spjallid.is

Ríkið er með "data residency" í EU og því ættu engin gögn þess að fara til USA.

Man að þegar ég var hjá Reykjavíkurborg var þetta greint niður á einstök öpp og fyrir vikið var t.d. Whiteboard appið blacklistað sem vinnutól og framtíð Surface hubbanna ráðin a.m.k. á þeim tímapunkti.

Held að þarna sé verið að misskilja virkni þessara kerfa. Google er með þetta OK líka.

Er ekki búið að sýna það aftur og aftur og aftur og aftur og aftur og aftur og... að það er ekkert að marka hvað þessi Amerísku stórfyrirtæki eins og Microsoft og Google seigja, og hafa þau greiðan aðgang að þessu öllu saman, sama hvar þetta er eða hvað er skráð.

Það er ekkert að marka þessi fyrirtæki, og við getum ekki treyst á BNA.

Bara svo það sé sagt, ég væri ekki á móti sterkara EU á þessu sviði.

En þetta endar líklega í self hosted VDI sem er þá nánast mainframe all over again...

Ég var í Sviþjóð að halda fyrirlestur, fyrir ætli það sé ekki 4 ár núna og þá voru allir einkaaðilarnir og opinberu aðilar að panica yfir CLOUDACT. Þar sem að það leyfir að vissuleyti það sem Mörður er að segja. 1984 er reyndar orðið skrímslið sem þeir ætluðu að drepa ( hægir að breytast, orðnir dýrir vs erlenda markaðinn o.s.frv ).

Mér finnst þetta ágætis pæling, enn svo má líka alveg spá hvort að EU sé eithvað skárri fyrir okkar hagsmuni. Aðalmálið er að við höldum á okkar lyklum sjálf.

Enn svo má segja að einhverju leyti við erum bara svo lítil, að það er bara hægt fyrir okkur að hedgea okkur það mikið. Ég vona bara að Íslenska ríkið sé að gera það sem þau biðja svo einkaaðilana um að gera, geyma afrit af gögnunum hér á landi, eru með restore procedures, eru búin að gera vendor lockin risk analýsur sérstaklega varðandi erlenda birgja ( og þá meina ég alla erlenda birgja ).

Á endanum bjargar okkur, enginn nema við sjálf. Meiri segja Norsarar reyndu að loka á olíuna fyrir okkur í hruninu.

Svisslendingar eru að horfast í augu við þennan vanda og þeir hafa lagt í á þriðja hundruð milljón dollara í það einmitt að búa til heimasmíðaðar lausnir til þess að ná sér út úr þessum bandarísku Cloud umhverfum. Þetta tekur tíma, þetta er dýrt og það þarf að endurþjálfa tæknimenn og það þarf að taka skref, þetta gerist ekki fyrirhafnalaust.“

Erfið sala fyrir okkar tæplega 400.000 manna samfélag að vera með heimasmíðuð UT kerfi í opinbera/ríkis geiranum. Ég sem leikmaður í þessum opinbera/ríkisgeira UT málum hef samt þá skoðun að það mætti 100% skoða einhverja stefnu hvernig okkar opinberu starfsmenn eigi að haga sér mér viðkvæm mál og jafnvel ríkisleyndamál frekar en að öll okkar kerfi eigi að vera sérhönnuð og megi ekki vera í skýjalausn.

Edit: Hef sjálfur ekki þurft að kafa djúp í dulkóðunarmál í Skýjalausnum en veit að það eru alls konar möguleikar að dulkóða gögn "Encryption at rest" og "Encryption in transit" til að tryggja að þó svo Microsoft hafi aðgang að gögnum eða gagnapípum að þeir geti ekki lesið gögn (allavegana ekki á einfaldan máta).
https://learn.microsoft.com/en-us/purview/customer-key-overview?utm_source=chatgpt.com
https://learn.microsoft.com/en-us/purview/microsoft-365-service-encryption?utm_source=chatgpt.com

Hjaltiatla skrifaði:

Svisslendingar eru að horfast í augu við þennan vanda og þeir hafa lagt í á þriðja hundruð milljón dollara í það einmitt að búa til heimasmíðaðar lausnir til þess að ná sér út úr þessum bandarísku Cloud umhverfum. Þetta tekur tíma, þetta er dýrt og það þarf að endurþjálfa tæknimenn og það þarf að taka skref, þetta gerist ekki fyrirhafnalaust.“

