Möller Insights – ”Data bortser från landsgränser, men inte lagar”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om molnet

Data bortser från landsgränser – men inte lagar
Jag sitter på mitt hotell i ett soligt Las Vegas och än är det tidigt på morgonen och den där torra ökenhettan har inte dragit in än. Det är snart dags att ta en snabb hotellfrukost innan vi åker mot flygplatsen för att hoppa på nästa flyg mot Kalifornien.

Väl på flygplatsen så börjar den rigorösa säkerhetskontrollen och än värre blir det när jag ska flyga hem till Sverige igen. För även om vi lever i ett globalt samhälle har vi fortfarande våra lokala bestämmelser för vad en person får ta med sig in och ut ur länder, och krav på ett uppdaterat visum. Det förväntas även att jag, när jag är i Nevada, följer såväl federal lagstiftning som den specifika lagstiftningen för delstaten Nevada. Det här är inget vi ser som konstigt eller speciellt bekymmersamt, snarare helt naturligt.

Vi försöker idag att etablera samma regler och filosofi kring data men vi märker hur det blir allt mer komplext att leva upp till de gamla normerna.

Intåget av molnet har verkligen suddat ut lands- och kontinentgränserna för data och leder därmed till nya utmaningar för såväl hosting-företaget som kunden. För helt plötsligt handlar det inte om en person i taget som utifrån olika lagar och variabler ska granskas för att se om de ska ha tillgång eller inte. Idag flyttas data runt världen och hundratusentals kan anropa samma information samtidigt, från olika länder med olika lagar. Det är bara en del av problemet, samtidigt som dem som söker tillgång till material befinner sig på olika platser i världen så flyttas även data mellan en mängd olika datacenter som befinner sig i olika länder och regioner - med sina egna regelverk.

Det som idag är oklart är vem som egentligen ansvarar för att det material som lagras i ett visst datacenter inte bryter mot de lokala lagarna i det landet. Hur ska det vara möjligt att på den detaljnivån styra vilken data som bryter mot, eller följer, lagar och på så vis styra vilken data som fritt får flyttas runt? Svaret är att det inte går. Det är en omöjlig uppgift.

Försök att åtminstone styra vilket material individer i olika länder har tillgång till är idag vanligt där även en tydlig segmentering kan utföras. Vi ser det dagligen via tjänster som Netflix och YouTube där vi på Netflix i Sverige har tillgång till svenskt material, medan abonnenter i Storbritannien eller USA har ett helt annat utbud, och på YouTube resulterar många klipp vi klickar på i meddelandet ”Materialet är inte tillgängligt i din region”. Det är, vilket de flesta idag vet, ett relativt lamt försök att skydda eller undanhålla material som man av olika anledningar inte kan dela med vissa länder. En insticksmodul i webbläsaren är allt som räcker och vips så ”tror” internet att jag är amerikan.

Den grundläggande frågan är dock än så länge obesvarad – hur ska vi hantera gränslös data?

Jag tycker att det är orimligt att flytta över ansvaret på företag, att de ska ha förståelse och expertis om varje lands lagar där deras data är tillgänglig. Å andra sidan kan vi inte ha ett okontrollerat flöde av data som ingen ansvarar för. Är det då nationers ansvar att granska och i vissa fall blockera information från vissa källor – även den lösningen känns orimlig.

Jag vill inte påstå att jag har några svar på hur vi ska hantera molnet och internet, det är en fråga som är alltför komplicerad för en enskild person att uttrycka sig tvärsäkert om. Vad jag vill, och vad som måste göras, är att dessa frågor måste diskuteras. Det är idag obehagligt tyst om denna aspekt av molnproblematiken och jag menar att den tystnaden borde brytas.

För som vi gör idag - betraktar data som något som tillhör en enskild nation och som följer just det landets regler - är inte möjligt längre. Vi måste fundera över och diskutera kring hur vi kan flytta oss bort från flygplatssäkerhetstänket och in i ett nytt sätt att hantera problemet på – ett synsätt baserad på den gränslösa värld som vi lever i när vi väl har lämnat flygplatsernas säkerhetszoner.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik