Ber deg lage en plan for USA-exit: – Men overgangen kan bli vanskelig

– Kanskje er dette wake up-callet vi trengte for å bli sterkere og mer selvstendig, skriver arkitekt Magnus Elden, om å gå fra amerikanske til europeiske skytjenester.

– Etter Trump-administrasjonens politikk og de siste hendelsene knyttet til amerikansk lovverk og utenrikspolitikk, har tilliten blitt kraftig svekket, skriver Magnus Elden. 📸: Privat
– Etter Trump-administrasjonens politikk og de siste hendelsene knyttet til amerikansk lovverk og utenrikspolitikk, har tilliten blitt kraftig svekket, skriver Magnus Elden. 📸: Privat Vis mer

💡 Før jeg starter på selve bloggposten så må jeg påpeke at jeg er ingen jurist, bare en arkitekt og utvikler som har jobbet med GDPR siden 2018. Jeg har også vært ansvarlig for GDPR-systemer og -prosesser for et multinasjonalt firma, og jeg har jobbet veldig tett på jurister over årene og fulgt endringene nære.

Tilliten mellom USA og EU har lenge vært et omstridt tema innen diskusjonen rundt transatlantiske datastrømmer, særlig med tanke på personvern og datasikkerhet.

Men etter Trump-administrasjonens politikk og de siste hendelsene knyttet til amerikansk lovverk og utenrikspolitikk, har denne tilliten blitt kraftig svekket.

Dette skaper usikkerhet rundt blant annet det nye risikobildet og det juridiske grunnlaget for dataoverføring og datalagring til og i USA.

Det er da naturlig å lure på hva dette betyr for oss her i Norge.

Hvor står vi nå?

La oss starte med status quo.

Akkurat nå er det vanskelig å si noe med full sikkerhet. Egen risikovurdering er en ting, men fra et juridisk eller nasjonalt standpunkt må vi vente på avgjørelser fra EU-kommisjonen eller nasjonale myndigheter før vi kan trekke konklusjoner.

Likevel kan vi spekulere og spå litt. La oss ta en liten tur gjennom GDPR sin historie for å få litt perspektiv å starte med:

  • 1995 – EU Data Protection Directive la grunnmuren med grunnleggende prinsipper for personvern, men tillot oversendelse av data til USA under Safe Harbor rammeverket (2000).

  • 2013 – Edward Snowden viste at USA brukte teknologi for å overvåke så å si alt og alle, noe som bekymret mange i EU og satte spørsmålstegn rundt hvor trygg Safe Harbor rammeverket faktisk gjorde dataene våre.

  • 2015 – Schrems I – Max Schrems utfordret Safe Harbor i European Court of Justice (ECJ), hvor han argumenterte for at USA sin overvåkning gikk på tvers av EU sine personvernrettigheter. ECJ invaliderte Safe Harbor som et resultat.

  • 2016 – Som en konsekvens av Schrems I introduserte EU GDPR, med Privacy Shield rammeverket som en erstatning for Safe Harbor. Privacy Shield var enda strengere og satte større krav til commitments fra firma i USA.

  • 2020 – Schrems II – Schrems utfordret Privacy Shield, hvor han argumenterte at selv Privacy Shield ikke beskyttet EU data tilstrekkelig. ECJ invaliderte det meste av Privacy Shield. Noen små detaljer hang igjen, med modifikasjoner.

  • 2023 – Som en reaksjon på at Privacy Shield ble fjernet introduserte ECJ EU-US Data Privacy Framework (DPF) som en erstatning for Privacy Shield. DPF hadde enda flere juridiske rammer og sikkerhetsmekanismer.

Det tar oss til nuet hvor tillitten til USA er svekket kraftig. Det er et stort problem siden Privacy Shield, som alle løsningene før det, var i bunn og grunn basert på tillit. Derfor spår jeg at vi kommer til å ende opp tilbake der vi var etter Schrems II-dommen, hvor Privacy Shield ble kjent ugyldig.

Hva må vi tenke på på kort sikt?

Det er helt klart en del FUD (Fear, Uncertainty, Doubt) med i spillet, men det at det kan skje en gang, og så fort, betyr jo at det kan skje igjen og like fort. Selv om ikke vi trenger å kaste alle de store skyleverandørene på havet, er det ikke slik at vi kan ignorere det som har hendt heller.

Gitt at Trump sannsynligvis er ute om fire år, kan det åpne for at USA gjenoppbygger tilliten som en sterk og troverdig partner i fremtiden. Derimot er det veldig mange i USA som støtter Trump sin politikk og det er en stor sannsynlighet for at fremtidige ledere også vil styre USA lenger og lenger unna EU.

«Kanskje er dette wake up-callet vi trengte for å bli sterkere og mer selvstendig.»

