Nettskyen og offentlig sektor: Etter Snowden Thomas Sødring HiOA
Debatten om nettskyen Lite balansert med mest fokus på de positive aspektene Forvirrende, ustrukturert Jus, teknologi, drift, sikkerhet Snakker forbi hverandre Snakker vi om IaaS, PaaS, SaaS? Må leve med fakta utenfor riktig kontekst Dagbladet «avslører» e-tjenesten [A] Mye avkreftes ikke for ikke å avsløre evner Det skurrer... det føles ikke riktig
Dette er ikke skyen
Hva nettskyen løser Du utvikler en app, en Scrabblevariant for smarttelefoner. Du har 50+ brukere Behovene for appen dekkes med en maskin med: 4-kjerners CPU (2.3Ghz) 500GB harddisk 4GB RAM Pris ca. 12 000,-
Hva nettskyen løser Men så får du omtale i VG og plutselig har du 2 000 000 brukere
Hva nettskyen løser Men så får du omtale i VG og plutselig har du 2 000 000 brukere og trenger flere maskiner
Hva nettskyen løser Men så får du omtale i VG og plutselig har du 2 000 000 brukere og trenger flere maskiner Har du 400 000,- nok plass? nok strøm? nok båndbredde? systemadminstratorer? belastningsutjevning? skalere opp mer?
Tjenestemodellene til en nettsky Software as a Service (SaaS) Et program feks Office 365 / Google Docs Platform as a Service (PaaS) En plattform der du får et sett av underliggende biblioteker / programvare å utvikle på Litt lik et subsett av et operativsystem Infrastructure as a Service (IaaS) En eller flere fysiske maskiner der du kjører ditt eget operativsystem (feks Windows 7) som en virtuell maskin
En eksistensiell krise Internet opplever en slags eksistensiell krise med tanke på tillit Overvåkingsmyndigheter har hatt en jerngrep rundt sentral infrastruktur, og vi har ikke tatt grepene for å beskytte oss Men bryr vi oss egentlig? Vi må skille mellom hva individer gjør og hva forvaltningen gjør Sykehusjournaler, barnevernsmapper, regjeringens utkaster til statsbudsjett osv
Internet er blitt et slags panoptikon Friman GNU FDL license. Se [7].
PRISM PRISM er et verktøy som brukes av NSA til å samle inn private data som er lagret hos Google / MS / Facebook o.l. Leverandørene benektet først kjennskap til programmet [1], noe NSA benekter [2], og bevis er kommet fram som viser at NSA betalte millioner av dollar til disse selskapene for etterkomme krav til programmet [3] Det er uklart i hvilken grad NSA har hatt tilgang til intern infrastruktur i selskapene Full tilgang via avlytting av kommunikasjonslenker Tilgang via en fysisk tilgang til servere Fokus på data i bevegelse [4]
Snowdenlekkasjene om MS... Det mest alvorlige [5] MS var det første selskapet som var med i PRISM Kryptering i outlook.com ble svekket slik at myndighetene enklere kunne overvåke brukere Kort tid etter at MS kjøpte Skype ble PRISMinnhold hentet fra Skype tredoblet Enklere tilgang og muligheter for å hente ut data fra SkyDrive nå OneDrive Yahoo har frigitt dokumentasjon at de prøvde å unngå bli dratt inn i PRISM-programmet [6] Venter fortsatt på MS sin forklaring
MS Kommenterer We have clear principles which guide the response across our entire company to government demands for customer information for both law enforcement and national security issues. We only ever comply with orders about specific accounts or identifiers. MS er også den eneste nettsky-tilbyderen i Europa som har bestått EUs krav til behandling av personsensitive data for flere av nettsky produkter Gjelder globalt [7] We do not provide any government with the ability to break the encryption, nor do we provide the government with the encryption keys. When we are legally obligated to comply with demands, we pull the specified content from our servers where it sits in an unencrypted state, and then we provide it to the government agency." MS får full pott i en EFF rapport om beskyttelse av brukere mot innsyn fra myndigheter [8] Vanskelig å forstå NSA-lekasjene og disse opplysningene
Samarbeid eller ikke Det er et problem at MS enten ikke vil eller ikke kan fortelle sannheten om hvordan de har samarbeidet med NSA NSA jobber både offensivt og defensivt Selskaper må følge amerikansk lov Lavabit valgte å legge ned når de ble pålagt å gi krypteringsnøkler til myndighetene [9] Amerikanske selskaper er underlagt hemmelig lovgivning med hemmelige krav til innsyn og avlytting, hemmelige domsavsigelser og hemmelige sanksjoner
Alle virtuelle maskiner som kjører i en offentlig nettsky opererer i et fullstendig fiendtlig miljø. Ingen kan stoles på, ikke en gang skytilbyderen George Reese DELL [10]
Er nettskyen riktig? Er dagens programvare utviklet for drift i nettskyen? Programvare og data i nettskyen må tåle å bli snoket på Nettskyen er ingen naturlig utvikling av Internett Internett er et suksess pga åpne standarder Mye av det nettskyleverandører tilbyr er proprietært og lukket Er en investering i nettskyen mest verdifull for kunden eller leverandøren? På langsikt I dag utgjør skytjenester 0,0000047 prosent av det totale globale it-markedet [11]
Tillit Kan vi ha tillit til disse leverandørene? [12] Det eneste vi kan være sikker på er at vi ikke kan være sikker på nettskyen Nå sier Google og MS at de tar sikkerhet alvorlig Hvordan hadde det vært uten Snowden? Nettskyen er presentert som en utopisk løsning NSM sier det handler ikke om tillit men om kontroll [13] MS mot DOJ om en epost på en server i Dublin Skal de bryte amerikansk eller europeisk lov?
