Frygt for NSA-overvågning af danskere i nyt KMD-tiltag

Økonomisk pressede offentlige myndigheder kan ifølge et nyt salgsfremstød fra den største it-leverandør til det offentlige, KMD, spare milliarder af kroner årligt ved at tage imod et nyt tilbud fra virksomheden. Tilmed yde bedre og mere fleksibel borgerservice.

Det attraktive tilbud er kommet i stand gennem et udvidet samarbejde mellem KMD og den amerikanske it-gigant Microsoft. Parterne tilbyder en fælles datasky, en såkaldt hybrid cloud, hvori myndigheder lægger deres it og data for at opnå stordriftsfordele.

Men ifølge en række eksperter kommer det lokkende tilbud med en pris, som ikke bliver nævnt i salgstalerne:

Friheden til at undgå amerikansk masseovervågning af danske borgere.

Oplysninger yderst sårbare Microsofts tidligere højtstående sikkerhedsrådgiver, Caspar Bowden, advarer direkte de danske myndigheder om at udnytte tilbuddet.

»Det er meget attraktivt netop for regeringer og myndigheder over alt i verden at spare penge her, men ved at lægge borgeres personfølsomme oplysninger i skyen hos denne type virksomheder, er oplysningerne helt ekstremt sårbare over for NSA og amerikanske efterretningstjenester«, siger han.

Han er it-sikkerhedsekspert, og hans tidligere arbejde i Microsoft var at fortælle regeringer og myndigheder, at deres data var sikre i den type aftale, som KMD i øjeblikket tilbyder sine kunder. Det gør han ikke mere, fordi han fandt ud af, at det ikke var sandt.

»I forbindelse med mit arbejde dengang gik det op for mig, at den amerikanske lovgivning er indrettet på en måde, der gør, at jeg nu advarer regeringer og virksomheder mod at gøre netop det, KMD gør i Danmark lige nu«, siger han.

Skyen - billig og sårbar for amerikanske spioner
KMD, det tidligere Kommunedata, har ifølge Datatilsynet i alt med mere end 1.780 offentlige registre med personfølsomme oplysninger at gøre, og det er altså de kunder, som skal høste fordelene ved at flytte over i Microsofts sky.

Kortet viser, hvilke offentlige myndigheder, som enten får behandlet eller sender danskeres personfølsomme oplysninger til KMD. Det er ikke et udtryk for, at myndigheden bruger en cloud-løsning.

Det vil sige, at myndighederne kan have forskellige typer oplysninger eller systemer placeret på servere i udlandet, i Microsofts tilfælde står serverne i Irland, og hurtigt og nemt behandle og tilgå informationerne fra Danmark.

Undersøgelser har vist, at man kan spare helt op mod 90 procent af sine udgifter til it-drift ved at flytte fra lokale systemer til cloud.

I visse tilfælde kan cloudløsninger også være mere sikre for ubudne gæster såsom hackere, men i KMDs tilfælde er problemet samarbejdet med en amerikansk virksomhed og især at den amerikanske lovgivning føler med købsaftalen, siger Caspar Bowden.

»I dette her tilfælde serverer du faktisk informationerne for NSA på et sølvfad«, siger Caspar Bowden.

NSA kan få oplysninger
I 2012 og 2013 blev Bowden blev sammen med fem andre eksperter efter flere forarbejder bedt af EU om gennemføre flere studie i sikkerheden i forbindelse med cloud-løsninger i forhold til amerikansk lovgivning.

Konklusionen blev en række opsigtsvækkende pointer om, at den amerikanske FISA-domstol i al hemmelighed kan kræve at få udleveret ellers interne oplysninger om ikke-amerikanske borgere af amerikanskejede virksomheder som Google og Microsoft. Fuld ud lovligt og uden at virksomhederne må oplyse om processen.

Rapporten vakte opsigt i EU, og efter den amerikanske whistleblower Edward Snowden sidste år afslørede den amerikanske masseovervågning af amerikanere som ikke-amerikanere, begyndte EU for alvor at tage problemet op.

Advarsel til danske myndigheder
Juraprofessor og ekspert i forfatningsret Jens Elo Rytter har læst rapporten og han er på linje med rapportens konklusioner.

»Grundlæggende er vurderingen, at så snart du sender dine data ud i skyen, så har du mistet kontrollen. Der er temmelig stor risiko for, at NSA har meget vid adgang til de informationer, man vil lægge op i denne her Microsoft-cloud - eller en hvilken som helst anden amerikanskejet sky«, siger han.

Derfor kan det ellers så gode tilbud fra KMD let blive problematisk for danske offentlige myndigheder, siger han.

»Hvis vi skal tro dette her i sammenhæng med de ting, Edward Snowden har afsløret, så mener jeg ikke uden videre, at man kan betro personoplysninger til KMD, hvis det skal foregå ude i Microsofts sky. Jeg vil i hvert fald opfordre offentlige myndigheder om at tænke sig meget grundigt om, før man tager imod tilbuddet«.

Shehzad Ahmad er en af landets førende it-sikkerhedseksperter og chef i DKCERT, der overvåger netsikkerheden for landets universiteter og en række andre private og offentlige institutioner.

