Håll din data inom EU
Sedan Schrems II-domen föll krävs det extra säkerhetsåtgärder för att företag och organisationer ska få lagra personuppgifter utanför EU. Men även privatpersoner bör tänka på var man lagrar sin data. När vi skickar data till andra länder riskerar vi att uppgifterna hamnar hos utländska underrättelsetjänster.
Det är fullt förståeligt att man vill hålla personuppgifter inom EU. Det finns ingen möjlighet för ett företag eller myndighet att förstå hur utländska underrättelsetjänster analyserar vår data. I USA finns bland annat PRISM som Edward Snowden avslöjade 2013. Detta ger NSA direkt tillgång till data hos bland annat Google, Microsoft, Apple och Facebook.
Samtidigt med PRISM avslöjades även Upstream som ger NSA möjlighet att övervaka stora delar av den globala internettrafiken.
Att dessa övervakningsprojekt i USA kan fortgå beror på den amerikanska underrättelsetjänstlagen FISA 702. It-säkerhetsspecialisten Jonas Lejon har skrivit en djup analys av vad FISA 702 innebär för svenska medborgare och hur den bör tolkas.
IMY (före detta Datainspektionen) avrådde i somras Stockholms stad att använda Microsofts tjänster Azure AD och Teams. Det rapporterar Techlaw.
Men det är inte bara USA vi ska akta oss för. Australien har drivit igenom flera nya lagar de senaste åren som ger polisen långtgående rättigheter att inkräkta på privatlivet. I slutet av 2018 gick Australiens anti-krypteringslag igenom. I augusti 2021 gick ännu en lag igenom. Denna ger Australiens federala polis och underrättelsetjänster rätt att bland annat ändra, radera, kopiera och lägga till data på enheter; avlyssna, samla in och analysera nätverkstrafik; och slutligen att ta kontrollen över online-konton.
Även Storbritannien vill bannlysa kryptering, även om det ännu inte är en lag.
Kina är ett land som förekommer frekvent i media när det gäller massövervakning.
ANNONS FÖR VÅRA EGNA BÖCKER
Lägg därtill den svarta marknaden för massövervakning som Al Jazeera har rapporterat om i bland annat artikeln Spy Merchants.
Med alla dessa övervakningslagar, anti-krypteringslagar och en svart marknad för massövervakning är det inte konstigt att EU stramar upp regelverket när det kommer till lagring av personuppgifter. Hur ska vi kunna skydda uppgifterna när de samlas in av omvärldens alla underrättelsetjänster?
Men att NSA avlyssnar telefoni-, telegrafi- och radiotrafik är inget nytt. Det har de gjort så länge det har funnits trafik att lyssna på – även innan NSA bildades. År 1919 bildades “the Black Chamber”, föregångaren till NSA. I september samma år övertalade de Western Union Telegraph Company att vidarebefordra alla meddelanden av vikt till Black Chamber. Detta var i rak motsats till Radio Telecommunications Act.
1920 hade Black Chamber samarbete med nästan hela landets kabelföretag och man kunde därmed avlyssna det mesta av både telegrafin och telefonin.
1929 upplöstes Black Chamber. Istället bildades SIS (Signal Intelligence Service). Efter en rad andra liknande avdelningar bildades slutligen NSA år 1952.
Skillnaden nu och då var att man då bara kunde avlyssna kommunikation. Det vill säga brev, telegrafi, telefoni och radiotrafik. Nu lagrar vi hela våra liv – och hela företag – i molnet. Kalendrar, dagböcker, bokföring, fotoalbum, räkningar, patent, personuppgifter, register och brev är bara några exempel på vad vi lagrar digitalt på servrar runt om i världen. Rena smörgåsbordet för underrättelsetjänsterna världen över.
Framtiden och Schrems II?
Det är för tidigt att säga vad som kommer hända i framtiden vad gäller GDPR, Schrems II och överföringar till länder utanför EU. Det är många som ger sig på att sia om vad som gäller rent juridiskt, men än så länge verkar det inte finnas några definitiva svar.
När det kommer till den praktiska delen är det inte enkelt för ett stort företag som byggt hela sin it-miljö i ett amerikanskt moln att flytta hem allt. Det är en process som kommer att ta tid.
Alternativ till de amerikanska molntjänsterna
Men det finns alternativ till de stora jättarnas molntjänster. Det finns även tjänster som är end-to-end-krypterade – dessutom inom EUs gränser. Denna listan är på inget sätt komplett, det finns många fler tjänster inom EU och även inom Sverige.
Mejlleverantörer
- Tutanota. En tysk mejlleverantör med end-to-end-kryptering. All data lagras inom EU. Även kalendern och kontaktboken är krypterad.
- Protonmail. En schweizisk mejlleverantör med end-to-end-kryptering (OBS: Schweiz är inte ett EU-land men har däremot ett samarbete med EU.)
Kompletta molnlösning inom Sverige
Dessa företag erbjuder kompletta lösningar för bland annat lagring och VPS:er. De är inte nödvändigtvis krypterade, men finns inom Sveriges gränser med en egen infrastruktur.
Lagring
Molnlagringstjänster liknande Dropbox.
