Eksperter tvivler på særaftale mellem Kombit og AWS: Chancen er »mikroskopisk«

Det er iøvrigt ikke korrekt at AWS ikke må svare på spørgsmål FISA anmodninger, de må bare kun svare meget generelt.

AWS vedligeholder deres officielle statistik på hvor mange henvendelser de får her:https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF

Og det er korrekt at AWS ikke oplyser antal, udover at de gerne må fortælle at antallet er imellem 0 og 249 fisa anmodninger, ialt.

Men, hvis i kigger på f.eks. den seneste rapport (og alle tidligere rapporter), så siger de direkte, at ingen af de her anmodninger har medført udlevering af kunde "indhold" der er hostet udenfor USA til Amerikanske myndigheder. Dvs. de har muligvis oplyst informationer om deres kundeforhold og hvilken IP addresse der tilhører en bestemt kunde (hvilke oftest er hvad man beder om).

Som jeg forstår deres officielle udmeldinger, så er det ikke et brud på deres tavshedspligt under FISA at give den type overordnede udmeldinger, de må bare ikke forholde sig til enkeltsager og det er derfor AWS kan sige at de aldrig har udleveret "indhold" til Amerikanske myndigheder under FISA loven. Dvs. FISA loven har muligvis været brugt, men den har ikke medført adgang til data fra en AWS konto.

Se evt. en konkret rapport her:https://d1.awsstatic.com/Security/pdfs/Amazon_Information_Request_Report.pdf

»Det, man skal håbe på, er, at Datatilsynet begynder at se på de her cloud-aftaler med en større risikobaseret tilgang. Der er kommet en del absolutter, som ikke skeler til hvilke data du behandler,

… siger altså Arne Solheim… som lever af hvad lige præcist? Hmm.. “Advisor and Cloud Evangelist at Webstep | Helping companies in all sizes with all aspects of their Cloud journey | 11+ years of experience with AWS | Champion AWS Authorized Instructor” (https://dk.linkedin.com/in/arnesolheim)

Nå... okay ja. Det slår mig lige, at vi faktisk kan spare en masse penge på brandsikkerhed. Fordi hvor tit sker der lige en brand? Og hvis problemet opstår, hvor slemt er det så lige egentlig?

"Det, man skal håbe på, er, at Datatilsynet begynder at se på de her cloud-aftaler med en større risikobaseret tilgang."

Nå, ja. Vi har jo set at kommunerne og Kombit ikke gider at foretage den sikkerhedsvurdering, som kræves.

Så lyder det noget hult at mene at Datatilsynet, som jo ikke har domæneviden, skal lave risikovurdering.

Såvidt jeg er bekendt er AWS argument at de i praksis ikke kan udlevere dataen selvom de er blevet bedt om det. Selv hvis efterretningstjenesterne beder om det...

Alle deres datalag benytter kryptering, der er bundet op på nøgler der er "tamper proof", dvs. de ligger i hardware der er designet til at gå i stykker hvis man forsøger at få fysisk tilgang til det. Alt det her hænger så sammeni en trust chain der i sidste ende ender i deres fundamentale IAM service, men også dækker netværks, disk og server laget.

Kode ændringer i IAM servicen, dvs. deployment etc, kræver godkendelse at to separate teams, et Amerikansk og et Europæisk, der har pligt til at råbe op hvis der forsøges at lave ændringer der omgår sikkerheds separationen.

Et af de fundamentale design fokuser i hele opbygningen skulle være at sikre at alle deres medarbejdere altid er separeret fra brugernes data.

Det er altid svært udefra at vurdere om der i praksis er huller i det her koncept og hvor meget der er virkelighed vs. hvor meget der er aspiration. Men det virker et realistisk at den her type separation er deres mål.

Arne Solheim henviser til, at AWS eksempelvis i fra 2020 til 2022 ikke havde en eneste anmodning fra de amerikanske myndigheder om at få udleveret kundedata.

Hvor ved han det fra? Så vidt jeg ved kan en FISA ordre være hemmelig, og dermed er det strafbart at indrømme at ordren er modtaget og data udleveret. Det er så vidt jeg ved et af kerne-problemerne i at lave en ny Privacy Shield aftale.

"Arne (Solheim - min bem. ) er engasjert i å bygge og dele kompetanse også utover egen stilling og egne team. Du har kanskje sett ham på scenen i AWS User Group Norway, hvor han har vært med-arrangør siden begynnelsen, eller når han har holdt foredrag på konferanser."https://www.webstep.no/arne-solheim/

Just saying....

Er der nogen, som har troet på, at det faktisk kunne lade sig gøre at presse tech-giganterne tilstrækkeligt? Mon ikke det hele tiden har handlet om at trække tiden ud i en uendelighed, og mon ikke det skuespil vil fortsætte i en uendelighed, fordi man bare ikke vil bøje sig for GDPR - prestigetabet vil være for stort, og båndene til BigTech for tætte? Hvis man må på fuld retræte, risikerer man jo, at nogen stilles til ansvar.

"Det, man skal håbe på, er, at Datatilsynet begynder at se på de her cloud-aftaler med en større risikobaseret tilgang. "

"Arne Solheim henviser til, at AWS eksempelvis i fra 2020 til 2022 ikke havde en eneste anmodning fra de amerikanske myndigheder om at få udleveret kundedata. På den måde kan man over for Datatilsynet argumentere for, at selvom muligheden er til stede så kan den anses som usandsynlig, mener han."

Det argument har vi da hørt før. Så vidt jeg ved, kan vi ikke på nogen måde regne med at få sandfærdige oplysninger om den slags anmodninger, så der røg ekspertens troværdighed lige for mit vedkommende - det lyder i sidste ende som endnu et lobbyistindlæg, som skal lægge pres på Datatilsynet.

Den løsning vil være et totalt knæfald for Bigtech, og det vil være fortvivlende, hvis diverse datatilsyn og myndigheder ender med at acceptere den. Og mon ikke den øjeblikkelig ville sende NOYB på krigsstien igen? Det håber jeg.

Hvis man gang på gang - og faktisk løbende - helt bevidst overtræder love og regler, selv efter at man har fået påtaler og påbud fra myndighederne, er man så ikke en forbryder? Jeg ved ikke, hvad juraen siger, men i min bog er man. I hvert fald moralsk.