Amerikanska moln är inte riskfria

"Kapa inte banden till amerikanska molntjänster", så löd en debatt-artikel i DI förra veckan. Debattörerna kallar debatten om riskerna med dessa tjänster för "symbolpolitik" och att det handlar om politiska poänger, och tonar ner reella risker för företagen.

Vill först vara tydlig, jag gillar debattörerna och respekterar dem. De är även frekvent förekommande i debatten och Patrik Fältström var del av ytterligare en debatt-artikel bara någon dag senare rörande chat-control, som jag håller med om till 100% och Mikael Pawlo brukar vara knivskarp i sina alster, men just i detta ämne håller jag inte med dem. Det är dessutom ett ämne jag är mycket intresserad av både personligen och yrkesmässigt.

Hyllandet av amerikanska moln-tjänster utan att även belysa riskerna

Många företag har de senaste 10 åren hoppat med huvudet före ner i den amerikanska moln-hinken och sörplat i sig allt de kan, vem har inte något snurrandes på AWS eller för den delen stora delar av sin infrastruktur på Azure. Läget var annorlunda och det nya fina både luktade och smakade gott. Vi testade och snabbt var leverantörerna där och skapade bättre och bättre erbjudanden som gjorde att vi fastnade mer och mer i deras produkter. Tiden går och både världen och dessa tjänster förändras. Just inom detta område är det helt klart säkerheten och integriteten för vår information som både behandlas sämre av amerikanerna, men även förbisetts av företagen. För de lagar som påverkar detta har funnits under en längre tid.

Nu med rådande världsläge, kommer ämnet vrålandes som en Verstappen i sin Red Bull för att bita oss i svansen.

Riskerna då, vad är det för risker?

Ja, nyckeln ligger i exakt det ord som skrivs två gånger i den meningen, risker. Vi har förlitat oss på löften från Microsoft, Amazon, Google, Salesforce, ServiceNow et al. De lovar att vår data är säker och skyddad med bevarad integritet, men är det verkligen så? Här är det som sticker ut, fakta, ja fakta, är att det inte stämmer. Ljuger leverantörerna, legalt sett gör de säkert inte det. Det dom dock utelämnar är att de lyder under amerikansk lag och detta vart i världen informationen än finns. Med rådande administration och dess historik av att strunta i lagar, regler och att oversight i stort raderats, kan nu myndigheterna och dess underrättelsetjänster begära ut information från de amerikanska leverantörerna utan att det finns bra mekanismer för leverantörerna att överklaga och när underättelsetjänster och myndigheter, med lagen på sin sida, vill åt din information, då är det en risk.

Kan det hanteras, absolut, men om vi återvänder till nyckelordet risker. Som med allt annat behöver vi ha väldigt tydliga krav på vad vår verksamhet kräver och vilka risker det kan medföra. Av någon anledning ignorerar många företagen riskerna när det kommer till detta ämne. Det jag således skulle viljat var att det hade framgått tydligare i debatt-artkeln, är att dessa risker är reella och varje företag behöver hantera dem.

Betyder detta att man skall klippa banden helt med dessa leverantörer, så klart inte, men alla behöver hantera sina risker, precis på samma sätt som föregen gör inom andra områden.

Amerikanska moln är tekniskt överlägsna

Ja, så är det, inget snack. Det jag vänder mig emot här är inte att funktionaliteten är överlägsen, för det är den, utan vad just denna överlägsenhet leder till. För även om funktionaliteten är överlägsen så är den även komplex, vilket medför betydande risker för sårbarhet.

Ofta hyllas just cybersäkerheten som ett av de stora fördelarna med dessa moln och inte heller det är fel. Däremot är det idag i stort sett helt omöjligt att skapa en helt säker applikation på t.ex Azure. Azure är idag så stort och komplext samt innehåller så mycket funktionalitet att det inte är mänskligt möjligt att hålla koll på allt. Några som dessvärre gör det, är hotaktörerna. Så igen, vi behöver ta in allt detta i arbetet när vi väljer och utvärderar dessa leverantörer.

Mellanstick: Analogi

Tänk att du har ett hus med en dörr, du vet vart den är och vilket lås den har t.o.m en säkerhetsdörr finns. Du är alltid helt säker på att dörren är låst när du går hemifrån. Nu flyttar familjen till ett större hus och du har tio dörrar i flera byggnader dessutom (hus, garage, gäststuga etc), är det lättare eller svårare att komma ihåg att låsa alla dörrar?

