Tre råd om Safe Harbour
Christophe Birkeland i Blue Coat råder kunder til å kjenne til datatrafikken, kryptere data og holde dem innen EU.
Amerikanske Blue Coat kjøpte norske Norman Shark i 2013. Det var først og fremst utviklerne Blue Coat var interessert i, og i dag utgjør de en av fem utviklingsavdelinger – tre i USA, en i Canada og en på Lysaker. Christophe Birkeland er teknologidirektør for Malware Analysis i Blue Coat og administrerende direktør for det norske utviklingssenteret.
– Hva er det egentlig denne EU-dommen går ut på?– Det EU-domstolen har gjort går i korthet ut på at EU-bedrifter og amerikanske bedrifter må endre måten de utveksler data på. EU står på at personopplysninger skal holdes innen EU, mens det tidligere var tillatt for virksomheter som fulgte Safe Harbour avtalen å håndtere dem i USA, sier Birkeland.
– Siden USA setter amerikansk lov over denne avtalen, kunne nasjonale sikkerhetsmyndigheter, politi eller andre offentlige interesser kreve innsikt i europeiske persondata. Derfor mener EU at slike data ikke kan lagres i USA med bakgrunn i Safe Harbour. I stedet må hver virksomhet etablere nye avtaler som er i tråd med retningslinjer fra europeiske personvernmyndigheter for å fortsette håndteringen av data utenfor EU.
Dette kan skape kaos for tusentalls bedrifter som er avhengige av Safe Harbour rammeverket for å overføre og lagre EU-data i USA. Særlig innen skytjenester vil bedriftene merke dette. Virksomhetene må dokumentere hvordan de håndterer persondata, og etter hvert vil de måtte sertifisere seg etter nye forskrifter.
– Og der vil dere i Blue Coat spille en rolle?
– Vi har apparat rundt dette, og har teknologi for å hjelpe globale virksomheter både med sikring av eksisterende løsninger og sikker overgang til skyen.
Tre råd om data
– Jeg vil gi tre råd: For det første må du ha oversikt over data som går inn og ut av virksomheten. Hvis du overvåker og kartlegger datatrafikken kan du forsikre deg om at sensitive data ikke kommer på avveie.. Du må også finne ut av hvilke skytjenester som er tatt i bruk. Selv it-ansvarlige har ikke oversikt over alle tjenestene som er i bruk.
– Medarbeiderne tar i bruk, Dropbox, Google Docs og andre tjenester som virksomheten ikke har kontroll med. Det kalles ofte "shadow cloud"; det er det virksomheten ikke kjenner til hva brukerne gjør, sier Birkeland.
– Det andre rådet jeg vil gi, er å bruke kryptering og anonymisering av data. En velprøvd metode er "tokenization". (En metode hvor du erstatter sensitive data med et merke som ikke har noen mening for andre – red. anm). Dette er sikrere enn kryptering for du sender ikke alle data.
– Det tredje rådet er å benytte datasentre i Europa. Flere amerikanske firmaer vil etablere datasentre her. Hvis du bruker disse, må du være sikker på at leverandøren ikke speiler data til USA, mener Birkeland.
