Jeg har i veldig mange år vært skeptisk til å ta i bruk de store amerikanske skytjenestene. Dette har nok stemplet meg som både idiot, vanskelig, bakstreversk og mer til hos noen både på min gamle arbeidsplass, IT-avdelingen ved Universitetet i Bergen, og på min nåværende arbeidsplass, Helse Vest IKT. Noen har nok ment at jeg er i kategorien som går med aluminiumsfolie på hodet osv, men jeg har hele veien ment at det er mange problemer med å bruke de store offentlige skytjenestene.
Under skal jeg liste opp noen av grunnene jeg har hatt for å være skeptisk, hva jeg mener vi i Norge og Europa burde gjøre med det, og til sist litt om hvorfor jeg mener dette nå er brenn-akutt slik Trump og USA oppfører seg.
Hvorfor er det problematisk?
- Personvern.
Lenge før GDPR og fokuset på personvern kom i Europa, så påpekte jeg at vi ikke kan stole på at de amerikanske firmaene og spesielt de amerikanske myndighetene holder seg unna dataene som lagres hos amerikanske firmaer. Uansett om serverne står i USA, Irland, Nederland eller på Rennesøy i Norge så vil likevel ansatte i Microsoft kunne lese data du lagrer i skytjenestene deres. Det er bare sånn skytjenester fungerer, det er umulig å bruke de uten at de som lager løsningen også kan lese det du lagrer der. Så kan man si at Microsoft jo har lite å tjene på å lese dataene til kundene, det vil jo ødelegge hele businessmodellen deres.
Selv om vi kjøper det argumentet, så er det likevel et stort problem igjen: amerikanske myndigheter. I USA har de hemmelige lover som gir myndighetene vide fullmakter til innsyn i nær sagt hva som helst. De kan pålegge en ansatt i Microsoft via hemmelige dommer i hemmelige domstoler å utlevere data til myndighetene uten at den ansatte får fortelle det til sin egen sjef en gang uten å bli truet med national security-brudd med enorme straffer. Dette ble godt dokumentert allerede av Snowden i 2013.
Det har vært gjort diverse forsøk på å bøte på dette med privacy shield og juridiske krumspring, men rot-problemet er jo at vi ikke kan stole på amerikanerne, og det lar seg ikke løse med kontrakter og papirøvelser. Maximilian Schrems har utfordret dette i EU flere ganger og vunnet i retten, men det tar jo forferdelig lang tid, og i mellomtiden legger større og større deler av Europa alle dataene sine i de amerikanske skytjenestene.
I Norge presset Høyre-regjeringen gjennom at forsvaret skulle legge omtrent alt de har ut i Microsoft sine skytjenester, for å bevise at hvis de kunne, så kunne ingen andre deler av det offentlige i Norge si nei. Så nå har vi intern kommunikasjon i regjeringen, forsvaret og departementer som alt går via amerikanske skytjenester. Til og med helsedata for innbyggerne legges mer og mer over i tjenester i Microsoft Azure. - Sikkerhet.
Når “alle” legger sine data i en tjeneste, så blir jo den tjenesten et mål for all verdens angrep. Snakk om å legge alle eggene i en kurv. Nå beskyttes jo den kurven ganske godt, men det er også ganske seriøse krefter rundt om i verden som kunne tenke seg å både få innsyn i, og også ødelegge tjenesten. Hvis “alle” myndigheter i Europa, “alle” firma osv. har lagt sine data i Microsoft Office365, og den skulle gå ned, hva da? Hvem tror vi Microsoft vil prioritere i en sånn situasjon? Amerikanske myndigheter, og ikke Europa. Vi ville stå helt på bar bakke, uten både epost, dokumenter, samhandlingsverktøy osv.
Hva om amerikanske myndigheter skulle bli så sure på Europa, at de trykker på “den store knappen” og slår av skytjenestene for Europeiske brukere? Eller at en dom i Europa sier at det ikke er lovlig å ha data i amerikanske skyløsninger og det blir ulovlige over natten? Hva om NATO rakner og vi ikke lenger står på samme side som USA i en konflikt? - Kontroll på egne data.