Erfið sala fyrir okkar tæplega 400.000 manna samfélag að vera með heimasmíðuð UT kerfi í opinbera/ríkis geiranum. Ég sem leikmaður í þessum opinbera/ríkisgeira UT málum hef samt þá skoðun að það mætti 100% skoða einhverja stefnu hvernig okkar opinberu starfsmenn eigi að haga sér mér viðkvæm mál og jafnvel ríkisleyndamál frekar en að öll okkar kerfi eigi að vera sérhönnuð og megi ekki vera í skýjalausn.

Edit: Hef sjálfur ekki þurft að kafa djúp í dulkóðunarmál í Skýjalausnum en veit að það eru alls konar möguleikar að dulkóða gögn "Encryption at rest" og "Encryption in transit" til að tryggja að þó svo Microsoft hafi aðgang að gögnum eða gagnapípum að þeir geti ekki lesið gögn (allavegana ekki á einfaldan máta).
https://learn.microsoft.com/en-us/purview/customer-key-overview?utm_source=chatgpt.com
https://learn.microsoft.com/en-us/purview/microsoft-365-service-encryption?utm_source=chatgpt.com

Mikið af þessum pælingum er fjallað um og svarað hér (sjá viðhengin neðst):

https://www.stjornarradid.is/verkefni/u ... kun-gagna/

Kannski væri skynsamlegt að hefja þá vegferð að færa alla vefhýsingu og kerfisrekstur – eins og til dæmis island.is – úr AWS og Azure yfir í innlenda innviði. Þekkingin og tæknin eru til staðar hér á landi, og líklegt er að kostnaðurinn yrði svipaður.

Einnig mætti skoða að færa trúnaðarsamskipti ríkisstjórnarinnar frá Microsoft yfir á opnari lausnir, eins og til dæmis Matrix.

Það sem Frakkar og Þjóðverjar eru að gera með Docs og ProConnect-verkefnið er einnig mjög áhugavert – og vel hægt að ímynda sér að íslenska ríkið færi í svipaða átt.

Það þarf engin heimasmíðuð kerfi, þetta er allt til og ekkert öðruvísi að líma saman Microsoft hugbúnað og annan hugbúnað.

Staðan er einfaldlega sú að bandarísk yfirvöld hafa beinan aðgang að öllum okkar gögnum og samskiptum ríkisins – hvort sem það eru gögnin þín á Heilsuveru eða samskipti Íslands við Evrópusambandið.

Það væri miklu ódýrara fyrir okkur að hafa þetta allt hérna heima. Ríkið getur greitt tvöfalt meira fyrir alla þjónustu hérna innanlands en það væri samt ódýrara en að brenna upp gjaldeyri og færa allar hliðartekjur erlendis (enginn VSK, tekjuskattur etc að koma tilbaka). Ríkið og fyrirtæki eyða alveg fáránlegum upphæðum í erlendar skýjalausnir.

Þjónustuviðskipti við útlönd eftir ársfjórðungum 2009-2025
Innflutningur: 9. Fjarskipta-, tölvu- og upplýsingaþjónusta

ragnarok skrifaði:Það væri miklu ódýrara fyrir okkur að hafa þetta allt hérna heima. Ríkið getur greitt tvöfalt meira fyrir alla þjónustu hérna innanlands en það væri samt ódýrara en að brenna upp gjaldeyri og færa allar hliðartekjur erlendis (enginn VSK, tekjuskattur etc að koma tilbaka). Ríkið og fyrirtæki eyða alveg fáránlegum upphæðum í erlendar skýjalausnir.

Þjónustuviðskipti við útlönd eftir ársfjórðungum 2009-2025
Innflutningur: 9. Fjarskipta-, tölvu- og upplýsingaþjónusta

Þetta er "servitization" ... leiga en ekki kaup.


EDIT:

En breytir því ekki að þetta eru peningar sem gætu gert landi og þjóð mikið gagn ef þeim yrði haldið innanlands.

