Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Er danske digitale løsninger og data under pres efter, at Donald Trump er blevet indsat som USA’s 47. præsident?
Det kunne man udlede af at Datatilsynet i denne uge blev citeret for at sige at ”Trump har sat en bevægelse i gang som kan true fundamentet under dataaftalen mellem EU og USA”.
Det handler om EU-US Data Privacy Framework og dermed det overførselsgrundlag til og fra USA, som EU verificerede i juli 2022.
Alle kun med rette spørge, hvad Trump egentlig har gang i, men det overlader jeg til de politiske og diplomatiske eksperter.
Men for alle os andre er det mere typisk spørgsmål som disse, vi skal tage os af i danske organisationer i disse dage:
- Er truslen reel? Og hvis den er …
- Hvilke risici medfører den fornyede trussel? V har jo været igennem den én gang før hvor sagen ’bare’ hed Schrems II?
- Hvorfor skorter det ikke på dommedagsprofeter og skal vi lytte til dem?
- Hvad siger lovgivningen egentlig at man skal gøre for at håndtere den? Og hvordan ser en exit-plan/-strategi egentlig ud?
Og skal vi virkelig tilbage til analoge løsninger, hvis vi skal skifte væk fra amerikanske standardløsninger ved at bygge det selv eller gå over til EU baserede open-source løsninger?
Her er mit bidrag til et forsøg på at svare og vise, at der naturligvis ikke bør herske panik.
I stedet bør man tage fat og skaffe sig overblik, indblik, dokumentation, planlægning og eksekvering.
Jeg ved godt det er relativt kedeligt, når nu det er så underholdende at lade sig gribe af ’Trump-mania’, men tro mig: Din bestyrelse/ledelse vil takke dig i længden.
Dommedagsprofeter har travlt
Danske medier, politikere og myndigheder er igen på barrikaderne, men denne gang er det ikke Rigsfællesskabet, CO2-udledningen eller den truede isbjørn, der kræver deres opmærksomhed.
Nej, denne gang er det situationen, hvor danske organisationer er blevet ’tvunget til’ at anvende moderne, cloud-baserede løsninger fra USA.
Og at dømme ud fra tonen kunne næsten tro, at de amerikanske skyer var lavet af mørk røg, så farlige er de for vores persondata.
Nu hvor Donald Trump er blevet USA’s 47. præsident, har danske dommedagsprofeter fundet en ny grund til bekymring: Trumps indflydelse på databeskyttelse i EU/Danmark.
Man skulle tro, at hver eneste amerikansk ejede server nu er blevet udstyret med et skilt, der siger "Warning: Contains Privacy Data that must be made available to the Trump administration."
Og at enhver form for digital interaktion med amerikanske leverandører er lig med at invitere Big Brother ind i ens organisation.
Er efterretningstjenester virkelig den største trussel?
Det er gennem årene blevet mere og mere åbenlyst, at danske myndigheder mener, at GDPR primært er en beskyttelsesmur mod nysgerrige udenlandske efterretningsvæsener, der bare venter på at få fingrene i europæiske persondata.
Som om hele formålet med GDPR var at forhindre CIA i at finde ud af, hvad danskerne spiste til morgenmad eller hvor de arbejder.
Den store ironi er, at mens man fokuserer på disse skræmmende spøgelser (se faktaboks om myndighedsanmodninger), ignorerer man fuldstændig de helt åbenlyse trusler, der allerede har resulteret i uvelkommen adgang til vores systemer og data.
Tag for eksempel Alles Lægehus, hvor patientdata tilsyneladende flød frit som en åben bog i en bibliotekssal.
Eller Easypark, hvor brugernes betalingsoplysninger blev eksponeret som en glemt dagsorden til et offentligt møde.
Disse hændelser og mange andre lignene hændelser illustrerer, at risikoen for databrud ikke ofte kommer fra efterretningsvæsenernes mørklagte kontorer, men nærmere fra manglende/ineffektive sikkerhedskontroller, procedurer og politikker der ikke efterleves og generelt uforberedte organisationer….. ikke din naturligvis, men du kender nok nogle andre.
Så mens danske myndigheder bygger imaginære mure mod amerikanske efterretningsvæsener, står de virkelige cyberkriminelle allerede ved portene, klar til at udnytte enhver svaghed i vores systemer.
For det er åbenlyst langt mere sandsynligt, at vi bliver ramt af en hacker fra en kælder i Østeuropa, end en agent fra Langley eller Maryland.
Stands ulykken!
De mange gange jeg har taget et førstehjælpskursus har ”Stands ulykken!” altid været et vigtigt begreb, som man skulle lære – og med god grund.
Det giver ikke meget mening, at man går i gang med at redde den forulykkede eller straffe synderen, hvis man ikke først sikrer, at ulykken hverken kan udvikle eller gentage sig.
Med det begreb i mente og i lyset af de mange mange databeskyttelseshændelser, bliver det tydeligt, at måden vi (og ja, vi er specielle i Danmark, men desværre ikke alene om dette fokus) går til databeskyttelse uden en reelt risikobaseret tilgang, betyder, at vi ikke fokuserer på de største og mest presserende risici, men kun på dem, der lugter lidt af Hollywood og en god spionhistorie.
