Molntjänster och data rent geografiskt? GDPR, Cloud Act, Privacy Shield o.s.v

Att veta var man har sitt data är kanske inte alltid så enkelt.

Nuförtiden finns det många molntjänster och med olika inriktningar.
Det finns molnlagring, SaaS, och gud vet vad. Man kan lägga nästan vad som helst i molnet på ena eller andra sättet

En del frågor dyker dock upp och en av dem är var finns egentligen data finns rent geografiskt och vem har tillgång till det ?
Det här kanske inte låter som en jättestor fråga men när man börjar nysta i den inser man att den kan vara nog så komplex.

Nyligen underkändes t.ex. behandlingen av data i molntjänster utanför EU med hänvisning till GDPR och Privacy Shield
Lägg därtill amerikanska Cloud Act och saker börjar bli ganska komplicerade.
Vilken lag och förordning trumfar vad? Hur länge ? Vad får jag som företagare lagra? Vart får jag lagra det? och kanske framför allt, vart VILL jag lagra det ? Vilka regler gäller för mina kunder?

Att tänka igenom sina processer för datalagring och dathantering kan bli både kostsamt och komplicerat men nånstans måste man börja . ”

Det finns några enkla och helt gratis sätt att börja i alla fall.

Ponera t.ex. att ett företag valt att använda Visma Online.

Ett företag använder Visma för sin bokföring, löner o.s.v. och bestämmer sig för att börja använda Visma Online.
Visma Online är en webbaserad tjänst som driftas och tillhandahålls av just Visma där man har tillgång till mycket av deras program online. Inget annat. Just Visma programmen.
Inloggningen för kunder finns på https://connect.visma.com .

Själva webadressen säger oss inte så mycket. (En .com adress kan finnas varsomhelst i världen och rent teknsikt sett kan ju alla ändelser finnas var som helst i världen men oftast finns t.ex. .se i Sverige)

För att ta reda på vart ert data faktiskt behandlas kan man t.ex. besöka https://tools.keycdn.com/geo (eller någon av alla de andra IP locations-tjänster som finns) och bara skriva in namnet på den URL man vill vet lite mer om .
I det här fallet är det intressanta de raderna som heter heter HOSTNAME som talar m vad servern heter och var den pekar rent geografiskt dvs raden CITY

 

Av det här ser vi direkt att geografiskt finns den i Dublin. Irland och att den är del av Amazon molntjänster (det ser vi enklast på domännamnet på den raden för HOSTNAME) dvs servern är en sk VPS man satt upp i Amazons molntjänster. I sak inget ont med det, på Visma har man helt enkelt tagit ett beslut om att inte drifta kunders data i sin egna datacenters. Det är både kostsamt, resurskrävande och kräver en hel del kompetens att drifta en molntjänst själv.

Det kan vara att det står nånstans på deras hemsida och allmänna villkor men det är inte så tydligt att kunders data nu lyder under Cloud Act. Beroende på vad för typ av data man har (t.ex väldigt känsligt material, ev rättstvister med USA eller amerikanska företag, patentansökningar, personuppgifter osv) och hur man måste förhålla sig till GDPR kan det såklart vara ett problem.

Samma princip gäller om företag kör t.ex. Office 365. Per automatik hamnar allt data ni delar mellan varandra i Microsofts serverhallar och lyder under Cloud Act. Även om Microsoft bygger en serverhall vägg i vägg med ert företag så lyder de ändå under Cloud Act. Data kan i sak hamna lite varsomhelst inom EU. Det går att styra så det inte får lämna EU för den delen men det hjälper ju inte så mycket p.g.a. Cloud Act och att hanteringen av GDPR i amerikanska molntjänster har underkänts av EU.
Rent tekniskt är det t.o.m så att om ni bara skickar e-post internt eller delar dokument bara inom företaget och använder Office 365 så finns datat hos Microsoft och i förlängningen , amerikanska myndigheter.

Det här gäller alla amerikanska molntjänster för den delen. Beroende på vilken verksamhet ni har eller vilka kunder ni har så kanske det inte är alldeles lämpligt jämt.

Viss kommunikation och vissa dokument ska kanske inte lämna landets gränser. Kanske inte ens till andra länder inom EU (tänk t.ex. problemet med driftspersonal från Tjeckien (har jag för mig det var .. ) som hade tillgång till Transportstyrelsens data för något år sen.
Tjeckien är ju en del av EU men naturligtvis är det ett problem om man lägger ut fel typ av data t.o.m inom EU .

Ibland kan det vara lite svårare att klura ut direkt var servrar egentligen finns.
Ett sätt att ta reda på lite mer iaf är att använda kommandot tracert (eller traceroute som det heter i Linux)

Öppna en kommandoprompt och skriv helt enkelt bara in tracert connect.visma.com
Svaret du får visar vilken väg din dator tar för att hitta fram till just den servern och vilka hopp som görs på vägen . På det sättet kan man ofta se t.ex. vilket land det ser ut att hamna i o.s.v. (det är inte alltid som hoppen på vägen svarar dock) Jag har också “maskat bort” resultat på vägen här medvetet av säkerhetsskäl

c:\> tracert connect.visma.com

Tracing route to connect.visma.com [34.250.31.151]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms ******.******.se [192.168.*.*]
2 <1 ms <1 ms <1 ms 192.168.***.***
3 1 ms 1 ms <1 ms 62.***.***.***
4 13 ms 7 ms <1 ms static-92-***-***-***.sme.telenor.se [92.33.*.***]
5 1 ms 1 ms 1 ms ti3******-0.ti.telenor.net [146.172.**.**]
6 1 ms 1 ms 1 ms ti*****i.telenor.net [146.172.***.***]
7 1 ms 1 ms 1 ms 148.122.***.***
8 1 ms 2 ms 1 ms 52.93.***.***
9 6 ms 7 ms 7 ms 52.93.***.***
10 * * * Request timed out.
11 * * * Request timed out.
12 * * * Request timed out.

