Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale
I foråret kom Datatilsynet med en afgørelse, der har slået så store revner i forholdet mellem kommunernes it-fællesskab Kombit og den amerikanske cloud-leverandør Amazon Web Services (AWS), at Kombit nu har startet forhandlinger om at få ændret en aftale om Aula.
ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.
Få 3 ugers gratis prøveabonnement. Betalingskort er ikke påkrævet, og du bliver ikke flyttet til et betalt abonnement efterfølgende.
Du kan også få tilsendt et tilbud til dig.
- emailE-mail
- linkKopier link
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Aula bruger også Google (Firebase), der er vel samme udfordringer.
Hvor er jurisdiktionen henne? Hvis AWS indgår en aftale med en europæisk kunde, er det da kontraktbrud at udlevere data til amerikanske myndigheder. Så må den amerikanske efterretningstjeneste forstå, at hvis de forlænger oplysningerne udleveret, skal AWS holdes skadefri og efterretningstjenesten kan så sagsøges af AWS for at betale den bod, den har påtvunget dem. Og hvis nu aftalerne inddeholder monsterbøder i milliardklassen for kontraktbrud, kan efterretningstjenesterne tvinges i knæ økonomisk?
Kræver lige at du skal bevise at at efterretningstjenesterne har krævet data udleveret.. hvilket de ikke skal oplyse så før du kan løfte bevisbyrden er sprøgsmnålet om bod ligegyldigt
..skal AWS holdes skadefri og efterretningstjenesten kan så sagsøges af AWS for at betale den bod, den har påtvunget dem.
Og hvad så med de personer, hvis data er udleveret til de amerikanske myndigheder?
Mit pointe er - jeg er ikke jurist - at når vi ikke kan tvinge amerikanerne direkte til at opgive FISA mm. - kan vi så ikke gøre det så rasende dyrt for dem at fastholde den, at de afstår fra brugen?
Kryptering at rest og in transit....
Kiggede lidt på Aula og på https://aulainfo.dk/information-til-medarbejdere/sikkerhed-i-aula/ hvor de skriver følgende under afsnittet sikkerhed:
Data er krypterede fra det øjeblik de bliver afleveret til Aula, når de transmitteres, og når de lagres i Aula og helt frem til brugerens web-browser eller Aula-appen. Nøglerne til krypteringen er gemt i Danmark under lås og slå og ingen uvedkommende – end ikke Amazon AWS – vil kunne læse de data, som er gemt i Aula
Det lyder jo meget godt at data er krypteret at rest og in transit, og at nøglerne er gemt under lås og slå i Danmark, men deres kryptering helt frem til browseren må være tale om TLS og ikke dekryptering af data der kun kan lade sig gøre i klienten. I hvert fald kan jeg lave kald til Aula i Postman med min PHP session cookie til authentication, og de data jeg for tilbage er i JSON (plain text). Så hvis data vitterligt er krypteret at rest og nøglerne ligger bag lås og slå i Danmark, så foretages der stadig en dekryptering på Aulas AWS EC2 instanser (eller hvad de benytter hos AWS) inden data returneres til min browser eller Postman.
Kan vi ikke blive enige om, at AWS eller anden tredjepart i teorien godt kan få adgang til de rå data hvis dekrypteringen sker serverside hos AWS?
PS....
Selvom AWS er et kæmpe firma med mange datacentre vil Aula konstant vide og kunne efterprøve, hvor data er gemt.
Denne er også super god (fra ovenstående link). Aula eller Kombit ved jo reelt ikke om AWS allerede har udleveret data til CIA eller anden myndighed i USA.
Nøglerne til krypteringen er gemt i Danmark under lås og slå
Den her formulering passer med at Aula rent teknisk bruger (AWS KMS) CMK-nøgler med eksternt nøgle-materiale.
Doctolib i Frankrig, som har en dom for at de kan bruge AWS til sundhedsdata, lavede såvidt jeg ved kryptering i applikationslaget og krypterede og dekrypterede på en HSM-boks i et fransk datacenter.
Det ville klæde NetCompany og Kombit at løfte fligen om hvordan løsningen rent teknisk er skruet sammen - Aula er immervæk lidt af et flagskib rent GDPR-mæssigt.
Aula eller Kombit ved jo reelt ikke om AWS allerede har udleveret data til CIA eller anden myndighed i USA
I AWS's egne "Information Request Reports" anfører de at de ikke har udleveret data fra ikke-amerikanske datacentre til amerikanske myndigheder. Det er selvfølgeligt et partsindlæg, men derfor kan det jo godt være rigtigt.
@jens udfordringen her er bloat at FISA giver dem mundkurv på - så deres svar "vi har ikke udleveret data" er intet værd
Den her formulering passer med at Aula rent teknisk bruger (AWS KMS) CMK-nøgler med eksternt nøgle-materiale.