Det danske datatilsyn går desværre forrest og har mildt sagt varierende held med at få domstolene til at følge sine bødeforlæg.
Ofte har domstolene konstateret at ingen datasubjekter (borgere), reelt har lidt skade og at ’forbrydelsen’ primært har bestået af at organisationen ikke har haft deres juridiske dokumentation på plads.
Sagerne er altså uden faktiske ofre andre end den hellige jura – og erfaringen viser at jura sjældent skaber bedre databeskyttelse, men blot frygt og forvirring.
Cloud løsninger kunne være en løsning, men det kræver naturligvis at man forstår hvad cloud er og ikke er (Se faktaboks om Datatilsynets Cloud Expert Group).
Hvis man istedet fokuserer på de faktiske trusler, nøje vurderer og håndterer risici baseret på deres reelle sandsynlighed og konsekvenser og ikke på hypotetiske skræmmebilleder, kan vi skabe de nødvendige mere effektive og målrettede sikkerhedsforanstaltninger, uden at påføre danske organisationer unødige omkostninger eller frygt, som blot forstener deres beslutningsdygtighed.
Frygten for at blive den næste, der hænges ud i medierne eller bliver trukket langsomt gennem datatilsynets nåleøje, har en lammende effekt på organisationers anvendelse af og modernisering af deres digitale løsninger.
Mange virksomheder tør simpelt hen ikke tage chancen og risikere offentlige skandaler eller sanktionsbøder.
Derfor undgår de at implementere de nyeste digitale løsninger, som i virkeligheden er designet til bedst muligt at håndtere det nuværende cyber-risikobillede og konstant opdateres for at imødegå de nye trusler, der opstår dagligt.
Det er på tide at vi ’standser ulykken’ og lader alle fokusere på at imødegå de reelle og mest sandsynlige risici.
Hvordan kommer vi videre herfra?
Selvfølgelig ville det være fuldstændig absurd at foreslå, at vi skulle vende tilbage til de gamle dage med papir og pen som vores primære arbejdsværktøjer.
Næsten lige så urealistisk ville det være at tro, at vi alle skulle gemme vores data og drive løsninger på egne servere i kælderen eller hos en lokal datacenterudbyder.
Hvordan gik det for Chili Klaus, som mistede alle sine virksomhedsdata hos en lokal udbyder – ikke alle clouds er skabt lige og ikke alle hverken kan eller skal drive deres it.
Nogle mener at open source er vejen frem – og glemmer at langt hovedparten af cloudløsningerne i dag faktisk allerede er open source – altså er der ikke noget modsætningsforhold mellem de to, men det er en ubekvem sandhed, ligesom myten om at open source skulle øge din sikkerhed (nævner blot Heartbleed eller Shellshock og afventer hadske kommentarer fra miljøet 🙏).
Ideen om at skulle skifte vore amerikanske standardløsninger ud med europæiske er også besnærende.
Som overbevist EU-borger ville intet da glæde mig mere – desværre er det ikke plug-and-play.
Som flere af vore EU kolleger har konstateret efter års analyse, så er har de på ingen måde hverken ’feature-paritet’ (altså vi kan ikke få det ud af løsningen, som vi gerne vil) eller et privacy/sikkerheds-niveau som matcher eksisterende standard løsninger.
Om vi kan lide det eller ej, så er det faktisk lykkedes for os/EU at vride armen rundt på leverandørerne, som i ekstrem grad har tilpasset deres løsninger til at kunne efterleve EU-regulering.
Det er sket, fordi de naturligvis rigtigt gerne vil sælge til EU som én af verdens største økonomier – reguleret kapitalisme har trods alt bragt os langt i den retning.
Men hvis ingen af alternativerne er en silver-bullit eller opskrift på øget sikkerhed, privatlivsbeskyttelse og fremgang – hva’ gør vi så?
Løsningen ligger faktisk i lovgivningen, som er designet til at være teknologi-neutral.
Selvom både datatilsynet og pressen måske har en tendens til at stirre sig blinde på amerikanske cloud-løsninger og efterretningstjenester, åbner GDPR for en fleksibel tilgang, som kan tilpasses de teknologiske muligheder, vi har til rådighed.
Med rettidig omhu, struktureret analyse og implementering af passende tekniske, juridiske og organisatoriske foranstaltninger kan virksomheder både demonstrere deres compliance, etablere et risikobaseret sikkerhedsberedskab og fremtidssikre deres forretning ….. også når man bruger amerikansk ejede cloud-tjenester.
En del af denne rettidige omhu er naturligvis at have beredskabsplanerne på plads og løbende efterprøve og vedligeholde dem.
Det inkluderer blandt andet også planer for backup/restore, fail-over, exit-strategi etc, – specielt hvis din organisation/løsning/data er af samfundskritisk eller afgørende for din organisations overlevelse.
Men er Trump ikke ved at fjerne EU/USA's aftale om databeskyttelse?