Það sem "servitization" tekur af fyrirtækjum er að þau meiga ekki "eignfæra og afskrifa" hugbúnaðarleyfin lengur og því er þetta orðið 100% rekstrarkostnaður sem gjaldfærist strax.

Innlend hýsing þýðir ekki endilega öruggari hýsing.

Ef eitthvað er væri það eflaust einfaldara fyrir erlenda ógnaraila að ráðast á íslensk hýsingarfyrirtæki en Microsoft því þau hafa minni getu að bregðast við og koma í veg fyrir svoleiðis árásir.

Revenant skrifaði:Innlend hýsing þýðir ekki endilega öruggari hýsing.

Ef eitthvað er væri það eflaust einfaldara fyrir erlenda ógnaraila að ráðast á íslensk hýsingarfyrirtæki en Microsoft því þau hafa minni getu að bregðast við og koma í veg fyrir svoleiðis árásir.

Eins og staðan er í dag er það löglegt í Bandaríkjunum, með leynilegum dómum, að skoða öll gögn sem Microsoft, Google eða AWS hafa aðgang að. Þetta snýst því ekki um árásir heldur beinann aðgang að gögnum.

Það virðist eins og flestir hafi gefist upp og hafi lítinn áhuga á að efla þekkingu hér á landi í öryggismálum og hýsingu.

Það má þó líka velja hýsingaraðila í öðrum löndum, ef svo ber undir.

Pandemic skrifaði:

Revenant skrifaði:Innlend hýsing þýðir ekki endilega öruggari hýsing.

Ef eitthvað er væri það eflaust einfaldara fyrir erlenda ógnaraila að ráðast á íslensk hýsingarfyrirtæki en Microsoft því þau hafa minni getu að bregðast við og koma í veg fyrir svoleiðis árásir.

Eins og staðan er í dag er það löglegt í Bandaríkjunum, með leynilegum dómum, að skoða öll gögn sem Microsoft, Google eða AWS hafa aðgang að. Þetta snýst því ekki um árásir heldur beinann aðgang að gögnum.

Það virðist eins og flestir hafi gefist upp og hafi lítinn áhuga á að efla þekkingu hér á landi í öryggismálum og hýsingu.

Það má þó líka velja hýsingaraðila í öðrum löndum, ef svo ber undir.

Það er vissulega ein leið fyrir bandarísk stjórnvöld að hafa sitt eigið innanbúðarfólk til að lesa upplýsingarnar en það skilur eftir fótspor og líklegt að uppgötvast.

Ég myndi frekar veðja á Harvest now, decrypt later þar sem umferðin/gögnin eru passívt stolið með TAP eða SPAN án þess að neinn verður var við. Þetta er í takt við t.d. PRISM/XKeyscore/Tempora og hefur þann kost að það skilur eftir lítil sem engin fótspor.

rapport skrifaði:https://www.digitaljournal.com/tech-science/microsoft-says-u-s-law-takes-precedence-over-canadian-data-sovereignty/article

Er þessi grein ekki í andstöðu við upprunalegt innlegg og samræmist því sem aðrir hafa verið að benda á?
Semsagt að "data residency" skipti ekki höfuðmáli þegar fyrirtæki með starfsemi í US eiga í hlut.

Það voru málaferli eða e-ð í kringum þetta einhverntímann 2014-2020 (pre-covid á svipuðum tíma og allir voru að færa sig í cloud-ið) sem snérist einmitt um hvort að Microsoft væri skylt að veita bandarískum yfirvöldum gögn viðskiptavina sem voru hýst í Írlandi.

Microsoft France’s response has been that they have strong, rigid legal processes to contest unfounded or potentially illegal or unconstitutional requests by the United States government.

Basically þetta - en eins og greinin segir, þetta er bara "Trust us" stemning.

Þetta virðast vera atriði sem að margir skýja-áhugamenn vilja oft ekki ræða eða horfast í augu við.
(Sbr skýjastefna ríkisins: Allt í skýið, öryggi og privacy verður rætt seinna.)

Ekki misskilja mig, það er fullt af value í því að nota skýjaþjónustur framyfir hands-on on-premises mokstur, en það er líka í fínu lagi að vera ekki að sykurhúða það að gögnin eru í eðli sínu ekki örugg, við erum bara að treysta á að viðkomandi þjóð sé ennþá 'ally'.