Epost servrar och era kunders hantering ?

Andra aspekter kan vara t.ex. ni själva har ert data bara i Sverige (t.ex. hos Red Cloud IT,  ) men, hur kan ni veta hur era kunder och leverantörer hanterar sitt data?
Kort sagt, det kan ni egentligen inte men ni kan kontrollera en del saker ganska snabbt och enkelt i alla fall.. t.ex. vart hamnar e-post ni skickar till dem ?

Öppna en kommandoprompt även här och skriv kommnandot

c:\> nslookup
Skriv sedan “set querytpe=mx och tryck Enter
Skriv nu in domänen du vill veta något om (jag håller mig till exemplet Visma och kikar på två av deras domäen , visma.se och visma.com)

Med exemplet visma.se får jag reda på att den servern som tar emot e-post för domänen heter mx.visma.com och den sekundära (dvs en backup – epost server) heter mail.datakraftverk.no.
På samma sätt som ovan kan jag nu ta reda på var den egentligen finns . I det här fallet i Oslo, Norge.

Om jag kikar på domänen visma.com märker jag dock att det är en Google server som hanterar e-posten. Det skiljer sig alltså om jag skickar e-post till anders.svensson@visma.se eler om jag skickar det till anders.svensson@visma.com (även om det säkert skulle vara samma person som jag skickar det till)

I det ena fallet levereras e-post direkt till en server i Norge och i det andra går det via Google,. Gissningsvis skickas det sedan vidare till den norska servern förutsatt att den domänen används.

C:\>nslookup
Default Server: *****.**.***
Address: 10.**.**.**

> set querytype=mx
> visma.se
Server: *****.**.**
Address: 10.**.**.**

Non-authoritative answer:
visma.se MX preference = 5, mail exchanger = mx.visma.com
visma.se MX preference = 10, mail exchanger = mail.datakraftverk.no

mx.visma.com internet address = 193.75.92.155
mx.visma.com internet address = 193.75.92.156
mail.datakraftverk.no internet address = 91.123.56.240
mail.datakraftverk.no internet address = 91.123.56.241

> visma.com
Server: *****.**.**
Address: **.**.**.**

Non-authoritative answer:
visma.com MX preference = 1, mail exchanger = aspmx.l.google.com
visma.com MX preference = 5, mail exchanger = alt1.aspmx.l.google.com
visma.com MX preference = 5, mail exchanger = alt2.aspmx.l.google.com
visma.com MX preference = 10, mail exchanger = alt3.aspmx.l.google.com
visma.com MX preference = 10, mail exchanger = alt4.aspmx.l.google.com

aspmx.l.google.com internet address = 173.194.222.27
aspmx.l.google.com AAAA IPv6 address = 2a00:1450:4010:c05::1b
alt1.aspmx.l.google.com internet address = 108.177.97.27
alt1.aspmx.l.google.com AAAA IPv6 address = 2404:6800:4008:c00::1a
alt2.aspmx.l.google.com internet address = 74.125.28.27
alt2.aspmx.l.google.com AAAA IPv6 address = 2607:f8b0:400e:c04::1b
alt3.aspmx.l.google.com internet address = 74.125.137.27
alt3.aspmx.l.google.com AAAA IPv6 address = 2607:f8b0:4023:c03::1a
alt4.aspmx.l.google.com internet address = 173.194.201.26
alt4.aspmx.l.google.com AAAA IPv6 address = 2607:f8b0:4003:c0e::1b

Andra typer av molntjänster

Det finns även molntjänstföretag som har tjänster som mera liknar en helhetstjänst med tillgång till virtuella skrivbord men som vid en närmare granskning är just baserade på antingen Microsoft Azure eller Amazon d.v.s leverantören har valt att lägga servrar och VPS hanteringen i de molntjänsterna.
Det finns givetvis fördelar med det men även nackdelar man nog inte ska förringa. (Kostnader, support, kontroll av data o.s.v. )

Om ni funderar på att lägga upp era applikationer i en molntjänst, tänk igenom VAR ni vill ha dem och vad är acceptabelt för just er verksamhet och er kunder ?
Kommer det fungera rent tekniskt i den molntjänsten? Alla molntjänster tillåter inte att lägga upp äldre programvaror t.ex.

Kontroller och processer

Kontrollera var de faktiska inloggningarna sker (blanda inte ihop leverantörens hemsida med vart data faktiskt behandlas eftersom det oftast är två helt olika saker)

Kontrollera hur e-post skickas mellan er, era kunder och leverantörer.

Tänk igenom eventuella dataflöden på applikationer ni kan tänkas ha (databaser som kommunicerar externt, containerhantering, FTP servrar o.s.v.) och försök spåra flödena från era egna system för att vet vart det tar vägen och varför.

Som en extra svår nöt att knäcka kan vara att veta var backuper hamnar. Säg att er leverantör har ert data i sitt datacenter i Sverige och i era tjänster ingår extra sk offsite-backup. Vart skickas de backuperna ? Hamnar de i en molntjänst nånstans .. ?

Det är en hel del att reda ut och fundera på kring molntjänster ..