Databasedrift flyttes til utlandet

De siste dagene har vi kunne lese at EDB Business Partner lar datterselskaper i Ukraina drifte norske banksystemer. I dag fikk vi vite at Telenor har søkt om tillatelse til å flytte drift og vedlikehold av databaser med personopplysninger til Ukraina.

Det er i mitt syn svært betenkelig at drift av store persondatabaser som norske banker og Telenor har ansvaret for flyttes utenfor landets grenser. Dette har med grunnleggende sikkerhet å gjøre; kontroll over personopplysninger tilhørende landets innbyggere skal være innenfor landets egne grenser. Det er flere årsaker til det; den viktigste er å ha 100% trygghet for at disse dataene ikke havner i uvedkommendes hender. Også årsaker som naturkatastrofer og uroligheter i landet der databasene driftes er viktige.

Ukraina har utvilsomt svært dyktige fagfolk innen IT-sektoren, og på grunn av lave lønns- og driftskostnader er det sikkert økonomisk meget gunstig å flytte drift av databaser fra Norge til Ukraina. Men Ukraina har dessverre blitt mer kjent for sine dyktige hackere og virusskapere. Det spesielle er at noen av disse har spesialisert seg innenfor banksektoren(!), et av de nyeste og mest kjente formene for angrep er et såkalt MITB (Man In The Browser), her et sitat fra Threatpost:

Man in the Browser a.k.a MITB is a new breed of attacks whose primary objective is to spy on browser sessions (mostly banking) and in that process intercept and modify the web page contents transparently in the background. In a classic MITB attack, it’s very likely that what the user is seeing on his/her browser window is not something which the actual server sent. Similarly, what the server sees on the other end might not be what user was intending to send.

Les mer om MITB hos Threatpost.

Dette er som vi skjønner skumle greier. Slike type angrep er naturligvis uavhengige av landegrenser, man kan derfor ikke umiddelbart trekke konklusjonen at det er mer usikkert å ha databasedrift i Ukraina enn i Norge. Databasedriften går sin gang selv om det sitter noen hoder rundt om i landet og hacker. Men jeg synes likevel det er betenkelig å flytte drift av banksystemer til et land hvor det finnes spesialister på å hacke nettopp banksystemer. Jeg er som tidligere nevnt betenkt når det gjelder å flytte persondatabaser ut av landet i det hele tatt.

Vil ta med et punkt til som gjør drifting av norske databaser i Ukraina spesielt: FBI har opprettet en egen gruppe etterforskere mot cyberkriminalitet nettopp i Ukraina! Dette fordi landet er kjent for å være opphavet til flere kjente hackerangrep og virus. Les mer om FBI og Ukraina (og et par andre land) hos Computerworld, jeg tar med et viktig sitat fra saken her:

Security experts say the Ukraine is home to a large number of online scammers and the creators of bank-account-emptying malware such as the Zeus Trojan. “Ukraine’s a huge problem,” said Paul Ferguson, a researcher with Trend Micro. “I would rank it above Russia right now.”

Jeg har i et blogginnlegg i fjor tatt til orde for at Norge snarest må på banen og få etablert store datasentre til Norge. I innlegget mitt kan du lese om de store (Google, Amazon med fler) som var (er fortsatt?) på utkikk etter steder å ha et av sine enorme datasentre, hvor muligheten for miljøvennlig og sikker drift ligger til grunn. Vi har tomme fjellhaller, vi har nær ubegrenset tilgang på vannkjøling med mer.

Det vi nå ser er at store, norske IT-selskaper heller flytter drift av databaser UT av Norge. Det er en betenkelig utvikling. Som nevnt på grunn av sikkerhet. Når det gjelder vern av personopplysninger bør nettopp vernet gå foran kostnadene. Jeg er imidlertid sikker på at det ville la seg gjøre å drifte supermoderne, miljøvennlige datasentraler i Norge uten at det skulle koste så vanvittig mye mer enn i andre land.

I påvente av etablering av store, nye datasentraler i Norge får vi håpe at driften i Ukraina går bra og upåvirket av hackere.

Share

EU’s datalagringsdirektiv? Vi overvåkes allerede…

Jeg mener det er naivt å tro at vår aktivitet på Internett ikke overvåkes og lagres allerede. Det er flere grunner til det, to av dem her: den ene har jeg beskrevet i mitt tidligere blogginnlegg “Metoder for nettovervåkning og nettsensur” der jeg blant annet går inn på USAs overvåkning av datatrafikk spesielt etter 11/9. Den andre er svenskenes FRA-lov, som gjør at data- og telefonitrafikk kan overvåkes i Sverige. Mye av norsk datatrafikk “passerer” servere både i Sverige og USA.