Doctolib i Frankrig, som har en dom for at de kan bruge AWS til sundhedsdata, lavede såvidt jeg ved kryptering i applikationslaget og krypterede og dekrypterede på en HSM-boks i et fransk datacenter.
Men er vi ikke enige om at for, at AWS ikke skal kunne tilgå de ukrypterede data, skal dekryptering ske udenfor AWS. Det kan så være hos klienten eller en server et andet sted. Hvis en server hos AWS initierer dekryptering ved brug af eksterne nøgler i Danmark eller ved brug af f.eks. en HSM-boks i Danmark, og serveren hos AWS returnerer de dekrypterede data til klienten, så vil AWS have adgang til de dekrypterede data (i hvert fald i teorien).
Aula klienten bygger på et JavaScript framework og laver API kald til www.aula.dk/api/v14. www.aula.dk peger på 3 IP-adresser ejet af AWS, så kald til selve website/klient og API havner hos AWS som returnerer plaintext JSON return fra API'et.
"så vil AWS have adgang til de dekrypterede data (i hvert fald i teorien)."
Det er netop i teorien - i praksis vil det kun være muligt på et ekstremt lille udsnit af data, og det vil være enormt resourcekrævende at identificere hvor og hvornår man vil skulle fange data in-memory.
Man må antage at selv NSA vælger at bruge deres resourcer der hvor det giver mest mening af hensyn til USAs interesser (og det er næppe personoplysninger om danske skolebørn...)
Men er vi ikke enige om at for, at AWS ikke skal kunne tilgå de ukrypterede data, skal dekryptering ske udenfor AWS.
Jo, hvis Aula-løsningen bygger på CMK-nøgler med eksternt nøgle-materiale, så fungerer det på den måde at nøglematerialet uploades til AWS, og bruges af AWS til at kryptere og dekryptere.
Så det kan godt være at nøglen ligger på en USB-disk i en bankboks hos NetCompany, men uanset hvad NetCompany gør med den USB-disk, så fortsætter AWS med at kunne kryptere og dekryptere.
Normale CMK-nøgler med AWS-genereret nøglemateriale har en konfigurerbar venteperiode indbygget (7-30 dage) hvor nøglen kan genetableres.
På CMK-nøgler med eksternt nøglemateriale kan NetCompany bede AWS om at fjerne nøglematerialet uden venteperiode og så duer nøglen først igen når nøglematerialet er blevet gen-uploadet. Hvilket er praktisk i det tilfælde at russerne står for døren.
AWS kunne komme det sidste stykke ved at præcisere at al kryptering og dekryptering uden undtagelse altid logges (i CloudTrail). Underforstået uanset om operationerne foretages som en del af systemets naturlige drift eller som led i en udlevering (upåagtet at udleveringer fra europæiske datacentre til USA endnu aldrig har fundet sted).
På den måde kunne NetCompany overholde GDPR ved at iværksætte en supplerende teknisk foranstaltning: At holde et vågent øje med CloudTrail, undersøge mistænkelige dekrypteringer og derefter rapportere eventuelle uforklarlige operationer som utilsigtede tredielandsoverførsler.
hej Henning. for at forstå det gentager jeg lige: Aula kan lovligt bruge AWS (og andre us cloud services) hvis AWS ikke har adgang til krypteringsnøglerne og al kryptering og dekryptering udenfor AWS logges?
- hvis ja, hvorfor gør alle så ikke bare det?
- er det dyrt og besværligt?
- og er det så ikke i sidste ende smartere, dvs lettere og billigere, at købe europæisk cloud?
Hej Pernille
Doctolib i Frankrig har en domstolsafgørelse om at den måde, som de gjorde det på med Covid vaccinationsdata i AWS er lovlig.
Det samme kunne have været gjort med Aula. Datatilsynet nikker selv til samme løsning i deres Vejledning om cloud (Eksempel 8).
Udfordringen er at det er en løsning, som koster lidt i hardware (HSM-bokse på dansk jord) men først og fremmest er mere besværlig og dyrere at programmere til. Derfor gør alle ikke bare dét.
Til sammenligning er AWS CMK-nøgler noget man grundlæggende blot konfigurerer i AWS - uden at databaser og servere opfører sig anderledes for applikationsprogrammørerne.
Spørgsmålet om man så ikke bare skulle købe fra et europæisk datacenter? Til dét vil jeg jo sige at AWS allerede er europæiske datacentre.
AWS har politikker, som man kan sætte op så kun europæiske lokationer kan anvendes. Den slags - og mere endnu skal selvfølgeligt være på plads.
AWS har også et skilt som nogle amerikanske biblioteker siges at have. Hvor der står "Vi har endnu ikke udleveret låneroplysninger til FBI" (men hold øje med om skiltet forsvinder).
