Cloud Act och molntjänster

Amerikanska Cloud Act och molntjänsten rCloud Office


Cloud Act och molntjänsterCloud Act och GDPR

Den 23 mars trädde en ny amerikansk lag i kraft som gått många obemärkt förbi
Cloud Act är dock inte att blanda ihop med GDPR som är en lag för företag inom EU. Läs mer om GDPR här.

I korta ordalag innebär Cloud Act att all data som ligger i molntjänster från amerikanska företag ska kunna ges tillgång till för amerikanska myndigheter om de så begär. Lagen säger att om molnleverantören har tillgång till data på något sätt dvs kan nå det via sina system så är de skyldiga att tillhandahålla det för amerikanska myndigheter, oavsett var data finns.

Det här innebär alltså i praktiken att även om data rent fysiskt (dvs de hårddiskar där det ligger) bara finns inom t.ex EU eller t.o.m bara i Sverige så måste molnföretaget ge myndigheterna tillgång till det.

Det här omfattar alla amerikanska företag t.ex. Google, Amazon, Microsoft, Facebook. Twitter, Dropbox o.s.v.

Cloud Act och t.ex e-post via amerikanska molntjänster

Som exempel så har många företag valt att använda t.ex. Googles Gmail eller Microsofts Office 365 tjänster för att hantera e-post istället för att själva ha en e-post server. Många företag skickar olika typer av avtal, offerter, viktig intern information via e-post. Man kan även lagra information i tjänster som Microsoft Azure eller Goggle Docs. I praktiken innebär det helt enkelt att allt data man lagrat i deras tjänster kan vara tillgängligt för amerikanska myndigheter.

Betänk scenariot att Företag 1 använder sig sina interna system och egen IT drift för t.ex. e-post. Man har kanske olika patent, samhällsviktig information (se Transportstyrelens problem nyligen kring sånt här t.ex) o.s.v

De skickar e-post eller delar data via någon amerikansk molntjänst med Företag 2. I det scenariot är alltså data enligt lagen Cloud Act tillgängligt för tredje part (de amerikanska myndigheterna).
För att vara säkra på var data egentligen hamnar behövs ett stort förarbete, tekniskt kunnande och policies för Företag 1 med efterforskningar kring hur Företag 2 egentligen hanterar sitt data.

Använder de t.ex Office 365 för sin e-post ? Företag 2 kanske har egna e-post servrar men använder sig av en SPAM/Antivirus tjänst som skickar data via någon amerikansk tjänst innan det levereras till användaren? Sånt går att ta reda på men det kräver som sagt ett noggrannt förarbete, teknisk expertis och policies som troligen kommer innebära väldigt mycket merarbete.

Cloud Act och onlinebackuper, lagra och dela filer o.s.v

Det finns onlinebackup tjänster som går via amerikanska företags servrar.
Om Företag 1 har all sin IT hantering lokalt just av säkerhets- och policyskäl men använder en onlinebackup som ägs eller driftas av ett amerikanskt företag så kommer Cloud Act att vara tillämplig. Även om backupservrarna finns i Sverige eller inom EU så är det ändå ett amerikanskt företag så när data hamnar på servrar hos dem omfattas detta av Cloud Act. För företag som tillhandahåller t.ex. Disaster Recovery tester och backuptester kommer också frågor kring vad som gäller för det data som används vid restore tester ? Vad gäller i det scenariot? När återläsningen är gjord och hamnat på deras servrar, gäller Cloud Act då ?

Datacenters för molntjänster i Sverige?

För t.ex. ett programvaruföretag som planerar att bygga en molntjänst baserat på t.ex Microsoft Azure kan det också bli problematiskt även om stora amerikanska företag börjar bygga datacenters i t.ex. Sverige för att överkomma frågeställningen om data lagras i andra länder och den osäkerheten det kan medföra för kunder. Principen är densamma för molnleverantörer som byggt hela sin molnlösning på Microsoft Azure för att själva slippa driften och ansvaret för sina kunders program och data.

I och med Cloud Act så är de lokala datacentren i praktiken oskyddade ändå, i vart fall om syftet varit att lugna kunder och användare kring vem som har tillgång till deras data. Data kan ju ändå begäras ut av amerikanska myndigheter och det var kanske inte alls vad man hade tänkt sig eller ens förutsåg som en möjlighet.
Det känns rimligt att anta att just de här aspekterna inte kommer att tas upp särskilt noggrant i samband med säljsamtal eller information till befintliga kunder.

Vilket data kan slutkunden acceptera ska vara tillgängligt för myndigheter i USA? Hur beskriver man GDPR i ett sånt scenario när man inte ens vet själv?
Vet man ens vilket data som lagras var, varför,hur, hur länge och vem egentligen som har tillgång till det? Var och hur hamnar t.ex. backuper ?
I praktiken kommer det nog vara helt omöjligt att besvara de frågorna helt uttömmande.

Några fler frågor dyker upp ..

En del andra frågetecken dyker också upp som t.ex, hur ser lagen ut om företaget som tillhandahåller molntjänsten är delägt av ett amerikanskt företag? Vad gäller då ? Vad gäller om företaget ägs av ett svenskt företag med egna servrar och hallar i Sverige men har en amerikansk investmentfond som delägare ? Vad gäller om två molnleverantörer samarbetar i olika projekt kring data och molntjänster varav den ena är amerikansk och den andra inte ?
Cloud Act väcker många frågor när man slår sig ner och funderar på vad den innebär i praktiken.

Cloud Act och molntjänsten rCloud Office

För Red Cloud ITs kunder och samarbetspartners spelar Cloud Act ingen roll.
Allt vårt data finns i Sverige, vi äger vår egen hårdvara, endast svensk, behörig personal kan nå molnservrarna och vi är ett svenskägt företag utan andra delägare eller investerare och det har varit tanken från grunden.

Vi förutsåg att den här typen av problem skulle kunna uppstå men även andra problem kring hur lagar och regler fungerar när man skickar data över nationsgränser så vi vårt val från början var att bygga molntjänsten rCloud Office som en geografiskt avskild enhet.

Data i rCloud Office är nåbart för våra kunder var de än är i världen men det finns bara i Sverige i våra datacenters så länge kunden inte själv medvetet e-postar/kopierar ut data till annan plats.

Eftersom Red Cloud IT inte är ett amerikanskt företag utan ett helt svenskägt företag så omfattas alltså inte molntjänsten rCloud Office av Cloud Act.

Att vara kund eller samarbetspartner med oss innebär alltså man inte behöver tänka på i vart fall den aspekten av molntjänster.
Så länge data finns inom rCloud Office omfattas det inte av Cloud Act men så fort det skickas till ett företag som använder någon amerikansk molntjänst så omfattas det.

 

Läs mer Cloud Act här