Det är skrämmande hur många missuppfattningar och faktafel som finns kring Cloud Act. Ansvariga i verksamheter omger sig med direkt felaktiga uppfattningar om vilken konsekvens Cloud Act innebär. Många tror att de inte kan använda molntjänster med leverantörer som har amerikanska ägare. Så vad gäller?

Teckna din prenumeration på Aktuell Säkerhet här 

Cloud Act – (Clarifying Lawful Overseas Use of Data) är i praktiken ett tillägg och ett förtydligande av en annan lag – SCA (Stored Communications Act). En missuppfattning är att den gäller alla som nyttjar en molntjänst som ägs av amerikanska företag. Vidare verkar många tro att du har inget/lite att sätta emot när myndigheter kräver ut data, att det är en lag som ger ”storebror” fri access till din organisations data, inte ens din personliga information går säker. Inget kunde vara mer fel.

I princip innebär Cloud Act att data- och kommunikationsföretag – exempelvis molntjänstleverantörer – som lyder under amerikansk jurisdiktion. I praktiken gäller Cloud Act alla med kontor och/eller dotterbolag i USA. Även tjänster som nyttjats av amerikaner omfattas. Vad många inte verka veta är att den tvingar myndigheter till mycket stränga krav för att få ut information. Det krävs oberoende domare för om kravet på utlämnande är rimligt och att informationen som krävs är direkt relaterad till brottet. Läs den sista meningen en gång till, sakta. Låt det sjunka in.

Brottsbekämpande myndigheter i USA kan först efter bilaterala avtal få tillgång till begärda uppgifter. Det bygger alltså på att ett land – säg t.ex. Sverige – där data finns samtycker till det. Sverige kan begära att tillgången till information relaterade till andra än amerikanska medborgare begränsas. Det innebär alltså ett utökat skydd för icke-amerikanska medborgare. Detta leder till två viktiga slutsatser:

1) Om utelämnandet av uppgifter strider mot integritet eller lag som värnar denna (GDPR) så får den inte lämnas ut.

2) Ingen information lämnas ut utan en formell begäran som bedöms juridiskt.

För att få informationen måste alltså amerikanska myndigheter begära att få ut informationen via en oberoende domstol. Först när de strikta kriterierna i lagen är uppfyllda beviljas tillgång till information lagrad i molnet och endast den som är relevant för brottet. Icke-relevant information skall tas bort. Dessutom får personlig information inte lämnas ut om den strider mot EU: s sekretessbestämmelser. Detta är precis motsatsen till obegränsad åtkomst och ett hot mot den personliga integriteten. Jag tror att det inte kan bli tydligare.

Men vilka är kriterierna för att lämna ut data?

  • Det måste föreligga sannolika skäl för att ett konkret brott begåtts.
  • Den begärda informationen är relevant för, och har koppling till brottet. Vidare måste man förstå att behandlingen av en persons data här måste följa artikel 6 i EU-GDPR. Vidare så måste överföringen sen vara förenlig med kapitel V (artikel 44 – 50 i samma lag). EDPB – EU Data Protection Board – uttalade sig mer konkret i en juridisk analys kring eventuella konflikter mellan GDPR och Cloud Act:

“…unless a US CLOUD Act warrant is recognized or made enforceable on the basis of an international agreement, the lawfulness of such transfers of personal data cannot be ascertained, without prejudice to exceptional circumstances where processing is necessary in order to protect the vital interests of the data subject. (EDPB – EU Data Protection Board, 10 Juli 2019)”

Skydda din data
Summerat så här långt kan vi alltså konstatera att vi fortsatt kommer kunna ta strid mot denna typ av förfrågningar som strider mot den personliga integriteten. Och vi får inte glömma det viktiga i detta, kryptering. Det finns redan idag möjligheter att kryptera den data du förvarar i molnet, vilket du definitivt bör göra. All trafik till och ifrån molnet, även den så kallade data at rest, skall skyddas med kryptering. Och om du krypterar informationen så är den ju i praktiken värdelös utan krypteringsnycklarna, nycklar som gör den läsbar. Så inte bara måste en domstol kräva ut informationen, de måste dessutom kräva ut nycklarna för att kunna läsa den om den är krypterad.

Slutligen vill jag understryka den empati jag känner för dem som oroar sig trots detta, det är oroväckande om din information kan vara föremål för brottsutredning. Däremot finner jag oerhört många fall där verksamheter har en infrastruktur med mobila enheter, sökmotorer, appar som redan är i molnet med grundinställningar som ger fritt blås med personlig och känslig information redan i detta nu. Rädslan för att ”storebror” kommer in genom dörren utan att knacka på är större än insikten att samtliga fönster och bakdörrar till ditt digitala hus många gånger redan står på vid gavel. Verksamheters säkerhetskultur blöder, lösenord återanvänds, villkor för nedladdade appar läses aldrig, personlig information flödar på sociala medier och informationspåverkan av okunniga gör att vi ser spöken i Coud Act som inte finns.

Robert Willborg, CISO Junglemap

 

 

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Sponsrat innehåll från Skövde kommun
ANNONS

Ready to take the lead? I Noden expanderar framtidens ledande branscher

I Noden expanderar framtidens ledande branscher Skaraborgsregionen växer snabbt och fokuserat. Nya satsningar inom digitalisering, smart industri, spelutveckling [...]