Det foregår nå et bloggopprop mot EU’s datalagringsdirektiv som jeg også deltar på via et innlegg på min blogg her. Datalagringsdirektivet er viktig å holde fokus på, noe også journalist Andreas Wiese er inne på i artikkelen “Vår tapte frihet” på dagbladet.no 28.07.09. Wiese skriver innledningsvis Du, jeg og alle nordmenn vil nå bli ofre for totalitær overvåkning”. Joda, men jeg mener altså at det er naivt å tro at vi ikke allerede er overvåket. Data lagres nok så lenge det er nødvendig. Så vi blir ikke ofre for overvåkning, vi er det.

Norge har f.eks. Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten. Disse har viktige oppgaver i forbindelse med rikets sikkerhet. Men skal de spore opplysninger så må nesten overvåkning til, og da spesielt av Internett.

En person som kaller seg BillyQuiz kommenterer andre svar til nevnte Wieses innlegg ( i innleggets kommentarfelt) med blant annet følgende: The statement “if you’ve got nothing to hide then you’ve got nothing to fear” is a false dichotomy. It assumes that there are only two positions when there’s a whole spectrum of them.” Det er et meget godt poeng.

Det er viktig å ha fokus på datalagringsdirektivet, det er også viktig at de poltiske partiene og Regjeringen tar standpunkt til det. Men samtidig må man være klar over at det ikke kommer til å bety overvåkningen starter først hvis/når datalagringsdirektivet er satt i verk. Jeg tror at overvåkningen og datalagringen pågår nå. Enten vi vil eller ei.

Share

Politiske partier må ta standpunkt til EUs datalagringsdirektiv før valget!

Personvern er en grunnleggende verdi i et demokrati. Personvernet innebærer en rett til å være i fred fra andre, men også en rett til å ha kontroll over opplysninger om seg selv, særlig opplysninger som oppleves som personlige. Etter Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 er personvern ansett som en menneskerettighet.

Med en mulig norsk implementering av Datalagringsdirektivet (direktiv 2006/24/EF), som pålegger tele- og nettselskap å lagre trafikkdata om borgernes elektroniske kommunikasjon (e-post, sms, telefon, internett) i inntil to år, vil nordmenns personvern bli krenket på det groveste. Datalagringsdirektivet ble vedtatt av EU 15. mars 2006, men fremdeles har ikke alle de norsk partiene offisielt tatt stilling til om direktivet skal gjøres til norsk lov eller ikke. Gjennom EØS-avtalen har Norge en reservasjonsrett. Denne har aldri før blitt brukt, men så har man heller aldri stått overfor et direktiv som representerer en så stor trussel mot demokratiets grunnleggende verdier som det datalagringsdirektivet gjør.

Vi krever at samtlige politiske partier – og ikke minst regjeringen – sier ifra nå før valget om de vil gjøre datalagringsdirektivet til norsk lov eller ikke. Å ikke ta stilling, slik som de fleste politiske partiene på Stortinget (med unntak av Venstre og SV) har gjort i over tre år, er det samme som stilltiende aksept. Partiene må ta stilling nå til datalagringsdirektivet!

Du kan bli med på kampanjen ved å bruke denne teksten eller en variant av den på egen nettside. Du kan også støtte saken ved å spre budskapet på twitter, identi.ca, facebook, origo eller andre nettsteder du anser som relevante. Du kan også snakke med folk du møter på jobben, hjemme, på kafé og i ferien. Du bør også signere oppropet mot EUs datalagringsdirektiv, melde deg inn i facebookgruppa mot direktivet og støtte liberalerens epostkampanje. Dersom du vil lære mer kan du starte med å lese artikkelen Alle nordmenn skal overvåkes på Dagbladet.no. For mer detaljert informasjon se EMK artikkel 8 og Reservasjonsrett EØS.

Creative Commons License

“Regjeringen må ta stilling nå – si nei til datalagringsdirektivet!” er publisert med lisensen Creative Commons Attribution-Share Alike 3.0 Norway License. I korthet betyr det at du fritt kan bruke denne teksten (til og med gjøre endringer) på egne sider, så lenge du bruker samme lisens og lenker tilbake til Carl Christians orginale bloggpost. Du finner denne teksten, inkludert HTML-koden for linker og bilde, her (OBS: Vær oppmerksom på at den siden er en wiki som alle kan endre. Husk å forhåndsvise bloggposten din og teste om alle linker er riktige før du publiserer).

Share