Vi har lenge lent oss på USA på mange måter, og blitt avhengige av dem. Kanskje er dette wake up-callet vi trengte for å bli sterkere og mer selvstendig.

Uansett om vi fortsetter å bruke amerikanske leverandører, er det en uheldig situasjon å være uten reelle alternativer. Det gir USA muligheten til å diktere vilkår, legge press og tvinge gjennom spesialbehandling når det passer dem.

Ved å investere i minst ett europeisk alternativ reduserer vi USAs innflytelse betydelig – ikke bare i dag, men også i fremtidige interessekonflikter.

Konsekvenser for skytjenester og datasikkerhet

Uavhengig av utviklingen er GDPR fortsatt gjeldende. Dette har kun betydning for om vi kan sende data til USA, hvordan vi kan sende data til USA, og hvilke data vi kan sende til USA. De generelle reglene og rettighetene i GDPR gjelder fortsatt og må opprettholdes selv uten noe dataoverføring ut av EU.

Videre er det et spørsmål om nasjonal sikkerhet også i dette, og som nå er mer kritisk enn noensinne. Hva hender om vi ender i en situasjon hvor vi ikke kan stole på USA i det hele tatt? Det er flere som påstår at NATO er truet, og selv om jeg tror det er liten sannsynlighet for at det går så langt så er det et tegn på at vi kanskje bør bli mer selvstendig i Europa. Derfor er det veldig viktig at vi investerer i og lærer oss europeiske skyalternativer og andre teknologialternativer, for å være forberedt for den nye fremtiden. Digitaliseringsminister Karianna Tung ber også alle ha en exit-strategi klar.

De store skyleverandørene står ikke stille de heller, og flere jobber aktivt med å finne alternativer som lar EU-kunder forbli på deres plattformer. For eksempel snakker AWS om å tilby en egen “Europeisk sky”, men det gjenstår å se om den faktisk oppfyller kravene til for eksempel suverenitet. Selv om den juridisk er avskilt, hjelper det lite om kapital og innflytelse fortsatt flyter tilbake til USA.

Den største utfordringen AWS har, blir nok å møte den etiske kritikken. Uansett hva de sier så hjelper det lite om de fortsetter å høste inntekter til utvikling av AI og teknologi med potensielle militære bruksområder, selv om det er via en proxy.

Jeg tenker også at konfidensialitet kan delvis ivaretas ved bruk av egne krypteringsnøkler, men for eksempel tilgjengelighet forblir imidlertid et problem. Full kryptering av all data før den når skyen gjør databaser ubrukelige, ettersom dataene må dekrypteres for å kunne vises i brukergrensesnitt eller behandles i virtuelle maskiner. Tjenester som køsystemer og APIer blir også utfordrende når vi ikke kan stole på skyleverandørens kontrollmekanismer. Tilgangsstyring er kanskje den største potensielle risikoen – den beste til å utføre et "Privilege Escalation"-angrep er jo vakten selv.

For private selskaper som kun behandler forretningssensitive, men ikke personsensitive data, er det fortsatt mulig å gjøre en selvstendig risikovurdering. Vi kommer nok også til å se en økning i hybride løsninger som kombinerer public cloud, private cloud og on-prem solutions fra både EU og USA. Spesielt vanlig blir det nok at GDPR data lagres og prosesseres i EU, mens resten forblir i en av de tre store.

For mange finnes det ingen reelle alternativer til de store amerikanske skyleverandørene, men det er flere Europeiske skyleverandører som tilbyr de kapabilitetene man har lært å forvente av skyleverandører. De fungerer ikke og vil ikke kunne fullt ut erstatte de såkalte “hyper scalers” som AWS, Azure og Google, men flere av dem støtter Infrastructure as Code (IaC), managed services, og serverless-teknologier. De har også andre fokusområder, som å kjøre på 100% fornybar energi.

Utfordringer med å adoptere europeiske alternativer

De største utfordringene jeg ser med å ta i bruk europeiske skyleverandører inkluderer begrenset global rekkevidde, økonomiske aspekter som kostskalering, kompatibilitet med virksomhetens eksisterende systemer og software, samt avhengighet til etablerte tilgangsstyringsløsninger.

For selskaper med internasjonale kunder og operasjoner, eller for de med strenge krav til disaster recovery og resiliens, kan fraværet av en global infrastruktur være en utfordring. Samtidig kan kompatibilitet med eksisterende systemer bli et betydelig problem, da mange programvareleverandører tilbyr native integrasjoner spesifikt for AWS, Azure og Google Cloud.

Selv om det teknisk sett kan være mulig å finne løsninger, kan en overgang til europeiske skyleverandører kreve omfattende tilpasninger eller føre til tap av støtte for enkelte forretningskritiske applikasjoner.

