"Molnet är osäkert."

Ett vanligt argument för att inte använda molnet är att det är osäkert. Oftast går man inte in på detaljer eftersom man inte känner till dem, och ibland rättfärdigas argumentet med att "juristerna" eller "lagen" inte tillåter det. I de absolut flesta fall håller argumentet inte, och när det används som en generell ursäkt för att inte använda moln baseras det på felaktiga grunder.

I del ett av den här artikelserien i fyra delar kommer jag presentera min syn på varför det inte är ett problem att alla relevanta molnleverantörer är baserade i USA (kinesiska moln är ett ämne för sig).

Del två kommer avhandla vad en molnleverantör gör för att skydda er information, i del tre kommer jag gå igenom de tekniska förmågor molnleverantörerna använder för att skydda er information och i del fyra kommer jag beskriva vilka möjligheter ni själva har för att säkra er information.

Som vanligt är ni mer än välkomna att komma med tankar, frågor, funderingar och motargument i kommentarerna.

Jag är ingen jurist, och detta är inte juridisk rådgivning! Behöver ni faktiskt juridisk rådgivning måste ni söka upp jurister med specifik kunskap om moln.

De relevanta molnleverantörerna är baserade i USA

Att Microsoft, AWS och Google är amerikanska bolag är ofta något som nämns tidigt i dialogen, och amerikanska lagar som PATRIOT Act och den nyare CLOUD Act lyfts fram som absoluta hinder för att en svensk organisation skall kunna använda molntjänster från någon av dessa leverantörer.

PATRIOT Act är inte längre relevant för diskussionen då den ersatts av just CLOUD Act. Sålunda kommer jag endast belysa varför CLOUD Act inte innebär att molnleverantörer baserade i USA är ett problem.

CLOUD Act

CLOUD (en förkortning av Clarifying Lawful Overseas Use of Data) Act blev amerikansk lag i mars 2018 [1]. Rent tekniskt är detta ett tillägg till en lag från 1986 - Stored Communications Act (SCA) - för att anpassa SCA till ett modernt informationslandskap.

Innan CLOUD Act var det en extremt komplicerad, utdragen och kostsam process för amerikanska myndigheter och polisväsen att få tillgång till information placerad utanför landets gränser, och likadant var det för myndigheter och polisväsen utanför USA att få tillgång till information placerad i USA. Ett exempel på detta är den långa rättsliga strid FBI och Microsoft hade över e-mail placerade i Microsofts datacenter i Irland [2].

Så här beskriver USA's motsvarighet till Justitiedepartementet - The Department of Justice (DOJ) - CLOUD Act [3]:

The CLOUD Act is designed to permit our foreign partners that have robust protections for privacy and civil liberties to enter into bilateral agreements with the United States to obtain direct access to this electronic evidence, wherever it happens to be located, in order to fight serious crime and terrorism.

Den kompletta texten [4] är svår att läsa, inte nödvändigtvis på grund av språket, men på grund av formateringen. Som tur är har DOJ en lista med vanliga frågor och svar [5] vi kan använda oss av. Det är några punkter i denna lista jag vill belysa extra noga.

Fråga 10 lyder "Will CLOUD Act agreements cover civil, administrative, or commercial inquiries? Can they be used for spying on another country?" Svaret är:

No. CLOUD Act agreements are only used to obtain information relating to the prevention, detection, investigation, or prosecution of serious crime and only in response to legal process.

Oerhört viktigt att notera i svaret ovan är att CLOUD Act endast får användas i samband med seriös brottslighet, och då endast efter en rättslig prövning.

Fråga 12 är väldigt viktig, "Do CLOUD Act agreements allow the U.S. government to acquire data that it could not before?"

No. CLOUD Act agreements remove the possibility that one party’s legal restrictions on disclosing data could conflict with the other party’s legal authority to collect evidence. CLOUD Act agreements do not alter the fundamental constitutional and statutory requirements U.S. law enforcement must meet to obtain legal process for that data[…]

CLOUD Act existerar som tidigare beskrivet endast för att förenkla och strukturera hur USA och övriga världen utbyter information i samband med seriös brottslighet.

Fråga 14, "Do CLOUD Act agreements impose U.S. law on other countries?"

No. To the contrary, the CLOUD Act affords respect to the laws of other countries, allowing partners to obtain authority under their own law and setting out a means to address partners’ restrictions on disclosure. Foreign partners obtain legal authority under their own law[…] Moreover, the CLOUD Act does not expand the jurisdiction of the United States[…]

Det är med andra ord upp till myndigheter och polisväsen i det land informationen lagras i att avgöra hur insamling av sagda information skall göras, och CLOUD Act ger inte USA juridisk rätt i det land informationen lagras i.