Kan inte låta bli att spinna vidare lite (borde inte jag vet, blir så långt). Nu tänker du att det löser vi med Yale Doorman som känner av när vi går hemifrån, vi har både app, RFID brickor till dörrarna och såklart kod också. För att appen skall funka behöver vi en sån där modul att sätta i låset så det kan koppla upp sig mot nätet. Attans, inget wifi till tre av dörrarna, skall vi köra mesh eller förlänga etc, skit samma smacka upp nått så skiten får nät bara.

Tror du de som har en dörr eller de som har tio har större sannolikhet att alla dörrar är låsta när de går hemifrån? Vart finns flest sårbarheter utöver att själva dörrarna är låsta?

Så ibland är komplexitet och fina funktioner inte enbart av godo. Det kräver kunskap och kontinuerlig uppdatering för att allt skall vara säkert och fungera enligt kravbild.

Nu är människan svagaste länken, inte tekniken

Det som har hänt är att tidigare kunde vi skydda oss tillräckligt med teknik. När detta skydd blev starkare och starkare var det inte längre den svagaste länken och då började de som vill åt din information att leta efter den just nu aktuella svagaste länken, så har det alltid fungerat och gör fortfarande. Idag är vi människor svagaste länken, på båda sidorna dessutom.

På ena sidan har påverkans-kampanjer, missinformation och annat nått oanade nivåer och idag inleds 70% av alla cyberbrott på det sättet.

Även Google blev utsatta för social engineering när deras Salesforce data hackades. Det skedde genom Vishing dvs en person ringde och utgav sig trovärdig för att vara IT-support och fick en Google anställd att installera malware.

Google Bloggpost på ämnet hur detta skedde: "The Cost of a Call: From Voice Phishing to Data Extortion"

Tekniken är så bra att vi människor nu är svagaste länken. Det är vi som jobbar och har åtkomst till informationen som är måltavlor. I värsta fall kan ett enda lösenord från en medarbetare ge tillgång till hela företagets information.

Som jag nämnt i tidigare poster händer det mig ofta att jag befinner mig i en situation där jag helt oprovocerat får information till mig som enkelt skulle kunna missbrukas, det kan vara vad jag ser på en skärm på ett tåg eller vad jag överhör på en lunchrestaurang och åker tåg igen. Tänk då hur enkelt det är för de som verkligen har ett ont uppsåt och aktivt söker denna information.

På andra sidan har vi maktspelarna, det vill säga politiker, företagsledare och de som styr länder idag. Den enorma påverkan som några få företagsledare och politiker har på de flesta företag i världen idag är svårt att greppa. När dessutom banden mellan dessa företag och politiker är enormt starka och vi t.ex hör ledare för en hel drös av världens högst värderade företag (Apple, Microsoft, Alphabet, Meta, OpenAI etc) sitta och smickra Trump under live-sändning så känns det inte helt bra. Detta måste vägas in som risker i företagens val, ser absolut ingen som helst anledning till att spela ner den risken.

Betyder det att jag anser att "man skall klippa banden med amerikanska moln", absolut inte, det enda jag efterlyser är att företagen har en tydlig kravbild på vad de behöver och att de hanterar riskerna som det innebär. Jag förstår innerligt inte varför detta anses kontroversiellt av många.

Att hantera risker gör vi i alla projekt och initiativ, men eftersom det är politik, nationer och några av världens största företag inblandat här och inte teknik, så verkar det som att företag ibland anser att det inte är nödvändigt i samma utsträckning.

Hur hamnade vi här?

Vi har varit så förblindade av den tekniska utvecklingen som skett att vi helt enkelt förbisett riskerna. Så samma företag som har extrem koll på riskerna i sin leverantörs-kedja har ofta begränsad koll på riskerna med att ha sin information i ett amerikanskt moln, de har ofta inte ens hanterats eller ens diskuterats.

Ytterligare en utmaning är att de amerikanska bolagen är enormt duktiga på att sälja sina lösningar. De är även duktiga på att vagga in företagen i en trygghet att dom är väl omhändertagna. Ett företag kanske läser om de risker jag nämner här, de är ju inte nya. Moln-leverantörer ber att få återkomma och om inte de förtryckta svaren duger, vänder de sig till USA och de skickar hit någon med fin titel och slips. Företaget i fråga blir smickrade och den influgna chefen bedyrar att företaget kan vara lugna, de nämner att de arbetar med amerikanska myndigheter och att någon information aldrig lämnas över och att de bestrider alla informationsbegäran som inte är relevanta. Tack säger företaget och skriver på avtalet.

