Microsoft förhört under ed i Frankrike om data i EU är säkert hos Microsoft

I början av Juni förhördes flera representanter från Microsoft France av franska senaten, detta skedde under ed. Det är av den anledningen riktigt intressant ur flera perspektiv:

1. Vad svarar de rörande osäkerheten att EU data kan föras över till USAs myndigheter?
2. Hur säker är EU data i Microsoft datacenter som är EU-only?
3. Vad innebär och hur säkert är Project Bleu dvs det bolag som bildats för att säkerställa ett oberoende Azure moln för EU?

Är EU data säker i Microsofts tjänster även om den är i "EU-only" moln?

Denna fråga pressas Microsofts representater på. Nedan följer ett litet axplock av citat från Microsoft på ämnet.

Det inleds lite luftigt med:

Respecting the rules and protecting our customers' data is not at all an option for us; it is an obligation that is part of our corporate policy. I hope that this introductory remark, as well as the answers we will provide to your questions, will convince you.

När mer direkta frågor om t.ex Cloud Act ställs blir svaren lite mer konkreta men fortfarande luftiga:

From a legal point of view, we contractually commit ourselves to our clients, including those in the public sector, to resist these requests when they are not well-founded. We have put in place a very rigorous system, initiated during the Obama era by legal actions against requests from the authorities, which allows us to obtain concessions from the US government. We begin by analyzing very precisely the validity of a request and reject it if it is unfounded. We ask that it be redirected to the customer as far as possible. When this proves impossible, we respond in extremely specific and limited cases. I would like to point out that the Government cannot make requests that are not precisely defined, with a narrow field. In addition, if we have to communicate, we ask to be able to notify the customer concerned.

På frågan om data har överförts när begäran från amerikanska myndigheter varit välgrundade svarar de enligt nedan. Detta är ett väntat och inte allt för anmärkningsvärt svar. Frågan de inte helt tydligt svarar på är vad som är välgrundat, men om jag tolkar det rätt har detta definierats efter att Microsoft tagit detta till högsta domstolen. Det är även viktigt att lyfta att detta inte hänt något företag i EU.

Absolutely, respecting this process. But again, this has not affected any European company, or public sector body, since we published these transparency reports.

Rent krasst så kommer alltså Microsoft att föra över data om förfrågan från de amerikanska myndigheterna är välgrundade. Det som hela tiden ligger och puttrar här just vad Microsoft verkligen har för medel att neka en förfrågan givet hur USAs nuvarande administration agerar och statusen på PCLOB (flera av länkarna längst ner i posten behandlar just det ämnet)

Det förekommer även en del intressanta delar om krypteringsnycklar också, dels vart de är lagrade och dels om Microsoft delat t.ex krypteringsnyckeln för MS Outlook med NSA (vilket lyftes i PRISM läckan). Lämnar det för den nyfikne att läsa i transkriberingen. Just hanteringen av krypteringsnycklar är kanske en av de viktigaste delarna i hela denna problematik med amerikanska molnleverantörer. Hade bara krypteringsnycklarna lagrats i kundernas egna säkra infrastruktur (ej moln) så hade riskerna minskat betydligt.

Project Bleu (Blue)

Detta är ett projekt som Microsoft, Orange och Cap Gemini skapat just med syftet att Microsoft inte skall ha tydlig koppling eller påverkan vilket skulle leda till att bolaget inte skulle klassas som amerikanskt och således inte kunna nås av Cloud Act eller FISA.

Konceptuellt är det alltså tänkt att bolaget skall ägas helt lokalt utan investering eller ledning / påverkan från Microsoft, men sen skall bolaget licensiera Azure som infrastruktur.

Det kluriga är just att Azure licensieras dvs den påverkan och ägande Microsoft har i Azure kan tolkas som att Bleu då blir ett amerikanskt bolag och lyder under Cloud Act och FISA dvs amerikanska lagar.

På frågan om Microsoft äger någon del i Bleu:

We confirm it, our company has not entered it in any way.

Inget ägande i Bleu från Microsoft enligt Anton Carniaux.

Vidare säger Pierre Lagarde (Microsoft):

The investments we have devoted for more than four years to the Blue project guarantee the complete autonomy of the said project, since this company is 100% French.

Nu börjar det dock bli intressant vad avser om datan på Bleu kan anses vara nåbar under amerikansk lag eller inte:

The technological stacking of all cloud computing actors is such that dependence on certain solutions, several of which are American, is now a fact. It is true that the Blue project will depend on a Microsoft technology stack, but it must be understood that we are talking not only about an infrastructure, but also about a platform and software, which is technically very broad, will offer a modern solution through this sovereign bubble and will allow us to build ambitious projects for the State and our start-ups.

Part of the project depends on Microsoft technology and another is open source. Microsoft remains a major contributor to open source for cloud solutions; it is therefore necessary to consider this subject in its entirety.

Finally, there is a complete technological separation between the Blue Project and Microsoft's public cloud solutions.

Dessvärre ställs inte den direkta frågan till Microsoft om då data på Bleus Azure plattform kan anses lyda under amerikansk lag.

Min personliga slutsats är att så är fallet, men det är inget jag hittat lagligt stöd för eller hittat publika uttalande som stärker.

Microsoft kämpar mest för att lösa denna utmaning

Eftersom jag ofta är kritisk till att förlita sig för mycket på de amerikanska molnleverantörerna för framförallt känslig data, så vill jag lägga med att jag upplever att just Microsoft i betydligt större utsträckning än de andra amerikanska molnleverantörerna, gör allt i sin makt för att hitta lösningar för att få kunder i EU att känna sig trygga. Den stora utmaningen är ju att de är just ett amerikanskt bolag och att deras tjänster är molnbaserade. Så om de inte flyttar huvudkontoret till EU är detta en manöver som är utmanande, oavsett hur gärna de vill hitta bra lösningar för EUs Microsoft-kunder, befintliga och nya.

Som avslutning länkar jag igen till själva transkriberingen av förhöret, som skedde under ed samt tidigare poster jag skrivit på ämnet.

Förhöret i franska senaten med Microsoft om data i Microsofts moln i EU.

Microsoft vill blidka företag i EU, jag har gått igenom detaljerna

Datan hos amerikanska leverantörer? Är lagligt eller säkert viktigast?

Svenska företags data inte längre säker hos amerikanska molnleverantörer.

Snart kan det bli olagligt att ha data på Azure, AWS och Google Cloud