- Storegate. Ett helsvenskt krypterat moln med en del smarta funktioner. Exempelvis går det att dela ut filer där mottagaren måste verifiera sig med BankID.
- Tresorit. En end-end-krypterad molnlagringstjänst baserad i Schweiz, Tyskland och Ungern. (OBS: Schweiz är inte ett EU-land men har däremot ett samarbete med EU.)
Ett eget privat moln
Ett annat alternativ är att drifta ett eget privat moln bakom brandväggen. Det finns flera lösningar för detta, även sådana som är open-source. Detta är ett axplock av några lösningar för att bygga privata moln.
Nextcloud
I en förstudierapport av Kammarkollegiet rekommenderar de Nextcloud. I deras rapport går också att läsa om just FISA 702 och USAs möjlighet att samla in information om icke-amerikanska medborgare.
Nextcloud är en komplett svit med fildelning, kalender, mejl, dokument, fotoalbum, kanban-tavlor och mycket annat. Nextcloud går att köras lokalt på en egen server.
Focalboard
Focalboard är ett fullvärdigt alternativ till Trello och går att köra både som lokalt desktop-program och även som en lokal server på nätverket.
Mattermost
Mattermost är en svit med chatt, kanban-tavlor (Focalboard) och playbooks. Det går att köras lokalt på en egen server. Mattermost är ett alternativ till bland annat Slack.
MediaWiki
MediaWiki är en välbeprövad plattform för att samla och dela kunskap och går att köras på en egen server.
Övriga källor och mer information
- Schrems II-domen och överföring till tredje land – IMY
- Vägledningar, molntjänst – SKR
- Arkitektur, säkerhet – SKR
- Vad är egentligen Schrems II och behöver jag byr mig? – Digiteket
- Schrems II en sammanfattning - allt du behöver veta - GDPR Summary
- James Bamford, The Puzzle Palace, 1983. ISBN 0-14-006748-5.
Nyhetsbrev
Nyhetsuppdateringar från tidningen direkt till din inkorg, helt kostnadsfritt. Avsluta när du vill.
Relaterade artiklar
-
Avlyssna trafik på servern med Wireshark och TShark
Wireshark är ett ovärderligt verktyg för att felsöka nätverkskonfigurationer, applikationer, API:er, demoner och mycket annat. I kombination med
tsharkkan vi dessutom avlyssna trafiken på en server i realtid. -
Riskerna med BankID som ingen pratar om
BankID är ett säkert och smidigt sätt att identifiera sig online. Men i takt med dess ökade popularitet och användning har det blivit en svag länk – en single point of failure – på mer än ett sätt.
-
PGP-krypterat formulär
Jag blev inspirerad av Tutanotas Secure Connect – ett säkert webbformulär som skickar uppgifterna krypterat direkt till inkorgen. Skulle det inte gå att bygga något liknande med PGP? Det gick, och det var dessutom förvånansvärt enkelt då det redan finns ett GnuPG-bibliotek för PHP.
-
Var försiktig med att curl:a skript som root
Att installera program i Linux genom att omdirigera utdata från Curl till skalet är snabbt och smidigt. Men det är ack så farligt om du inte känner till programmet eller dess ursprung.
-
GDPR som ett stöd, inte ett hinder
Företag, föreningar och kommuner borde se GDPR som ett stöd och en vägledning, inte ett hinder. Trots det är det många som väntar ut Schrems II-domens efterspel för att inte behöva göra något. Andra försöker komma runt GDPR på olika sätt. Men man får glömma inte bort vem GDPR ska skydda – organisationens viktigaste tillgångar; kunderna, medlemmarna och invånarna.
Senaste nyheterna och inläggen
-
Avlyssna trafik på servern med Wireshark och TShark
Wireshark är ett ovärderligt verktyg för att felsöka nätverkskonfigurationer, applikationer, API:er, demoner och mycket annat. I kombination med
tsharkkan vi dessutom avlyssna trafiken på en server i realtid. -
Mysig stämning på sommarens första demoparty
I helgen var det Reunion 2024 i Kvidinge Folkets hus, sommarens första skånska demoparty. Partyt organiserades av Jesper “Skuggan” Klingvall. På plats fanns ett 30-tal besökare.
-
Sommarens skånska demopartyn
Årets sommar bjuder på två skånska demopartyn. Först ut är Reunion i Kvidinge den 28–30 juni. Därefter är det Pågadata i Örtofta den 9–11 augusti.
-
Riskerna med BankID som ingen pratar om
BankID är ett säkert och smidigt sätt att identifiera sig online. Men i takt med dess ökade popularitet och användning har det blivit en svag länk – en single point of failure – på mer än ett sätt.
-
Polisernas fängelsedomar står fast
Efter tre år är målet mot de två poliser som olovligen tog sig in i en berusad mans bostad i Landskrona och misshandlade honom klart. Högsta domstolen beslutade den sjätte mars att avvisa överklagan. Fängelsedomarna för poliserna står därmed fast.
Utvalda artiklar
-
Mysig stämning på sommarens första demoparty
I helgen var det Reunion 2024 i Kvidinge Folkets hus, sommarens första skånska demoparty. