I en kompleks og uforudsigelig geopolitisk verden har danske og europæiske virksomheder fået endnu en bombe at jonglere: den udstrakte brug af USA-baserede cloud-udbydere som Microsoft, Amazon Web Services (AWS), Google Cloud, ServiceNow, med videre.
Vi har over de seneste årtier bygget meget af vores forretning på cloud-udbydernes effektivitet, skalerbarhed og dynamik i en urokkelig tillid til USA’s pålidelighed og forudsigelighed som samarbejdspartner. Derfor ligger meget af vores data og driftsstabilitet hos disse platforme – og USA’s myndigheder har lovhjemmel til at beordre data udleveret og driften afbrudt. Sker det, har mange ingen e-mail, ingen samarbejdsplatform, intet ITSM-system til bruger- og driftssupport, ingen opdatering af antivirus, osv. Den politiskeuforudsigelighed og de ideologiske spændinger som er sprunget op mellem USA og EU gør desværre disse overvejelser højaktuelle.
Brud på databeskyttelse og driftsstabilitet
For datasikkerhed ligger udfordringen i den transatlantiske dataaftale, Transatlantic Data Privacy Framework (TDPF), som gør det lovligt for europæiske virksomheder at overføre persondata til USA under EU GDPR med begrænsninger for USA’s myndigheders ret til at tilgå samme data under USA’s Cloud Act. Da USA’s nuværende præsident har udtrykt villighed til at feje eksisterende aftaler af bordet uden videre, kan vi ansvarligvis ikke negligere risikoen for, at det samme sker for TDPF. Ønsketænkning er som bekendt behagelig, men ikke en strategi. Skulle aftalen kollapse vil det føre til juridiske mareridt for de virksomheder, der har baseret databehandling på den, da cloud-løsninger fra USA-baserede udbydere da vil blive ulovlige at anvende i EU. Det vil tvinge virksomheder til at finde alternative løsninger – en proces, der både er teknisk og økonomisk krævende og derfor uegnet som hasteopgave.
For driftsstabilitet ligger udfordringen i, at USA’s myndigheder under den nuværende regering har vist sig villig til at fortolke trusler mod den nationale sikkerhed meget bredt. Med denne begrundelse har USA’s myndigheder under lovgivning som International Emergency Economic Powers Act (IEEPA) og Patriot Act hjemmel til at begrænse eller lukke for adgangen til USA- baserede virksomheders tjenester til private og offentlige virksomheder i ind- og udland, hvis det kan begrundes i en trussel mod den nationale sikkerhed. Dette argument har i det fysiske rum været brugt som begrundelse for militære indsatser mod formodede narkosmuglere udenom det juridiske system, samt bevæbnede razziaer imod immigranter internt i USA, samt militære aktioner mod et naboland. Selvom disse hændelser indtil nu har været forbeholdt det amerikanske kontinent, så vi må ansvarligvis anse det nationale sikkerhedsargument for at være et instrument som USA’s regering anser for legitimt til at regulere forholdet til alle nationer og overnationale aktører – herunder Danmark og EU.
Opsummeret er USA-baserede cloud-udbydere derfor gået fra at være apolitiske serviceleverandører, med fokus på forretningsbetingelser og teknisk formåen, til at være potentielle instrumenter for USA’s politik overfor Europa og Danmark. Da denne politik har vist sig at omfatte trusler mod nominelt allierede nationer, må danske virksomheder forvente at kunne blive straffet såvel direkte som indirekte for politiske uoverensstemmelser med USA.
Alternativer
Den voksende skepsis over for USA-baserede cloud-udbydere har skabt momentum for europæiske alternativer. Virksomheder som OVHcloud, Hetzner og danske udbydere som ScanNet og team.blue oplever stigende interesse. Disse udbydere tilbyder løsninger, der overholder EU’s databeskyttelsesregler og er mindre udsatte for politisk indblanding fra tredjelande. Dog har de USA-baserede cloud-udbydere stadig et forspring på innovation og kapacitet, som må forventes at bestå. Danske virksomheder vil derfor gå glip af disse klare fordele hvis eller når drift og data migreres til europæiske udbydere.