Så længe AWS fortsat stiller spørgsmålet og svarer "None" på om de nogensinde har foretaget udleveringer fra ikke-US datacentre til amerikanske organisationer i deres halvårs-rapporter, så er skiltet stadig på væggen.
Datatilsynet siger så i øvrigt flere steder i cloud-vejledningen at leverandørens forsikringer ikke kan stå alene, men skal være "understøttet af objektiv, troværdig og tilgængelig information".
Samtidig med at Kombit sendes i møder med AWS for at få nogen flere leverandør-garantier. Det virker som en Herodes-Pilatus situation.
En konstruktiv vej ud af det kunne være hvis AWS gentog løftet om ikke at bygge bagdøre ind i deres platform og om at der ikke er bygget nogen mekanismer ind, som kan disable logging.
Underforstået at på trods af at AWS godt nok aldrig har gjort det - så hvis de nogensinde foretager sådan en udlevering, så vil der (for dem, der kigger efter det) være mærker efter koben på terrassedøren.
Hvis det var tilfældet, så kunne jeg som dataejer iværksætte en teknisk foranstaltning: At inspicere loggen for at se om der foregår abnormal dekryptering af mine at-rest krypterede data.
Og hurtigst muligt tage mine forholdsregler og rapportere det til Datatilsynet og de berørte som en utilsigtet dataoverførsel - ikke at det nogensinde forventes at blive aktuelt.
Inspektion af logfiler som en teknisk foranstaltning/kontrol er helt klassisk: Der er jævnligt sundhedspersonale og politifolk som på den måde bliver afsløret med fingrene i register-kagedåsen.
Det store spørgsmål er om det så er en tilstrækkelig foranstaltning for Datatilsynet.
1000 tak. meget interessant og meget kompliceret, men det kan gøres lovligt med en masse krumspring....
tilbage står spørgsmålet så: Er det dataetisk at bruge AWS?
Ved at benytte AWS støtter du op om et datamonopol, da AWS er ejet af Amazon, som er anklaget for at misbruge sin magt overfor mindre virksomheder på den platform, som Amazon selv kontrollerer og også selv sælger produkter på, en virksomhed der køber de små op (og ved præcis hvornår de skal gøre det fordi AWS kan se det på deres brug af cloud data) og dermed hæmmer den fri konkurrence, der bor i skattely eller forhandler skatten vildt ned ned mod at de skaber arbejdspladser, men de har samtidig et elendigt ry i forhold til deres behandling af medarbejdere etc etc
det synes jeg da også at man som dansk offentlig instans bør have med i sine overvejelser når man vælger leverandør. det gør man jo osse når det gælder miljø og klima. og inden for cloud-tjenester er der bedre alternativer......
og er det så ikke i sidste ende smartere, dvs lettere og billigere, at købe europæisk cloud?
Nu kan man jo mene at data som det der ligger i Aula bør krypteres lige gyldigt om det er hostet hos AWS i EU/US, i Scaleways beskyttelsesrum under Paris eller hos Sentia i Glostrup.
Jo, og så fungere aws blot som en webapp skal og en data at rest løsning, løsningen kan ikke behandle data.
Brev sendt til min bopælskommune 11. august 2022:
Kommunen har 26. august sendt det videre til Kombit for input og de sidder nok og sveder lidt over hvad de skal svare....
Til XXXX Kommunes DPO,
Som forælder til børn i XXXX Kommune og der igennem bruger af Aula, bekymrer brugen af AWS (Amazon Web Services) til drift af Aula-platformen mig meget. Der har været meget offentlig debat og omtale af Chromebooks og Google Workspace, men ikke meget omtale og information om brugen af AWS til Aula, og derfor må jeg selv opsøge informationen.
Det er jo kendt at AWS i Dublin som Aula benytter sig af rent juridisk er ejet af AWS i Seattle, US. Og der igennem er der en risiko for overførsel af vores børns data herunder personfølsomme data til myndighederne i USA jf. FISA 702 og US Cloud Act.
Set i lyset af denne problematik, Schrems 2-dommen og Datatilsynets cloud-vejledning fra marts 2022 har jeg et par spørgsmål til jer som dataansvarlig for mine børns data i Aula.
Hvilke organisatoriske tiltag har XXXX Kommune herunder Kombit og Netcompany gjort for at sikre at data ikke overføres til tredjeland?
Hvilke tekniske tiltag og foranstaltning har man implementeret for at sikre, at oplysninger om vores børn ikke overføres til myndighederne i USA?
Hvordan kan det være at man, set i lyset af Schrems 2-dommen, FISA 702 og US Cloud Act, skriver i persondatapolitikken for Aula-platformen at "Endvidere overføres der ikke personoplysninger til tredjelande uden for EU eller EØS.", når man ikke kan være 100% sikker på at det ikke sker?