De fleste som bruker skytjenester tenker at de er så sikre og gode at de ikke bruker to kalorier eller kroner på backup og strategier for hvordan de skal oppføre seg om tjenesten skulle miste det de har lagret, eller skulle opphøre å eksistere. Om man leser det med liten skrift i f.eks. Microsoft sine avtaler, så står det at det er kunden sitt ansvar å ta backup av egne data, men hvor mange gjør det? Jeg, som backupansvarlig på UiB, kranglet i årevis om dette, og ikke før Gartner sa det samme som meg, innførte UiB backup av Microsoft 365.
Microsoft har i tillegg gjort det tilnærmet umulig å klare å backe opp dataene sine for bedrifter av en viss størrelse uten mange krumspring, så da er spørsmålet: hva hvis det verste skjer? Har du kontroll på egne data? Vil myndigheter i Europa fortsatt kunne operere hvis skytjenesten forsvant? Eller er de satt 20 år tilbake i tid, og har mistet alle data de har? Hva med bedrifter? De kan miste alle eposter med kunder, bookinger, ordrer osv. - Lokal kompetanse.
Etter hvert som bedrifter og det offentlige har tatt i bruk skytjenester, har de systematisk bygget ned lokal kompetanse på drift av løsninger “on-prem”. I stedet for å betale for kompetanse lokalt og hardware “on-prem”, så sender vi pengene via finurlige skatte-smutthull til USA. Hvis man en dag trenger å hente hjem igjen tjenestene, så starter de fleste på bar bakke i forhold til kompetanse og utstyr å kjøre det på.
Dette er også et ideologisk poeng mener jeg. Hvorfor skal vi sende pengene til selskaper i USA i stedet for å bruke de på lokal kompetanse i Norge? Noen av skytjenestene er også kjent for å ha noen av de dårligste arbeidsforholdene i verden (*host* AWS *host*).
Hva burde vi gjøre i stedet da?
Det kommer an på hvem “vi” er, så jeg deler det i to:
- Bedrifter.
Er du en liten bedrift, så kjøp fra et europeisk alternativ. Det er mange forslag her: https://european-alternatives.eu/alternatives-to
Er du en stor bedrift, så kjør systemene on-prem. Ansett gode fagfolk som kan drifte det i egen datahall, eller lei plass i en europeisk datahall. Evt. kjøp fra europeiske tilbydere som på linken over. - Offentlige myndigheter.
Jeg har i veldig mange år ivret for å bygge opp en norsk statlig sky. Jeg var med i nasjonale arbeidsgrupper i NTL når vi frontet dette på Arendalskonferansen, og fikk i gang en diskusjon om statlig sky i Norge.
Flere land i Europa har bygget opp forskjellige grader av en statlig sky, der den tyske Bundescloud nok er den mest berømte. Heike Stach, leder for Bundescloud, var på eForvaltningskonferansen i 2020 som bl.a. NTL arrangerte, og der var kontrastene stor til diskusjonen i Norge. Hun kunne fortelle at diskusjonen i Tyskland aldri hadde vært om de skulle gjøre det, men hvordan. Alle politiske partier var enige om at de måtte bygge sin egen statssky. Dette var på tross av at Microsoft laget en helt egen løsning av sine skytjenester i Tyskland for å prøve å blidgjøre tyske myndigheter. Denne løsningen prøvde å lage vanntett skott mellom serverne/dataene i Tyskland og Microsoft i USA, men likevel sa tyske myndigheter at dette er ikke godt nok, vi bygger noe selv. På samme konferansen stod det folk fra Digitaliseringsdirektoratet og fortalte om den fantastiske nye markedsplassen for å kjøpe skytjenester de hadde byget opp, der juridiske avtaler skulle løse alle våre problemer. Snakk om å være naiv.
Tyskerne trodde det kom til å bli veldig dyrt å bygge opp en egen statssky, men erfarte i stedet at de sparte masse penger på å bygge og drifte det selv, i forhold til å sende penger til Microsoft. Siden den gang har også lisensprisene til Microsoft gått i taket, så regnestykket er nok enda bedre i dag enn i 2020. De brukte altså mindre penger enn før, pengene ble i Tyskland, og de bygget opp kompetanse lokalt. Win-win-win.
