Kan USA-gigantene garantere datasuverenitet?

Aller først må man definere digital suverenitet. En god måte å tenke på er at virksomheten må ha tilgang og tilgjengelighet for bruk av data og applikasjoner uten at andre har den samme tilgangen. Det gir dessuten makt å enkelt kunne flytte data og utvalgte prosesser uten å miste noe på veien.

Digital suverenitet har ikke én definisjon, den avhenger helt av den som definerer. Så jeg skal nøye meg med å presisere ytterkanten, som er at det handler om en skyløsning som tilbyr infrastruktur og tjenester innenfor en gitt juridisk ramme.

Digital suverenitet har vært viktig lenge, men har fått solid oppsving i nyere tid. Overgangen fra «on prem» til skyløsninger er en side av dette.

En annen er økt geopolitisk uro. Et sentralt poeng er at noen urokråker på toppen blant annet har flyttet på grunnmuren i en over 70 år gammel vestlig forståelse av hvem som er alliert med hvem.

En oransje januar

Og det er nettopp derfor digital suverenitet må snakkes om. De største leverandørene er skyløsninger fra Google, Microsoft, Amazon, Oracle, IBM og Alibaba.

Sistnevnte er kinesisk, lite brukt i Norge, og trenger ikke å være med her.

De fem andre er alle amerikanske, og er i bruk av veldig mange virksomheter i Europa.

Mye tyder på det lyste kraftig i varsellampene i hovedkvarterene til de fem da USA signerte inn ny president i januar i fjor. Det gikk bare en drøy måned før de første åpnet butikken for å selge suverene skyløsninger i Europa.

Hele Europa har nærmere 750 millioner innbyggere, mens EU har rundt 450 millioner. USA har rundt regnet 335 millioner mennesker, men det er seks år siden de hadde en samlet folketelling.

Det er dermed et skrekkscenario for de fem om det europeiske markedet stenger alle amerikanske skyleverandører ute. I praksis er dette heller ikke mulig per i dag, men å miste store kunder vil likevel svi.

Må diskuteres

Ettersom de amerikanske skygigantene er så dominerende som de er, som for eksempel Microsoft med sine kontorpakker. Tilgangen til Office ligger på selskapets Azure-sky, om ikke tilpasninger er gjort. Et hav av virksomheter i både privat og offentlig sektor i Norge er etter årevis med bruk, kulturelt og teknisk tuftet på det Microsoft leverer.

Da kan det være greit å i alle fall diskutere om det er mulig å leve med dem og de andre selskapene på ulike nivåer.

Den vanligste måten å tenke skyløsning på i dag, er hybride løsninger. Dette har blitt mye mer tydelig det siste året, nettopp fordi man nå må tenke i lag og nivåer knyttet til risiko og kostnader med sky. Dette gir muligheter for lokale tilpasninger etter reelle behov for sikkerhet og skalering av risiko.

I en hybrid skyløsning sprer man virksomhetens data, tilganger og IT-bruk fra «on prem»-løsninger på et plan, til varianter av suverene løsninger, og til «public cloud»-løsninger for andre deler av virksomheten.

Hvor er dataene?

Det handler om sikkerhet, risiko og det handler om hva løsningene koster sett i lys av hva man reelt sett og absolutt MÅ ha.

Et poeng med sky er fortsatt både skalérbarhet og tilgang til jevnlige innovasjoner og oppgraderinger der målet er å få mest mulig ut av for eksempel KI. Mulighetene for å kjøre KI i egne lokaler på en god måte er i dag også større. Men det kan være dyrt.

Mye av uroen rundt og interessen for suverene skyløsninger handler om hvor data ligger og hvilke applikasjoner som brukes. Og det handler om datasentre og applikasjoner er amerikanske eller ikke.

Jeg har denne våren spurt Amazon Web Services (AWS), Google Cloud og IBM om de kan garantere at data aldri kan bli delt med amerikanske myndigheter uten tillatelse fra dataenes eier. Svarene varierer.

Kan ikke garantere

Fra tidligere har en fransk Microsoft-representant innrømmet i det franske senatet at de ikke kan garantere at data ikke blir delt. Overfor Computerworld har også Oracle langt på vei innrømmet at det ikke går. Så de ble ikke spurt da e-posten gikk ut. Cisco har også en skyløsning, så de kunne vært spurt.

Som svar gir Google Cloud det de kaller en «absolutt teknisk garanti» for de mest sensitive arbeidsflytene. Disse kan ikke bli delt med amerikanske myndigheter, sier de.

Årsaken er at data ligger kryptert på et suverent område, og at de ikke har noen som helst form for tilgang til krypteringsnøklene. Data er dermed ikke tilgjengelig.

Etter samtaler med direktører i AWS pekes det på den samme problemstillingen, man har ikke tilgang til dataene. Selv om Oracle sier de ikke kan garantere at amerikanske myndigheter aldri vil be om data, så peker de på samme manglende tilgang.

Microsoft var med i mailutsendingen på kopi, og svarte uoppfordret at dataene ikke er teknisk tilgjengelige for dem. IBM har ikke svart.

Selv om IBM ikke har svart, har også de allerede datasentre i Europa med muligheter for suverenitet.

Maktmistbruk?

Problemstillingen er da at amerikanske myndigheter kan ha rett til å be om data, og at det gjenstår å se om dataene virkelig ikke er tilgjengelige eller ikke, hvis USA presser hardt nok.

Da blir det rettsprosesser, mulig maktbruk og kanskje drøye forhandlinger avhengig av hvor viktig innsyn regnes å være fra amerikansk side.

Alle de fem sier de til nå ikke har delt data under US Cloud Act, som er den amerikanske loven myndighetene over dammen kan slå i bordet.

Så da må man spørre seg om hvor sannsynlig det egentlig er at datadeling skjer.

Ingen har gode svar på dette, til det er har problemstillingen for mange faktorer. Men man kan spørre seg om datadeling er en så stor risiko at den overgår andre former for risiko knyttet til det å være i en skyløsning.

Her kommer også fordelene med skyløsningene inn igjen. Det handler om skalérbarhet og tilgang til innovasjoner.

Men ett er sikkert. Har du et grunnfjell av data som er selve gullbeholdningen i alt din virksomhet foretar seg?

Ja, da er det gode grunner til å sikre i alle fall den delen i et datasenter i et fjell i Norge.

For øvrig ventes EU å presentere et forslag om regler for lagring av sensitive data i Europa som en del av EUs kommende «Tech Sovereignty Package» den 27. mai.