Nu bliver det virkelig kompliceret og lad mig bare indrømme, at jeg naturligvis ikke er ekspert i hverken amerikansk jura eller politik og slet ikke en ”Nostra-Dumbass” – men jeg kan læse og søge kilder, og det har jeg gjort efter alle udmeldingerne fra ”dommedagsprofeterne” 😊
Trump fjernede 23. januar ganske rigtig en del af Bidens præsidentielle dekreter (Executive Orders eller EO).
Listen over de i alt 78 EO’s som Trump har tilbagekaldt/annulleret kan findes her.
Baggrunden for EU/USA-aftalen om Data Privacy Framework er Bidens EO 14086. Kigger man listen igennem, har Trump for eksempel tilbagekaldt 14084, 14087 og 14110, men altså ikke 14086.
Altså er DPF ikke iblandt de annullerede EO’er, men det er rigtigt, at Trump-administrationen har annonceret, at den vil gennemgå også alle Biden EO’er omkring national sikkerhed – så måske nogle af profeterne kan se ind i fremtiden – hvor cool ville det lige være 😉
Men igen: Ret skal være ret, og derfor skal det selvfølgelig nævnes, at Trump har fyret tre ud af fire medlemmer af det såkaldte ”Privacy and Civil Liberties Board” (PCLOB), som spiller en central rolle i amerikansk efterlevelse af aftalen med EU.
Det var værd at bemærke, at det var de tre demokratisk udpegede medlemmer, så uden at være den store politiske analytiker, kan det ikke overraske nogen, at de var blandt de mange offenligt ansatte, der fik fyresedler - Trump har trods alt åbent fortalt, at han vil indlede et opgør med ansatte i det amerikanske embedsværk, som ifølge ham er illoyale.
Ingen danske kommentarer, som jeg er faldet over, inkluderer, at en talsperson for PCLOB umiddelbart efter fyringen, udsendte en meddelelse om at ”The agency, however, has significant ability to continue functioning with its full staff and remaining Member Beth Williams to continue the Board’s important mission, including its advice and oversight functions, and its current projects…”.
PCLOB kan så dog ikke med nu kun eet bestyrelsesmedlem indlede nye undersøgelser – der mangler simpelthen beslutningsdygtighed indtil der er minimum tre bestyrelsesmedlemmer.
Jeg er dog sikker på, at EU Kommisionen, som i juli 2022 vurderede de amerikanske tiltag under EO14086 som tilstrækkelige for EU’s databeskyttelsesregler, holder et vågent øje med, om der sker yderligere, som kunne give grundlag for at lave en revurdering.
Men skal vi ikke overlade det til dem, der har den indsigt - og ikke basere os på, hvad nogle mener ’kan ske’.
Så skal vi gå i gang med en ”Plan B”?
Naturligvis skal man det – helt som Datatilsynet og andre har beskrevet.
Det er og har altid været en del af det beredskab og de overvejelser, som skal man altid gøre sig, når man vælger en leverandør af en ydelse.
Man skal blandt andet spørge sig selv: Hvad gør vi, hvis vi af én eller anden grund ikke kan bruge leverandør X?
Hvor kritiske er de behandlinger, som vi foretager i løsningen, for vores forretning, for vore kunder og samarbejdspartnere?
Hvor høj er risikoen for, at det bliver et scenarie, som vi skal eksekvere på - og hvad kan vi gøre for at minimere den risiko, så den ligger på et acceptabelt niveau?
Men husk at man skal lave risikovurderinger, generel juridisk dokumentation og etablere passende sikkerhedsforanstaltninger og beredskabsplaner også for alternativløsninger uanset hvordan og hvor de afvikles.
Ikke overraskende viser den slags undersøgelser, at risici sjældent håndteres mest effektivt uden brug af moderne cloud-baserede services.
Gør Danmark en tjeneste og drop dommedagsprofetierne
Det er ærligt talt uklædelig, at der sådan råbes bål og brand, fordi verden er lidt i chok over Donald Trumps ”flood-the-zone”-strategi.
Desværre er det blot med til at puste til den usikkerhed og forvirring, som har været kendetegnende for databeskyttelsesområdet, siden GDPR trådte i kraft for snart syv år siden.
Resultatet af denne usikkerhed og forvirring er i bedste fald apati og manglende investeringer i nødvendig modernisering af de digitale løsninger – i værste fald fører det til markant større angrebsflade for de cyberkriminelle og dermed paradoksalt nok dårligere databeskyttelse.
Med tanke på de mange sager om datasikkerhedsbrud i Danmark, så er jeg ikke i tvivl om at resultatet hælder til worst case scenario – øv for den.
Så gør din egen organisation en tjeneste ved at trække vejret, acceptér at dommedagsprofetier altid vil og skal kunne flyde frit, men start processen med at skabe overblik over jeres specifikke situation.
Der er absolut folk derude med erfaring, som kan hjælpe med den rejse.
Og lovgivningen/reguleringen har faktisk mange gode elementer.
Det er gode værktøjer som giver mulighed for at etablere både den korrekte compliance, optimal risikobaseret sikkerhed og ikke mindst den nødvendige governance, så I kan fortsætte med at modernisere uden konstant at blive tynget af ’ugens frygt’.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.