Cloud computing: Er dine data sikre nok?
Virksomheder, uddannelsesinstitutioner og private bruger ’cloud computing’, hvor vigtigt data lægges ud på internettet fremfor på computeren. Men ved du, at fremmede kan kigge med, når dine data ligger i skyen? Aarhus Universitet arbejder på en løsning.

Der findes enkelte, rent europæisk ejede servere til cloud computing, men det er amerikanske firmaer, der ejer hovedparten af de cloud services, der findes i dag. Og de behøver ikke at give europæere den samme privatlivs- og databeskyttelse, som deres egne borgere har. (Foto: Colourbox)

Det kan godt være, du ikke lige ved hvad ’cloud computing’ er, men der er rigtig stor sandsynlighed for, at du bruger det allerede:

Google, Amazon, Skydrive og Dropbox tilbyder os et alternativ til vores lokale computerharddiske – en plads i deres ’sky’ ombord på deres servere. Servere der typisk ikke står i Danmark, men i USA, og som derfor ikke er underlagt Europæisk Databeskyttelseslov.

Ved at have sine data opbevaret på store servere opnår man større sikkerhed mod for eksempel nedbrud, og så kan der spares mange penge på hardware.

Potentielle problemer i sigte

En anden interessant ting ved cloud computing er, at man så at sige kan benytte sig af regnekraften fra de mange computere, der er tilsluttet skyen, og af de mange data der er inde den - det man kalder for ’Big Data’.

Big Data er enorme databaser, som man kan regne i for at spotte forretningstrends, forebygge sygdomme, sammenholde juridiske citater fra hele verden og meget mere.  Facebook og Google er de firmaer, der har de største databaser.

Fakta

Når man lægger sine data direkte på en server hos en udbyder i stedet for den lokale harddisk, bruger man ’cloud computing’ – et nemt og forståeligt eksempel er Google-Docs, hvor man bruger et tekstbehandlingsprogram direkte fra Googles servere og bagefter gemmer sine filer samme sted; filer der senere kan deles med andre.

Virksomheder kan spare penge ved at lægge forskellige filer og arbejdsgange ud i skyen, primært ved at det er nemt at skalere op og ned, uden man skal til at købe ny hardware.

’Big Data’ spås af mange en stor fremtid med mange nye jobs inden for blandt andet forskning i sygdomme og, ikke mindst, inden for markedsføring af nye produkter.
Men der er problemer i vente. Problemer om ejerskab til både data og resultater.

»Den største opgave for danske virksomheder i dag er at sørge for, at ansvaret for egne data flyttes fra dem, der ejer skyen, og ind i din egen organisation. Du har simpelthen ikke lyst til at være afhængig af andre landes politik, men vil gerne have fordelen af at have data ude i skyen,« fortæller Ivan Bjerre Damgård, professor ved Institut for Datalogi ved Aarhus Universitet.

Det virtuelle rum er fyldt med spioner

Et yderligere problem ligger i, at det fine, virtuelle rum, hvor vi gemmer vores filer, tilsyneladende er fyldt med spioner. Det kan gå udover firmaer, der har sensitive forretningshemmeligheder liggende - et simpelt regnskab kan være nyttig viden i de forkerte hænder.

Sverige har af samme grund lige forbudt ansatte i deres statsadminstration at bruge Google-apps som Gmail og Google-docs: Det regnes simpelthen ikke for sikkert nok.

En tidligere Chief Privacy Officer fra Microsoft, Caspar Bowden, har flere gange advaret mod, at den kryptering, som Microsoft tilbyder selv, er helt utilstrækkelig. Han har også mere end antydet, at der var et samarbejde mellem Microsoft og CIA.

Privatlivs- og databeskyttelse går fløjten

Fakta

Har virksomhederne styr på dine data?
På spørgsmålet om, hvorvidt danske virksomheder og private er klar over, at deres sky-data kan være potentielle ofre for spionage og hacking, siger Ivan Bjerre Damgård:

»Det er ikke noget, jeg har præcis viden om, men det kunne man godt frygte, at de ikke er. Virksomhederne er generelt ikke så dårlige til at sikre deres lokale kopier og egne systemer, men der er nok en tendens til at tro, at data i skyen, dem beskytter udbyderne,« siger han.

Der findes enkelte, rent europæisk ejede servere til cloud computing, men det er amerikanske firmaer, der ejer hovedparten af de cloud services, der findes i dag. Og de behøver ikke at give europæere den samme privatlivs- og databeskyttelse, som deres egne borgere har.

Med den nylige afsløring af NSA og CIA’s overvågningsprogram PRISM (se faktaboks), kom det helt tydeligt frem, at USA’s efterretningstjenester har snablen langt nede i services som Google, Facebook, Amazon og Microsoft, der alle sammen hver især kan siges at være ’sky-tjenester’ på den ene eller den anden måde.

Sikrer nye måder at bruge cloud på

»Afsløringen af det, som NSA laver, kom ikke bag på mig. Det har været en kendt sag, at efterretningstjenester bruger store ressourcer på at udvikle
metoder til at filtrere data, så de ikke skal sidde og kigge på alt,« siger Ivan Bjerre Damgård.

Forskeren forklarer, at det derfor ikke er nogen stor overraskelse, at de amerikanske myndigheder havde adgang til Sky-tjenester og sociale netværk. Han og Datalogisk Institut er i gang med at forske i nye, sikre måder at bruge cloud computing på.

»Altså, hvis du krypterer dine data med en nøgle, før du lægger dem ud i skyen, så er det kun dig, der kan tilgå dem, og det er der ikke noget nyt i. Det nye er, at vi er ved at udvikle en metode, hvor man kan regne i skyen, imens at data er krypterede - uden at skulle ’låse’ dem op først,« fortæller Ivan Bjerre Damgård, der er med i et tre år langt EU-projekt for større sikkerhed ved cloud computing.

»Det kan virke selvmodsigende, at man kan regne på data, der er krypterede, men det kan man, og det giver en høj grad sikkerhed: Hvis andre, end dem, der ejer data, får adgang, vil de kun se krypterede informationer. Vores system gør det lidt langsommere, men sikkerheden er høj. Vi kan allerede lave en del beregninger i skyen, men giv os et par år, så vil vi se større resultater,« siger han.

Amerikanerne passer IKKE på dine data

Når afsløringen af NSA’s aflytning af de sociale netværk har vakt så meget opmærksomhed i USA, skyldes det, at amerikanere er beskyttet af deres forfatning. Ifølge den har man ret til at udtrykke sig frit, og aflytning må kun finde sted gennem dommerkendelse.

Men europæere er langt værre stedt: Spørgsmål til kongressen har nemlig afsløret, at vi IKKE er underlagt de samme rettigheder som USA’s egne borgere. Faktisk har vi slet ingen, og NSA forsøgte endda at forsvare PRISM med, at det kun var ment på udlandet.

NSA, Cloud Services og Big Data

National Security Agency, NSA, er verdens mest computerstærke efterretningstjeneste nogensinde. Whistleblower’en Edward Snowden kopierede en række arbejdspapirer fra det NSA/CIA–kontor, han arbejdede for, og gav det til den engelske avis The Guardian, der via papirerne har afsløret, at NSA har direkte adgang til Facebook, Apple, Microsoft, Yahoo og Amazons servere.
Oplysningerne er senere blevet bekræftet af præsident Barack Obama, der blandt andet har udtalt, at man ikke både kan få ’100 procent sikkerhed og 100 procent privatliv’ i kampen mod terror.

Det er samtidig kommet frem, at programmet kaldet PRISM først for nylig er blevet rettet mod USA selv. Før 11. september gik NSA udelukkende efter ikke-amerikanske statsborgere, men valgte altså bagefter at udvide programmet.

EU har reageret mod PRISM med krav om garantier fra USA om, at europæiske data ikke aflyttes. Samtidig lægger kommissionen op til stramninger af datalovgivningen i EU. 

Cloud computing og Big Data

Big Data er det, som Google lever af, og som gør, at de stiller deres services gratis til rådighed. Via adgang til alle deres brugeres søgemønstre, mails osv., kan der dannes yderst præcise demografisk inddelte sæt af informationer om stort set alt.

Big Data-firmaer specialiserer sig i at regne på netop indholdet af Google-søgninger, Twitter-feeds og Facebook-opdateringer – data man kan købe sig adgang til eller simpelthen selv indhøste.

Et af verdens største Big Data-firmaer, amerikanske SAS, har blandt andet kunnet forudsige stigende arbejdsløshed i Indonesien, lang tid før regeringen havde nogen anelse om, at det var ved at ske: Man søgte blandt andet på afbestilte ferierejser og antal købte nye biler og lod computer-algoritmer gøre resten. På den måde fik regeringen mulighed for at stimulere markedet, før arbejdsløsheden havde bidt sig fast.

Jeg var lidt i tvivl om, hvad jeg skulle med den? og jeg kunne ikke umiddelbart finde plads til den, så jeg dræbte den..