Venlig hilsen Jens Beltofte
Det fantastiske ved Aula, Intra, mv, er at deres slutbrugere er et "captive audience". Jeg har som forælder så godt som ingen indflydelse på hvilken platform der bliver brugt og jeg har endnu ikke mødt en der rent faktisk var behagelig at bruge - og når man så lige blander ind at de ikke har styr på data, så bliver det da bare så meget bedre.
og man ser gang på gang, at ingen reelt har tjek på, hvad de beder os bruge af diverse smarte værktøjer
"I standardaftalen, Kombit har skrevet under på, forbeholder AWS sig retten til at udlevere persondata fra kommunikationsplatformen, som folkeskoler og daginstitutioner landet over bruger, til amerikanske myndigheder."
Hvordan kan man dog finde på at skrive under på noget sådant, efter ikrafttræden af GDPR?
"I skabelonen har man dog fjernet sætningen om tredjelandsoverførsler, der fremgik af den tidligere privatlivspolitik. Garanti eller ej? Sætningen er ikke længere relevant, skriver Kombit i en mail til Version2: »Som dataansvarlig er man alene forpligtet til oplyse de registrerede, hvis der konkret sker overførsler af personoplysninger til tredjelande. Da der ikke overføres personoplysninger til tredjelande ved brug af AWS og AWS’ services, var den nævnte sætning overflødig og den er derfor fjernet fra skabelonen til privatlivspolitikken. Vi er opmærksomme på problematikken om myndighedsanmodninger.«"
Men af svarene på de efterfølgende - gode opfølgende - spørgsmål, fremgår det jo klart og tydeligt, at man direkte lyver for befolkningen her. Man kan på ingen måde garantere, at der ikke bliver udleveret data til usikre 3. lande.
Så meget for, at man kan have tillid til danske myndigheder. De er kun til at stole på, så længe det ikke koster noget...En krejlernation...
Og KL er en af storsynderne. En af de helt store "forbrydere" i den sammenhæng. Det er helt utroligt så skamløst, de har opført sig i forbindelse med digitaliseringen.
Hvem er de folk, der sidder i KL, og skalter og valter med borgernes rettigheder for at tækkes BigTech? Og hvor tæt omgås de med BigTechs lobbyister?
Det kan man fordi der kun var få alternativer og de var væsentligt dyrere (i Danmark skal alt være billigt på papiret).Hvordan kan man dog finde på at skrive under på noget sådant, efter ikrafttræden af GDPR?
Desuden var der svjh. en aftale på plads med USA som gjorde at det ikke var det store problem.
Desuden var der svjh. en aftale på plads med USA som gjorde at det ikke var det store problem.
Korrekt. Det var først i juni 2020 and Privacy Shield blev gjort ulovlig ifm. Schrems II dommen. Dog er Aula udrullet til institutioner efter denne dato - vi begyndte først at bruge det i Gladsaxe Kommune i maj 2021.
Når SupWiz kan så kan Aula osse finde en anden leverandør end AWS https://dataethics.eu/danish-chatbot-in-a-european-owned-cloud/og her er en guide til EU tjenester hvor der er flere reelle alternativer til AWS https://dataethics.eu/guide-to-european-cloud-solutions/ fx tyske Hetzner
Fælles for de europæiske alternativer er at de tilbyder IaaS + Container infrastruktur.
Dette er den "værdiløse" del af cloud, der alene bør tages i brug for at kunne tømme et on-premises datacenter.
Den rigtige værdi ligger i PaaS og SaaS.
Nogle af de europæiske alternativer kan måske lave aftaler med nogle af de store SaaS-leverandører, der er baseret i Europa (som f.eks. SAP), men det giver jo ingen mening at benytte amerikanske SaaS løsninger hostet hos en europæisk cloududbyder - det vil alligevel være underlagt amerikansk lovgivning med flertallet af de nuværende kontrakter.
Det er således ikke reelle alternativer i en cloudstrategi.
Resultatet er at danske virksomheder og myndigheder bliver sat år(tier) bagud i den internationale konkurrence.
Resultatet er at danske virksomheder og myndigheder bliver sat år(tier) bagud i den internationale konkurrence.
Men de samme regler og dilemmaer gælder vel for andre EU-virksomheder?
Desuden kan det ikke nytte, at vi lader virksomheder diktere vores lovgivning. Man har kendt til problemet i årevis, men har satset på, at reglerne ikke ville blive håndhævet. Det bliver de så nu. Så hvis man ikke er forberedt, og bliver sat år tilbage, fordi de nu - mod forventning, åbenbart - håndhæves, så er det helt selvforskyldt - man kunne være begyndt at sadle om i tide.