Microsoft vill blidka företag i EU, jag har gått igenom detaljerna

Legendariske Brad Smith, Vice Chair & President på Microsoft, gick igår ut och försäkrade Europa om Microsofts stöd vad avser deras åtaganden mot företag i EU. Frågan är om det är på riktigt eller marketing bullshit?

Min tolkning är att det inte är marketing bullshit utan att Microsoft satsar seriöst, om än med en känsla av att Microsoft agerar brandsläckare och skickar ut Brad Smith som frälsare. Jag kommer inte beröra deras satsningar på EU-moln eller digitala valv med molninfrastruktur etc, utan fokusera på just säkerheten för information och data som är lagrad hos Microsofts tjänster (Azure, M365 etc).

EU data boundry project

Vad gäller EU data så framhåller Microsoft att dom har EU-only moln och mer specifikt skriver Brad Smith så här med hänvisning till EU data boundry project som blev klart january 2024.

This offers European customers the ability to have their data stored and processed in Europe.

Detta är bra så klart, men efter Microsoft är ett amerikanskt företag så lyder de under amerikansk lag och det gäller vart än datan är lokaliserad och vilka partners de satt upp datacenter med. Det är CLOUD Act och Fisa som är lagarna.

Microsoft ger företag ytterligare säkerhet och kryptering

Brad Smith tar även upp att vill man ha ytterligare säkerhet kan man kryptera sin data med nycklar som inte Microsoft kontrollerar. Detta med Azure Key Vault och Microsoft Purview Customer Key.

In addition to the EU Data Boundary, we provide European customers with multiple options for securing and encrypting their data. Our Confidential Compute offerings in Azure eliminate the ability of third parties—including Microsoft—to access customer data by ensuring data is processed within a trusted environment the customer alone controls. We enable customers to create a “lockbox” around their data across Azure, Dynamics 365, and Microsoft 365 by giving them the ability to review and approve before Microsoft accesses their data for customer and service support operations. We also enable customers to secure their data with encryption keys that they, not Microsoft, control with Azure Key Vault and Microsoft Purview Customer Key. Our Microsoft Cloud for Sovereignty offers customers a range of other tools to secure data, protect against unauthorized access, and satisfy legal requirements.

Ovan är bra, men räcker inte riktigt hela vägen det heller. Andemeningen är god och det är ändå det första riktiga svaret från någon av de stora drakarna på området vad gäller den osäkerhet som infann sig med Trump Administrationen. All heder till Microsoft som signalerar att dom vill och förstår EU-företags utmaningar.

Varför räcker det inte riktigt? Så länge krypteringen sker i Microsofts miljö kan de låsa upp den dvs om myndigheter kräver det genom CLOUD Act eller Fisa. Dock kan man kontrollera sina nycklar så kallade Customer Managed Keys (CMKs), detta görs just via Azure Key Vault och Microsoft Purview Customer Key. Som kund hanterar du skapande, borttagande och rotation. Även om Microsoft inte kan dekryptera direkt, kan de vara lagligt bundna att bistå i försök att låsa upp datan t.ex genom att ge tillgång till krypterad data och platser där nycklar potentiellt lagras. Givetvis klart bättre än okrypterad, men USA har även vissa fördelar vad avser att kunna låsa upp krypterad information.

Är det desperation från Microsoft?

Jag upplever en del desperation i Brad Smiths post, vilket kanske inte är konstigt. Antar att flera stora kunder och myndigheter i EU pressar på rätt bra på dessa punkter och kanske t.o.m har en förnyelse som ligger och skvalpar. Att just Brad Smith går ut känns som att de skickar ut deras chefs-förhandlare / frälsare och att han på bästa sätt skall släcka elden. Med det sagt har jag svårt att sålla mig till de som bara vill bränna Microsoft, jag tror det finns en vilja, men hur långt det räcker eller ens är praktiskt gångbart är en annan fråga.

Får nog ändå säga att jag upplever Microsoft som det företag av de stora (Amazon, Google är väl de två andra) som ändå visar att de har ett öra mot marken.

Sen kan man ju fundera över varför inte Salesforce, Adobe och ServiceNow m.fl nämns oftare, datan hos dem har samma problematik.

Slutsats

Finns flera slutsatser kan dras av detta, vissa kan vi påverka och vissa kan vi inte.

1. Vill man nödvändigtvis fortsätta använda Microsofts molntjänster så vore det bäst om Microsoft flyttade sitt huvudkontor, lär ju dock inte ske så enkelt. De signalerar att de klart vill stötta företag i EU att fortsätta använda deras tjänster. Kan bero på att 25% av deras intäkter kommer från EU.
2. Sluta använda de amerikanska tjänsterna, men dessvärre är alternativen lite för sparsmakade i EU om man vill ha "the full monty". Att överväga on-prem eller köra cherry-picking / silos från flera leverantörer. Som jag skrivit flera gånger tidigare, se till att ha en plan för alterantiva lösnignar till de amerikanska molnleverantörerna, man vet aldrig vad som kommer hända och att hantera risker skall ju alla göra.
3. Om vi fortsätter att använda Microsofts molntjänster, kryptera datan innan den hamnar på Azure et al och lagra nyckeln utanför Microsofts miljö. Detta är nog den mest realistiska och säkraste metoden just nu, om man som företag väljer att vara kvar hos Microsoft.

Microsoft skriver i posten att alla försök från Trump administrationen att inkräkta på EU kunders data kommer att bestridas juridiskt. Detta faller dessvärre väldigt platt då den nuvarande administrationen fullständigt ignorerar vad juridiska instanser beslutar. Dessutom är som nämnts flera gånger tidigare, den enhet som kan hantera dessa överklaganden, inte beslutsmässig då Trump sparkat 3 av 4 medlemmar i PCLOB (de tre demokraterna, kvar är en republikan). Microsoft har dock ett track-record av att ta en del ärenden hela vägen till högsta domstolen (som dock även den är i händerna på Trump).

Måste ändå ge Microsoft och Brad Smith (som varit med länge och ofta framstår som en mycket sansad person) beröm. Det framstår som de verkligen vill, men givetvis är det en utmaning för dem med att lyckas hänga med i alla svängar. Personligen tror jag drakarna skulle fokusera på två saker:

1. Hur få företag i EU att känna sig trygga i att deras information och data inte påverkas av CLOUD Act och Fisa.
2. Hur får företag i EU att känna sig trygga i att föra över person data och EU-US DPF både stärks och upprätthålls samt respekteras, det är idag ingen lag, utan mer av ett gentlemens agrement.

Attans, blev visst långt igen, ledsen för det.

Tidigare poster på ämnet:

1. "Snart kan det bli olagligt att ha data på Azure, AWS och Google Cloud".
2. "Svenska företags data inte längre säker hos amerikanska molnleverantörer.".
3. "Datan hos amerikanska leverantörer? Är lagligt eller säkert viktigast?".

Bild: Från Microsofts bloggpost.