Opinion
”Prism väcker frågor om säkerheten i molnet”
Hong kong nsa surveillance plots
A TV screen shows the news of Edward Snowden, a former CIA employee who leaked top-secret documents about sweeping U.S. surveillance programs, in the underground train in Hong Kong Sunday, June 16, 2013. Top U.S. intelligence officials said Saturday that information gleaned from two controversial data-collection programs run by the National Security Agency thwarted potential terrorist plots in the U.S. and more than 20 other countries - and that gathered data is destroyed every five years. (AP Photo/Kin Cheung)
FOTO: KIN CHEUNG
Foto: Scanpix/KIN CHEUNG (AP Photo/Kin Cheung)
DEBATT. De flesta länder har en underrättelsetjänst som signalspanar men det är svårt att veta vilka som har en egen väg in i operatörernas tjänster. Det är dags att vi ställer krav på vilka regler som gäller för de molntjänster vi använder, skriver Frederick Wennmark på Trend Micro.
Efter de senaste veckornas uppmärksamhet kring spaningsprogrammet Prism, som används av amerikansk underrättelseverksamhet, har många fått sig en tankeställare om hur mycket information som egentligen finns lagrat i olika molntjänster.
Säkerheten i molnet blir bättre och bättre tack vare att tekniken mognar. Vi kan idag bygga globala molntjänster som tillfredsställer våra mest rigorösa säkerhetsbehov. Men begreppet moln behöver definieras och analyseras för att vi ska förstå hur hot och möjligheter ser ut i dag.
De allra flesta länder har en underrättelsetjänst som håller på med signalspaning, men denna spaning sker inte urskillningslöst. Att amerikanska myndigheter har möjlighet att avlyssna när någon surfar på internet eller delar filer via olika molntjänster innebär inte att alla drabbas.
Gemensamt för länderna är att det krävs särskilda domstolsbeslut om att en operatör ska lämna ut information. Hur verksamheten regleras skiljer sig mellan olika länder. Den amerikanska lagstiftningen skyddar nationella intressen. Sverige agerar mer utifrån särskilda händelser där regeringen tar beslut om inriktning som riktas mot utländska förhållanden.
Säkerheten i de stora molntjänsterna är bra. Leverantörerna vet hur de ska bygga tjänsterna så det är i princip omöjligt att bryta sig in eller avlyssna. Däremot har det hittills varit svårt att veta om olika länders statliga myndigheter har tillgång till en egen väg in för respektive tjänst.
Det är dags att vi alla frågar vad det är för regler som gäller för de företag vars molntjänster vi vill använda. Det har betydelse om signalspaningen styrs av enbart nationella intressen eller om det rör särskilda områden, till exempel internationell terrorism eller allvarliga yttre hot mot samhällets infrastruktur. Det är dags att ställa krav på en öppen redovisning om vilka principer som gäller.
Om de it-bolag som omnämnts den senaste tiden hade varit kinesiska eller nordvietnamesiska hade många nog varit mer försiktiga och tänkt sig för en extra gång innan information lagrats i olika molntjänster. Nu har de flesta av oss kanske inte tänkt på var den faktiska informationen legat eftersom vi i god tro litat på att respektive molnleverantör skyddat oss mot hackers och andra brottslingar.
En molntjänst kan vara global, regional, företagsintern eller privat. Molnet är inte ett enda stort luddigt moln där vi inte kan begära insyn eller garantier. Vi kan ta kontrollen själva och fortfarande vara lika produktiva, öppna och flexibla.
Men det är dags för oss som konsumenter, företag, organisation och anställda att tänka efter före. Ett exempel är att lägga känslig information i en intern företagslösning istället för i molnet. Här kan företag och organisationer vara tydligare och kräva kryptering och interna dropbox-lösningar.
Vi har ett val.
Frederick Wennmark, nordisk teknikchef
Trend Micro