Han siger, at myndigheder bør være påpasselige med skyen i forhold til databeskyttelse. Ikke mindst i lyset af Edward Snowdens afsløringer af NSA’s aftaler med de store amerikanske it-selskaber.

»Med cloudteknologien bliver it-driften billigere og nemmere, kræver mindre vedligeholdelse og giver større fleksibilitet og mobilitet. Men Snowden påstår, at amerikanske virksomheder har indgået fortrolige aftaler, der giver NSA adgang til at sniffe i virksomhedernes og dermed i princippet også i danske løsninger. Dermed er der en risiko for tab af personfølsomme data«, siger Shehzad Ahmad.

Microsoft skærper sikkerhed
Gennem hele den mere end et halvt år gamle overvågningsskandale har Microsoft været i mediernes søgelys gentagne gange. I forbindelse med en EU-høring 11. november kom det frem, at Microsoft generelt ikke krypterer de informationer, som farer frem og tilbage mellem deres egne servere.

Det var underdirektør i Microsoft Dorothee Belz, som sammen med topchefer fra Google og Facebook var indkaldt til at møde i EU-Parlamentet for at forklare de seneste afsløringer fra Edward Snowden om, at NSA havde skaffet sig adgang til Google og Yahoos servere gennem det såkaldte MUSCULAR-program.

Microsoft har efterfølgende lovet at stramme op på sikkerheden for at imødegå den »vedholdende trussel« fra efterretningstjenesters dataindsamling. Virksomheden har også flere gange garanteret, at man ikke videregiver oplysninger eller giver NSA direkte adgang til systemerne.

»Microsoft har aldrig udleveret kundedata fra en privat erhvervskunde eller offentlig kunde under hensyn til nationale sikkerhedsinteresser, eksempelvis FISA«, lyder det fra Microsofts danske kommunikationsdirektør, Anders Adelhorst.

Han understreger samtidig, at Microsoft har bedt den amerikanske regering om bedre muligheder for at offentliggøre, hvordan virksomheden håndterer anmodninger om udlevering af kundedata.

Ifølge Jens Elo Rytter er garantierne dog noget, man skal tage med et gran salt. Han påpeger, at den amerikanske lovgivning forhindrer Microsoft og lignende virksomheder i at oplyse om et eventuelt samarbejde med efterretningstjenesterne.

»Det står helt klart, at de virksomheder, som har benægtet et samarbejde med NSA, direkte kan blive anklaget for spionagevirksomhed, hvis går offentligt ud og fortæller om det. Man kan sige, at de juridisk set er forpligtet til at benægte det«, siger han.

KMD: Kunder behøver ikke at gå i detaljer med sikkerhed
I en pressemeddelelse, hvor KMD markedsfører det udvidede samarbejde med Microsoft og det nye cloud-produkt, lyder det det, at tilbudet »bygger på en efterspørgsel blandt vores kunder«.

Det fremgår også at KMD vil varetage sikkerheden i fobindelse med aftalerne.

»(...) Cloud-services skal være til at gå til, så kunderne ikke behøver at analysere og gå i detaljer med regler for sikkerhed, logning mv.«, hedder det.

Men it-sikkerhedseksperten Shezad Ahmad opfordrer man kraftigt til, at hver enkelt myndighed laver en grundig risikovurdering af sikkerheden.

»Og den risikovurdering, man foretog for et år siden, skal revurderes i dag, fordi risikoen er større nu end tidligere. Og så er det op til hver enkelt myndighed at beslutte, om de tør bruge cloudløsningen”, siger DK CERTs Shehzad Ahmad.

Lover at rådgive kunder

KMD oplyser, at ingen endnu har købt den nye cloud-løsning.

Dog forklarer pressechef Christoffer Hellmann, at de kunder, som har interesse i produktet, ikke deler eksperternes bekymringer for udnyttelse af danskernes personfølsomme oplysninger.

»Vi oplever ikke blandt vores kunder, at der er udtrykt bekymring for sikkerheden. Det er dog klart, at der er en række såkaldte compliance-mæssige forhold, der skal tages hensyn til, når man vil benytte en cloud-service uden for Danmarks grænser«, siger pressechef Christoffer Hellmann.

LÆS OGSÅ

Han oplyser også, at ordningerne kan laves sådan, at borgernes oplysninger kan deles op, så de mest følsomme informationer ligger hos KMD i Danmark.

»Vores udvidede samarbejde med Microsoft er netop begyndt, men hensigten er, at rådgivningen af kunderne sker ud fra forskellige vinkler som teknik, jura og sikkerhed. En del af rådgivningen vil omhandle at finde en god balance på, hvilke data kunderne kan lægge i henholdsvis Danmark og uden for landets grænser«, siger Christoffer Hellmann.

På spørgsmålet om, hvilke garantier Microsoft kan give danske borgere of myndigheder for, at de ikke bliver genstand for den amerikanske masseovervågning, svarer Christoffer Hellmann:

»Vi ønsker af principielle årsager ikke at kommentere de kontraktmæssige forhold mellem KMD og Microsoft, herunder hvilke garantier, der stilles parterne imellem«.