skyen, og det betyr at det du lagrer på skyen er juridisk underlagt det landet hvor serveren står.

Om jeg har en skytjeneste med kinesisk innhold, vil det uansett være norsk lov som definerer hva som er lovlig innhold. På samme tid, om jeg fra Norge bruker en kinesisk skytjeneste (med kun lagringsplass i Kina), vil det jeg lagrer der være underlagt kinesisk lov. Det betyr at alle mine Dropbox-filer er underlagt amerikansk lovgiving. Om serverene mine greier er lagret på står i Utah, kan jeg rett og slett (om jeg har googlet riktig og ved å sette ting på spissen) når som helst bli huket inn og dømt for å forårsake en katastrofe (ved “annen skadelig eller destruktiv makt som ikke er et masseødeleggelsesvåpen”):

https://le.utah.gov/xcode/Title76/Chapter6/C76-6-S105_1800010118000101.pdf

Er det sannsynlig? Overhodet ikke. Det er satt på spissen. Og dette med sikkerhet i lagring innen nasjonale landegrenser er ytterst viktig, men jeg skal ikke gå inn på det nå. Det får bli neste gang. Jeg skal heller si opp Dropbox og flytte til en annen tjeneste med lagring i Norge (jeg har sagt det før, men jeg mener det virkelig. Det er flaut at jeg ikke har gjort det enda. Gjør som jeg sier, ikke som jeg gjør).

© 2021 FRK. ENES

Theme by Anders NorenUp ↑