Jakob I. Pagter
janusdamnielsenOnsdag d. 2. juni var Alexandra Instituttet vært for en workshop med ca. 30 tilmeldte deltagere med fokus på Cloud Computing. Omdrejningspunktet for arrangement var innovation og sikkerhed i skyen. Valget af dette fokus skal findes i to grundlæggende argumenter:
- Det store forretningsmæssige potentiale ligger igennem innovation af tekniske løsninger og forretningsmodeller snarere end i økonomiske besparelser. Jo, der er potentielt store besparelser, men dem vil dine konkurrenter også udnytte. Den store udfordring bliver hvordan man kan innovere i skyen.
- Den største forhindring for effektiv udnyttelse af Cloud Computing er sikkerhed. Hvad er forsvarligt? Hvad kan lade sige gøre?
I forbindelse med workshoppen blev et udkast til en vejledning for innovation og sikkerhed i skyen præsenteret. Ifbm. med workshoppen identificeredes en række interessante cases, og et udvalg af disse vil nu blive studeret med afsæt i denne vejledning. Efterfølgende (til efteråret) vil vejledningen blive revideret og offentliggjort.
Vejledningen indeholder helt konkrete retningslinjer. Eksempelvis for hvor følsomme data der kan places i hhv. en IaaS-, PaaS- og SaaS-løsning.
I onsdags havde jeg fornøjelsen at holde oplæg om cloud computing i Region Sjælland. I spørgerunden efter oplægget blev jeg spurgt hvorvidt en mindre virksomhed ville få bedre sikkerhed ved at flytte deres servere op i skyen. Mit svar var “Ja, det vil de formentlig få”. Det kan dog ikke understreges kraftigt nok, at det – som altid – kommer an på hvilke data det drejer sig om.
Jeg blev idag interviewet til P1 Orientering ifbm. at jeg holder indlæg på IT- og telestyrelsen og KLs konference “Cloud Computing i det offentlige”.
Fokus i interviewet var på hvor anvendelsen af cloud computing i det offentlige er underlagt andre principper end anvendelsen af cloud computing i private virksomheder. Mit indlæg på konferencen er mere løsningsorienteret, med et snævert fokus på “del-og-hersk”-strategier i skyen, så for de nysgerrige er her mit syn på fortrolighed i det offentlige.
Når man bruger cloud computing bør man altid lave en nøje klassifikation af sine data udfra fortrolighed, integritet og tilgængelighed. For mange offentlige instanser vil situationen ifht. fortrolighed sikkert være den at de har hele spektret fra personhenførbare data som er meget følsomme, til allerede offentlige data (fx lovtekster, formularer osv.) som er meget lidt følsomme.
For de meget lidt følsomme data er der ikke tungtvejende sikkerhedsgrunde til ikke at placere dem i skyen (hvis man ser bort fra leverandøruafhængighed).
Det grundlæggende problem for de meget følsomme personhenførbare data er, at der ikke findes perfekt sikkerhed. En gang imellem går det galt, og når først en klump data er offentlig et sted på nettet er det umuligt at fjerne den igen. Bliver personhenførbaredata ved en fejl offentliggjort på nettet er det altså ikke muligt at slette dem igen!
Personhenførbare data kan være i skyen på forskellig vis. Enten 1) lagres data blot skyen, eller 2) også regnes der også på dem.
I tilfælde af 1) er det klart at kryptering kan være en hjælp – hvis man altså har styr på sin nøglehåndtering. Her kan man også forestille sig teknikker fra secret sharing og/eller fejlkorrigerende koder taget i anvendelse i en udmøntning af en del-og-hersk strategi. Selv når man benytter kryptering er der dog også det principielle i at der er åbnet for lagring i skyen; det øger risikoen for at man ved en fejl kommer til at lagre ikke-krypterede data eller ikke har benyttet tilstrækkelig stærk kryptering.
I tilfælde af 2) er problemet med meget følsomme data, at de med traditionelle løsninger vil skulle dekrypteres for at man kan regne på dem. Principielt kan dette løses med Secure Multiparty Computation, men denne teknologi er idag kun anvendelig for meget målrettede beregninger og er derfor ikke generelt anvendelig. Det er dog en teknologi med løfter for fremtiden.
Er man tilhænger af et forsigtighedsprincip vil det være nærlæggende at konkludere at Cloud Computing og personhenførbare data ikke passer sammen. Omvendt vil man formentlig kunne argumentere for det modsatte udfra en ren omkostningssbetragtning. Man kan selvfølgelig også have det standpunkt at lækager af fx elektroniske patientjournaler ikke er noget problem…
Redigeret 12/1-2010: Link til interview tilføjet.
Jeg har skrevet et indlæg på IT- og Telestyrelsens debatforum om brugen af Cloud Computing i det offentlige: Cloud computing i det offentlige – Digitaliser.dk.
Hovedpointen er en tese om at man – afhængigt af de typer af data man arbejder med – kan opnå enkel sikkerhed i skyen ved at bruge en del-og-hersk strategi. Til visse formål kan sådan en strategi realiseres vha. Secure Multiparty Computation (SMC).
Gemt under: Cloud Computing,Pervasive Computing,Privacy | Tags: arrangement, digitale indfødte
Den 26. november afholder vi og i-Trust i samarbejde med DI/ITEK og KITA et arrangement om de sikkerhedsudfordringer de følger i kølvandet på de “digitale indfødte”.
Gemt under: Cloud Computing,Mutual Computing,Pervasive Computing,Privacy | Tags: foredrag
Idag holdt jeg indlæg på Foreningen af Statsautorisede Revisorers konference “Sikkerhed og Revision 2009″. Titlen var “Skal sikkerhedsmodellen vendes på hovedet” og handlede om de sikkerhedsmæssige udfordringer der følger i kølvandet på bla. Pervasive og Cloud Computing.