I stedet for å sende alle pengene til USA, så kan altså f.eks. staten Norge velge å bruke pengene på å bygge opp kompetanse og drift i Norge. Enten i egen regi, eller ved å samarbeide med private aktører i Norge. På denne måten kan pengene både brukes til å bygge opp kompetanse i Norge, men også til hardware og drift i Norge. Slik det er nå sender staten Norge milliarder av kroner til USA hvert år for skytjenester, som kunne vært brukt i Norge.
Dessverre så ser det ut til at diskusjonen om statlig sky i Norge ikke kommer noe særlig videre. Det har vært utredet av statlige arbeidsgrupper, og anbefalt, men overstyrt av politikerne. Nå har NSM igjen anbefalt å gjøre noe med det, så får vi se om politikerne våre er våknet etter Trump kom til makten igjen i 2025.
Trump 2025
Forrige gang Trump satt som president, holdt han på å ødelegge privacy shield, men var for ineffektiv til å få gjort stort, så det overlevde hans periode med et nødskrik og Biden reddet ordningen når han kom til makten. Siden Trump har kommet til makten igjen i 2025, så ser vi at vi hverken kan stole på han eller domstolene i USA. Det er flere skremmende scenarioer her:
- Trump kan avskaffe ordningen som sikrer europeiske borgere sitt personvern i USA med et pennestrøk. Amerikanske løsninger ville i så fall bli ulovlige over natten, uten noen form for overgangsordning. Trump har allerede avsatt alle unntatt et styremedlem i organisasjonen som skal påse at avtalen med EU overholdes.
- EU kan bestemme seg for at vi ikke kan stole på Trump og USA og avskaffe ordningen med et pennestrøk, samme følger som over.
- EU kan som en del av handelskrigen pålegge alle medlemsland (og medlemmer av EØS) å stanse bruken av amerikanske skytjenester for å ramme USA.
- Trump kan gi ordre om å overlevere data i skytjenestene til myndighetene, og dermed sitte på all kommunikasjon, alle data osv. som europeiske firmaer og myndigheter har lagt der.
- Verden kan eskalere inn i en ny storkrig, og det er langt fra sikkert at vi er på samme side som USA. Hvordan skal vi da utføre tjenestene våre når alle dataene ligger i amerikanske skytjenester?
Uansett tror jeg at slik verden ser ut i dag, så må jeg få lov til å si “I told you so”. Det er forhåpentligvis mange flere som nå skjønner hvorfor bruken vår av amerikanske skytjenester er problematisk, og kanskje jeg ikke blir ansett som like vanskelig og sær som for 10-15 år siden. Jeg håper virkelig at vi kan få fart på arbeidet med å få til en norsk statssky, og at europeiske alternativer til de amerikanske skytjenestene blomstrer og blir tatt i bruk slik at de kan få vokse og bli minst like gode. Så får vi heller leve med at de ikke er like gode en stund, men det mener jeg vi må klare å leve med for å få bedre sikkerhet og personvern. Hvis vi bare bruker pengene i Norge og Europa, så vil det vokse frem alternativer i stedet for at vi sender alle pengene til ett firma i USA som har fått helt monopol innenfor det profesjonelle markedet.
Mer lesestoff
- The Register: Under Trump 2.0, Europe’s dependence on US clouds back under the spotlight
Denne artikkelen inneholder også utallige fantastiske lenker til annet godt lesestoff. - Jan Sandtrø sine utgreiinger om personvern er veldig gode. Sandtrø er en av Norges fremste advokater innenfor personvern/GDPR og grensegangen mellom teknologi og juss.
- Flere artikler fra Datatilsynet (som dessverre er blitt litt tannløse etter at Apenes gikk av i 2010). F.eks. denne: Informasjon om overføringer til USA
Digresjoner
Helt avslutningsvis kan jeg ikke la være å nevne helse-Norges og kanskje det offentlige Norges største IT-tabbe: helseplattformen i midt-Norge. Her velger altså det offentlige Norge å sende milliarder til et amerikansk selskap i stedet for å satse videre på journalsystemet som alle de andre helseregionene bruker, og som er utviklet i Norge.
Jeg trengte et bilde til denne bloggposten, og tenkte det ville være ekstra ironisk å lage det med Microsoft Copilot, men der lot den seg ikke lure til å lage noe som kunne være kritikk av den selv nei. Så her ser vi hvordan vi sensureres av de såkalte åpne og frie verktøyene.