Fråga 19 förtydligar vad som krävs för att USA skall kunna begära ut information, "What is necessary under the Stored Communications Act to obtain a warrant for stored content?"

The Stored Communications Act permits law enforcement to obtain a warrant to require a provider to disclose the stored contents of a user account. […] The warrant must be supported by a statement sworn under penalty of perjury showing probable cause that the place searched will contain particular things subject to seizure; must state with particularity the crime that is alleged, the information to be disclosed and the evidence to the seized; and must be approved by an independent judge.

Även om CLOUD Act förenklar hur utbyte av information mellan USA och resten av världen sker finns det krav i SCA som dikterar hur processen för att kräva ut information skall gå till, och det är inget som görs annat än på väldigt goda grunder.

Det finns många fler intressanta frågor och svar, och jag uppmuntrar alla som är intresserade att läsa dem. Det viktiga att ta med sig är att CLOUD Act inte på något vis ger USAs myndigheter carte blanche att rota igenom vad Microsofts, AWS' eller Googles kunder lagrar i sina respektive datacenter.

Faktiska förfrågningar från USA's polisväsen

Microsoft släpper två gånger per år rapporter över hur många gånger ett lands polisväsende begärt ut data, samt vad resultatet av begäran blev [6]. Grafen nedan visar på antalet begäran USA's polisväsende gjort under första halvåret av 2019 - som är den för tillfället mest aktuella rapporten:

Som vi ser avslogs drygt 13% av dessa förfrågningar och drygt 17% resulterade i att ingen data kunde hittas. Av resterande förfrågningar är nästan 55% så kallad "Non-content data" och resterande dryga 14% "Content":

Non-content data include basic subscriber information, such as email address, name, state, country, ZIP code, and IP address at time of registration. Other non-content data may include IP connection history, an Xbox gamertag, and credit card or other billing information. We require a valid legal demand, such as a subpoena or court order, before we will consider disclosing non-content data to law enforcement.

Content is what our customers create, communicate, and store on or through our services, such as the words in an email exchanged between friends or business colleagues or the photographs and documents stored on OneDrive or other cloud offerings such as Office 365 and Azure. We require a warrant (or its local equivalent) before we will consider disclosing content to law enforcement.

Intressant för oss är de gånger USA begärt ut information ("Content") som inte lagrats i USA:

Som ni kan se ovan skedde detta 126 gånger och endast 0,8% av dessa förfrågningar resulterade i att information lämnades ut. Siffran säger ingenting om vilka länder dessa förfrågningar gäller, eller vilken förfrågan som resulterade i ett svar, men statistiken indikerar att risken för att myndigheter eller polisväsen i USA skall få tag på din information är liten.

Amerikanska molnleverantörer samarbetar med amerikanska myndigheter

En vanlig konspirationsteori är att Microsoft, AWS och Google samarbetar med amerikanska myndigheter, och då framförallt National Security Agency (NSA). Ett samarbete som innebär att NSA, av någon anledning, får ta del av den information molnleverantörens kunder lagrar.

Så snart vi ställer oss frågan "Varför?" inser vi att detta argument är fullständigt orimligt.

Om jag läser Microsofts årsrapport [7] rätt var intäkten under 2019 för "[…] Office 365 Commercial, Azure, the commercial portion of LinkedIn, Dynamics 365, and other commercial cloud properties" 38,1 miljarder USD, eller 372,21 miljarder SEK med dagens växelkurs.

Varför skulle Microsoft riskera denna intäkt genom att samarbeta med NSA? Vad har de att vinna på ett sådant samarbete? Det räcker med att se hur aktiekurserna för molnleverantörerna reagerade när Snowden läckte information om vad NSA höll på med för att förstå hur oerhört viktigt det är för molnleverantörer att alltid skydda sina kunders information.

Om NSA har tagit sig in i molnleverantörernas datacenter beror det inte på att de har fått tillåtelse utan på grund av att NSA har extremt duktiga hackers till sitt förfogande.

Avslutningsvis

I nästa del kommer jag beskriva i mer detalj varför molnet är säkrare än ert eget datacenter. Till dess, tveka inte att kontakta mig, antingen via e-mail, telefon eller formuläret här på hemsidan, om ni är intresserade av att diskutera ämnet vidare med mig.

Tack för din tid!

Källor

1. https://en.wikipedia.org/wiki/CLOUD_Act

2. https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States

3. https://www.justice.gov/dag/cloudact

4. https://www.justice.gov/dag/page/file/1152896/download

5. https://www.justice.gov/dag/page/file/1153466/download

6. https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report

7. https://www.microsoft.com/investor/reports/ar19/index.html