Ulemper skal selvfølgelig holdes op imod den beskrevne risiko for brud på databeskyttelse og driftsstabilitet. Selvom det er besnærende at ønske sig tilbage til et mere trygt forhold til USA’s regeringer, er den nuværende regering demokratisk valgt. Den er handlekraftig, har travlt og repræsenterer stærke tendenser blandt USA’s vælgere i holdningen til EU og Danmark, som vi må indstille os på. Et helt eller delvist skifte til europæiske cloud-løsninger kan således styrke virksomhedernes digitale suverænitet og reducere risikoen for pludselige juridiske eller politiske ændringer, så længe altså EU forbliver forudsigelig og tryg.
Før den amerikanske regering får al æren for suppedasen, skal det retfærdighedsvis nævnes, at også europæiske aktører er på banen for en ophævelse af TDPF, der af denne fløj ses som Privacy Shield aftalen på nye flasker. Privacy Shield blev underkendt af Den Europæiske Unions Domstol gennem Schrems II afgørelsen i år 2020, så der pågår lignende kampe om TDPF, hvor seneste nederlag til dén fløj næppe bliver sidste ord, se afgørelsen i Data Protection: the General Court dismisses an action for annulment of the new framework for the transfer of personal data between the European Union and the United States.
Så hvad nu?
Det handler grundlæggende om at få diversificeret vores kritiske forretningsprocesser og data væk fra USA-baserede cloud-leverandører i det omfang, som virksomheden vurderer nødvendig for at imødekomme risici for brud på datasikkerhed og driftsstabilitet.
Dette gøres ved en konsekvensanalyse af forretningsprocessers IT-landskab, som er lig den som danner grundlag for IT beredskabs- og genetableringsplaner ved større systemnedbrud.
Med udgangspunkt i konsekvensanalysen er det forholdsvist enkelt at kortlæggeafhængigheder mellem forretningskritiske systemer og -data og USA-baserede cloud-tjenester.
Dette muliggør en struktureret diversificering af driften ud fra risikovurderingen, så f.eks. personfølsomme data- og systemer flyttes in-house eller til europæiske driftsalternativer, mens andre data og systemer vil kunne forblive i USA-baseret drift, flyttes til andre internationale leverandører eller blive underlagt en plan for hastemigrering eller alternativdrift hvis situationen forværres tilstrækkeligt.
Endelig må virksomheden tilsikre at risikovurderingen opdateres løbende. Belært af udvikling i USA’s udenrigspolitik må vi acceptere, at ingen udbyderes troværdighed er mejslet i sten og at den politiske situation kan få betydning for data- og driftssikkerhed alle steder og med kort varsel.
Opsummeret er det væsentligt, at vi tænker strategisk omkring IT-driften ud fra en aktuel risikovurdering opvejet mod pris og performance. USA har længe været epicenteret for innovative og fordelagtige cloud-ydelser, men ensidigt afhængighed af leverandører i denne region kan få vidtrækkende konsekvenser for os. De samme overvejelser må vi gøre os for alle typer IT-drift, også europæisk og øvrig international. USA har længe været garant for stabilitet i europæisk kontekst, men er det ikke længere. Tilsvarende kan vi ikke antage, at andre ”sikre havne” også vil være sikre i fremtiden. Vi må fremadrettet tænke geopolitik ind i design og etablering af IT-drift.
Hvor USA har vist vejen vil andre følge. Geopolitik er også for IT-drift en stor del af risikobilledet.
Hvis vi har folk i vores netværk som har tænkt sådan og handlet derefter længe, kan vi nok med fordel høste nogen erfaringer hos dem. Det er helt sikkert mere bøvlet end vi tror, så hvor vi kan lære af andres erfaringer skal vi da gøre det.
Artiklen er skrevet af Helge Skov Djernes, som er Cybersecurity og GRC projektleder og rådgiver.
Få dit jobopslag på MarketConnect
Opret et jobopslag på MarketConnect og nå ud til den helt rette målgruppe af kvalificerede kandidater.