Jump to content
Sign in to follow this  
Redaksjonen.

DEBATT: Schrems 2: En rettighet som ikke kan omsettes i praktisk liv, har ingen verdi

Recommended Posts

Problemet her er at alle amerikanske selskaper må utlevere og gi tilgang til etterretning, uten å at de har lov til å varsle om det.

 

Så det holder ikke å ha datasenteret i Europa om det eies av Microsoft, Google eller Amazon så lenge noen i USA har mulighet til å få tilgang til dataene i Europa.

 

Nærmeste mulighet til å oppfylle regelverket:

  • -Bruke åpen kildekode (for å redusere muligheten for at Apple eller Microsoft kan brukes for å injisere en bakdør)
  •  Bruke åpen prosessor arkitektur (risc-v, som er en versjon av ARM)
  • Alle som jobber med systemene må holde til i EU, eller land som har regelverk som etterlever samme prinsippene (USA er ikke et av de)

 

Dvs at vi ikke har lov til å bruke noen form for:

  • Intel eller AMD prosessorer, fordi de kan oppdateres av selskapene og dermed gi tilgang til systemene (RISC-V eneste?)
  • Kode i .Net må bort (Open Source Java, Node.js eller Python er noen alternativer)
  • Citrix må ut
  • Alt Windows må ut (Kjøre Ubuntu eller tilsvarende i bunn. Alternativt må en begrenset gruppe i EU få kodetilgang til Windows og kunne verifisere alle patcher)
  • Nesten alt av skytjenester hos Google, Microsoft/Azure eller Amazon (kun lagring av data hvis det er svært godt kryptert, og denne krypteringen skjer på en maskin i EU)
  • Ut med alt av Office365

 

Tror ikke folk helt forstår rekkevidden av dette..

Edited by mo-rt-en
  • Like 1

Share this post


Link to post
2 hours ago, mo-rt-en said:
  • Kode i .Net må bort (Open Source Java, Node.js eller Python er noen alternativer)

 

.Net er open source (i motsetning til f.eks Java hvor kun èn av variantene er det). Kompilatorer, runtimes og alle standardbiblioteker har MIT lisens.

Share this post


Link to post

Nå er det slik at openjdk er den offisielle versjonen og om du vil. Uansett om en skal være sikker så må en kompilere binærkoden selv. Debian har f.eks et stort prosjekt der det skal være mulig for sluttbruker å verifisere at binærfilene er den samme som de kan produsere selv.

Share this post


Link to post

Det ser ut som at du misforstår hva dette handler om. Det er lagring og sending av persondata som ikke kan gå utenfor Europa. Alt annet er som før. Det finnes også mange Europeiske selskaper som leverer det samme som amerikanske selskaper gjør. Det koster litt mer og man må gå til flere leverandører, derfor er det mange som gir opp og sier det umulig, men det er bare løgn.

  • Like 1

Share this post


Link to post

Narrativet er at så lenge du ikke har kontroll firmware i f.eks. prosessor og nettverkskort, så har du heller ikke kontroll på om persondata eller verre sendes/tilgjengeliggjøres utenfor Europa.

Og selv om det er matematisk riktig, bør ikke den argumentasjonen være fatalistisk - "hvis vi ikke kan ha absolutt kontroll skal vi heller ikke gjøre fånyttes forsøk på å redusere fri flyt av persondata".

Share this post


Link to post
7 hours ago, mo-rt-en said:

Alternativt må en begrenset gruppe i EU få kodetilgang til Windows og kunne verifisere alle patcher)

The Microsoft Transparency Center i Brussel er dedikert til å gi EU kodetilgang til Windows. Dette er styrt gjennom Microsofts Government Security Program. Ikke bare gir de tilgang, men de legger også til rette for de 23(?) statene med tilgang, med en målsetting om å  beskytte eksisterende systemer og bygge bedre infrastruktur. Sitat Microsoft. Ikke alle disse statene har sammenfallende politiske interesser. Sitat meg. 