Jag tror att svenska företag kan vara väldigt säkra med amerikanska moln-leverantörer, men det betyder inte att det inte finns en risk att så inte är fallet. Framför allt inte just nu, när brist på översyn, maktfullkomlighet, ingen respekt för lagar och regler mm existerar. Det gör att de amerikanska leverantörerna helt enkelt hamnar i en helt ohållbar sits. Just nu vet de inte ens vart de skall överklaga, då PCLOB inte är beslutsmässigt.

Vad skall jag som företag göra då?

Precis som med allt annat. Ha tydliga krav utifrån er verksamhet, ha koll på juridik och lager, identifiera risker och hantera dessa precis på samma sätt som risker hanteras inom andra områden.

Innebär det att företag skall klippa banden med amerikanska moln-leverantörer. Absolut inte, men all användning av alla typer av tjänster måste användas under rätt premisser. Kanske är det ok för företaget att ha allt på Azure et al, kanske är en mix bäst dvs känslig information på mer "tryggt" ställe och annat på Azure. Vissa kanske har krav som gör att on-prem helt enkelt är bäst. Huvudsaken är att besluten fattas på rätt grunder.

Det är därför jag skriver så mycket om detta, för information på ämnet har svårt att nå ut. Av förklarliga själ talar inte de amerikanske moln-leverantörerna så mycket om detta, deras agenda är ju en annan. Dessutom är de svenska lokalkontoren för dessa bolag 100% säljbolag.

EU-moln och EU-tjänster då?

Här är det klurigt. Det finns bra leverantörer inom nischer och det finns embryon som håller på att växa till sig. Finns något som motsvarar de amerikanska moln-leverantörerna om man vill ha samma leverans från ett EU-moln. Svaret är dessvärre nej.

Det som finns är moln som hanterar olika delar, men helhet nej. Sen är frågan om vad just ditt företag verkligen behöver, det är nyckeln och, som nämnts flera gånger, kravbilden måste avgöra.

För enklare moln-funktion finns det däremot massvis med lösningar både i Sverige och i EU. Detta missas dock i debatten då den ofta riktar in sig på de stora företagen som behöver de stora och komplexa moln-lösningarna. Är du ett vanligt svensk medelstort företag finns det bra lösningar idag.

Lika bra att beta av termen EU-moln också. De flesta amerikanska leverantörerna säljer det de kallar "EU-moln" under premissen att all data är i EU. Det är den, inget snack, men även om datan och informationen är i EU, så lyder den under amerikansk lag dvs vill en amerikansk underrättelsetjänst åt informationen genom t.ex CloudAct eller FISA så spelar det ingen roll om informationen är i EU eller inte så länge ett amerikanskt företag "påverkar" informationen dvs ägs bolaget av amerikanska ägare, är HQ i USA, finns styrelsemedlemmar från USA och är mjukvaran amerikansk. Lite generaliserande skulle man kunna säga att EU-molnet skulle lika gärna kunna stå i USA. Den enda delen i detta som inte riktigt är juridiskt bevisat är om t.ex ett EU konsortium utan amerikanska ägare mm licensierar Azure och implementerar i EU. Detta är bland annat vad franska Project Bleu testar, det drivs av Cap Gemini och Orange. Personligen (viktigt) tror jag att det anses som att ett amerikanskt företag kan "påverka" då de defakto äger mjukvaran. Frankrike driver detta hårt och helt klart värt att testa, vi får se vad juridiken säger framöver.

Skrev en post om just Microsoft och data i EU för ett tag sedan med anledning av att Microsoft representater förhördes under ed på ämnet.

Bonusämne: Dom från EU-domstolen om adekvat skyddsnivå

I förra veckan föll en dom i EU-domstolen där adekvat skyddsnivå utmanades. Det gällde om EU-US DPF dvs ramverket (lite att jämställa med ett gentlemens agreement i och för sig) som reglerar om det är lagligt att föra ut person data utanför EU enligt GDPR och i detta fall specifikt USA håller adekvat skyddsnivå. EU-domstolen ansåg att adekvat skyddsnivå fortfarande uppnås. Även Integritetsmyndigheten IMY har kommenterat detta. Betyder det att informationen är säker? Nej, dessvärre inte. Det betyder att företag som för över persondata till USA följer GDPR dvs EU-lagen, inget annat. Amerikansk lag trumfar EU-US DPF, som inte ens är en lag utan en överenskommelse.

Detta är en dom som fastställer något som många debatterat om i månader. Adekvat skyddsnivå gäller. Domen kan överklagas. Vi kan alltså fortsätta föra över person data till USA, men igen, om detta görs säkerställ att alla risker hanterats.