Hvilken lovgivning Moss kommunes data er nå underlagt Norsk lov, Irsk lov, Amerikansk lov, Microsoft lov Vi trenger en rapport som går gjennom nettsky problematikken fra et lovverksperspektiv som ikke bare omhandler personvern Hvis data blir hacket hvem er påtalemyndighet? Spørsmålet er når, ikke om! Hva skjer hvis leverandøren går konkurs? Rettigheter omkring utlevering av data
Når vi flytter til skyen... Vi flytter en ikke-fungerende kommunal IT-infrastruktur fra lokaldrift til nettskyen Det finnes ingen rapport som sier at situasjon for drifting av kommunalt IT-infrastruktur er i en kritisk fase og nettskyen er løsningen Moss kommune har brukt 3-4 år og en ukjent sum penger på å flytte systemene sine til MS Azure plattformen Moss kommune har vel ryddet opp i bevaringsproblematikken?
Bevaringsituasjon for Moss Hentet fra http://kommunal-rapport.no/artikkel/sjekk_planer_for_elektronisk_arkiv
Silotenking Man har jobbet i tiår for å bryte ned siloene i offentlig sektor Blir nettskyen nye kommunale siloer? SaaS, PaaS, IaaS Hva slags interoperabilitet er det mellom leverandører? Hvor lett er det å flytte fra Office365 til GoogleDocs? Regjeringens ønske om å løse kommunenes digitaliseringsutfordringer Ikke nettskyen, men tjenesteorientering
Hva nå? Debatten i USA handler først og fremst om å begrense NSAs aktiviteter overfor amerikanske borgere Hvis du ikke er amerikansk borger, har du ingen rettigheter i USA Parallelt handler det om en svekket global posisjon for amerikanske selskaper Etterretningen har en oppgave å gjøre. Uansett utfallet av Snowdenlekkasjene, vil de fortsette å samle inn data De har et mandat for å samle inn data om utenlandske statsborgere Etter Snowden står leverandørene der som keisere uten klær Men noen vil fremdeles ikke ta innover seg sannheten
Oppsummering Nettskyen er (foreløpig) et feilspor for offentlig sektor Nok dokumentasjon av at vi har problemer som må taes tak i først [14] Nettskyen er ikke løsningen Virtualisering og private skyløsninger? I dag er nettskyen på nettskyleverandørenes betingelser, ikke dine Betingelsene er altfor dårlig Vent på neste generasjonen av nettsky Den må komme
Årets julegave til IT-sjefen
[1] PRISM Aldri hørt om det http://www.theguardian.com/world/2013/jun/07/pris m-tech-giants-shock-nsa-data-mining Referanser [8] Microsoft has your back https://www.eff.org/who-has-your-back-governmentdata-requests-2014 [2] PRISM Dere viste om det http://www.theguardian.com/world/2014/mar/19/us-t ech-giants-knew-nsa-data-collection-rajesh-de [3] PRISM Får betalt http://www.theguardian.com/world/2013/aug/23/nsaprism-costs-tech-companies-paid [4] Kryptering http://www.zdnet.com/microsoft-to-encrypt-netwo rk-traffic-amid-nsa-datacenter-link-tapping-claims -7000023687/ [5] Alvorlige beskyldninger http://www.theguardian.com/world/2013/jul/11/mi crosoft-nsa-collaboration-user-data [6] Yahoo http://www.washingtonpost.com/business/technol ogy/us-threatened-massive-fine-to-force-yahoo-t o-release-data/2014/09/11/38a7f69e-39e8-11e4-9c9f-ebb47272e40e_story.html [7] Microsoft EU certification http://blogs.microsoft.com/blog/2014/04/10/privacyauthorities-across-europe-approve-microsofts-cloud -commitments/ [9] Lavabit stenger http://www.theguardian.com/commentisfree/2014/m ay/20/why-did-lavabit-shut-down-snowden-email [10] DELL om nettskyen http://www.digi.no/930534/du-maa-vaere-litt -paranoid [11] Nettskyen er foreløpig liten http://www.tu.no/it/2014/09/18/skyleverandor-slakter -egen-bransje--kutt-ut-nettskyen [12] Where's the trust http://www.scmagazineuk.com/microsoft-says-nsa-s pying-hit-trust-in-the-cloud/article/376564/2/ [13] Det handler om kontroll http://www.digi.no/929814/for-meg-handler-skytjene ster-om-n-ting-kontroll [14] Riksrevisjonens undersøkelse https://www.riksrevisjonen.no/sitecollectiondocume nts/dokumentbasen/dokument3/2009-2010/dokum entbase_dok_3_13_2009_2010.pdf