«Mange IT-fagfolk har opparbeidet seg dyp kompetanse innen én eller flere av de store skyleverandørene, men langt færre har tilsvarende erfaring med europeiske alternativer.»

Videre kan regulatoriske krav i andre regioner bli vanskeligere å oppfylle dersom data og tjenester er låst til EU-baserte leverandører, noe som kan komplisere internasjonal virksomhet.

En annen vesentlig utfordring er at mange organisasjoner er avhengige av Entra ID (tidligere Azure AD) for tilgangsstyring og administrasjon av ansatte på tvers av systemer og enheter. Å finne fullverdige alternativer kan være krevende, spesielt for selskaper med etablerte identitets- og tilgangshåndteringsprosesser bygget rundt Microsofts økosystem.

Til slutt har vi kunnskapsgapet. Mange IT-fagfolk har opparbeidet seg dyp kompetanse innen én eller flere av de store skyleverandørene, men langt færre har tilsvarende erfaring med europeiske alternativer. Overgangen kan derfor bli krevende, ikke bare fordi nye plattformer må læres, men også fordi mye av det som kommer ferdig konfigurert hos hyperscalerne må settes opp manuelt.

Funksjoner som deployment pipelines, overvåking, dashboards og sikkerhetsmekanismer krever ofte langt mer spesialisert kompetanse når man ikke kan lene seg på de innebygde verktøyene fra AWS, Azure eller Google Cloud. Dette kan øke både kompleksiteten og kostnadene, særlig for virksomheter som ikke har ressurser til å utvikle og vedlikeholde egne løsninger.

Hva vi kan gjøre akkurat nå?

Uansett hvilken retning dette tar, er det klart at vi kommer trolig til å se betydelige utfordringer. For virksomheter og myndigheter blir det viktig å følge med på utviklingen, tilpasse seg nye krav og vurdere alternative løsninger for sikker datahåndtering. Det kan også være behov for en mer lokal tilnærming til infrastruktur og lagring, særlig for sensitive data.

For å ikke snakke om de etiske aspektene ved å bruke tjenester fra USA, som overvåkning, kommersiell datautvinning og risikoen for myndighetsinnsyn. I tillegg kan våre data og penger bidra til utvikling av AI og teknologi brukt til krigføring og masseovervåkning.

Som arkitekt har ikke hverdagen min endret seg veldig. Jeg vurderer fortsatt fordeler og ulemper med alle tilgjengelige muligheter. Det eneste som har endret seg er at noen ting som var sett på som enkle avveininger og avgjørelser har blitt mer komplekse og ikke så opplagte. Loven setter fortsatt krav på et språk vi er vant til:

«behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak» («integritet og konfidensialitet»)

For eksempel kan vi se på valget om å gå Cloud Native eller bruke Kubernetes. Før kunne vi lettere si at Cloud Native fordelene vi høster i de neste 5 årene kommer til å overdøve eventuelle omskrivningskostnader ved leverandørbytte. Nå er det kanskje en stor nok risiko at vi mister tilgang til data og tjenester til at den ekstra kostnaden for å redusere risikoen er verdt det igjen.

Veien videre

Til syvende og sist er mye av dette spekulasjon, ettersom vi fortsatt venter på at EU-kommisjonen, og deretter norske organer som DigDir, skal komme med oppdaterte reguleringer og retningslinjer. Likevel er det allerede nå tydelig at landskapet for datalagring og overføring mellom EU og USA er i endring, og at vi som teknologer og beslutningstakere må forholde oss til en ny virkelighet.

For virksomheter betyr dette at strategiske valg innen skytjenester må revurderes med større fokus på juridisk samsvar og operasjonell fleksibilitet. Det er ikke lenger nok å anta at dagens løsninger vil være akseptable i morgen – selskaper må ta høyde for mulige regulatoriske endringer og sikre at de har robuste exit-strategier på plass.

Det kan være lurt å begynne med en grundig gjennomgang av eksisterende databehandlingsavtaler, kartlegging av dataflyt og evaluering av alternativer innen europeiske skytjenester eller hybride løsninger for de mest kritiske komponentene.

Selv om vi ikke har alle svarene ennå, kan vi anta at kravene til datasuverenitet og sikkerhet vil bli strengere. Dette er et godt tidspunkt for å også styrke interne rutiner, sikre at kryptering og tilgangsstyring er på plass, og vurdere hvordan virksomheten kan redusere avhengigheten av tredjepartsleverandører utenfor EU.

Når EU-kommisjonen kommer med sine endelige beslutninger, vil vi få et tydeligere bilde av hva som må til for å sikre fortsatt juridisk og teknisk forsvarlig bruk av skytjenester. Inntil da må vi være proaktive og forberede oss på et skiftende regulatorisk landskap.

💡 Videre lesning om hva som fortsatt gjelder:
lovdata.no/dokument/NL/lov/2018-06-15-38