Man kan argumentere for at denne tilretteleggingen gjør at det legges inn langt flere betalte arbeidstimer i problemstillingen enn åpen kildekode, eller motsatt, at åpen kildekode gir deg muligheten til å verifisere koden og bygge den selv. Men i praksis tror jeg begge tilnærmingene er omtrent like sårbare for "hidden in plain sight" sårbarheter. Ref. ShellShock (introdusert i 1989, offentliggjort i 2014, lukket i... vel, forhåpentligvis lukket på alle servere der det betyr noe). ShellShock beviste (for meg, i alle fall) at selv med maksimal tilgjengelighet og strengt tatt maksimal relevanse (feil på Bash, kan liksom ikke bli mye mer sentralt enn det) så er det ingen, noe sted, som har tid til overs i sine liv til å gjøre frivillig code review. 

Poenget mitt er... Nei, jeg har ikke noe poeng. Igjen, på tross av at vi ikke har perfekte løsninger bør vi ikke gi opp, vi bør uansett sette ned rammer som bedrifter skal forholde seg til. 

Edited by tommyb

Share this post


Link to post

Mye bra her. Men noe dårlig. Amerikanske selskaper "sitter" ikke på krypteringsnøklene. De private nøklene utstedes lokalt, eks i Norge.

Ved TLS/HTTPS skapes nøklene dynamisk (symmetrisk kryptering).

Enig i at GDPR er nokså tannløs i øyeblikket. Vi er avhengige av det irske datatilsynet, siden FB etc er registrerte i Irland, men "don´t bite the hand that feeds you" er devisen i Irland.

Og ja, på sikt vil dette føre til europeiske skyleverandører som er utenfor FISAs rekkevidde. It´s early days yet.

 

Share this post


Link to post

Dette er jo bare vås. Man kan godt bruke amerikansk produsert hardware og software. Men å flytte personlig identifiserbar informasjon til USA er ikke greit. Litt usikker på motivasjonene egentlig er her, men dette grenser opp til konspirasjonsteorier og skremselspropaganda. EUs personver beskyttelse er et gode både for europeiske borgere og bedrifter som vi må verne om.

Share this post


Link to post

Å skremme noen eller fremme konspirasjonsteorier var langt fra min motivasjon, og jeg tror da heller ikke at artikkelen generelt blir oppfattet slik. Motivasjonen var å få fram den komplekse verdikjeden som et digitalisert samfunn bygger på og at et ensidig fokus på geografisk plassering av CPU, minne og disk må balanseres opp mot alle de andre bitene i det puslespillet som samlet sett gir brukerne et godt nok personvern. Debatten rundt bruk av kinesiske komponenter i utbyggingen av 5G-nettet illustrerer at også hardwarekomponenter potensielt representerer viktige deler av verdikjeden for å ivareta personvernet. GDPR er utrolig viktig og bra og må selvfølgelig vernes av både borgere, bedrifter og offentlige organisasjoner. Mitt hovedpoeng er at det er krevende å etterleve kapittel V når USA har aksjer i de fleste komponentene i verdikjeden. Dette er svært ressurskrevende og nasjonale aktører bør i større grad ta et overordnet ansvar her, nettopp for å sikre personvernet til innbyggerne på best mulig måte.

Share this post


Link to post

Så længe virksomheder ikke straffes for at bruge Azure/O365/M365, Amazon og Google så vil der ikke være økonomi i at bygge samme type tjenester lokalt.

Amazon, Google og Microsoft kan godt skrue en løsning sammen hvor FISA ikke rammer - det er der bare ikke økonomi i så det sker ikke før kunderne begynder at forlade løsningen.

Der er mindst en datacenter leverandør som er ejet fra USA men uden at være ramt af FISA - hele ledelsen, driftspersonalet og datacentrenes placering er i EU og der er ingen direkte forbindelse til USA men de ejes fra USA.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...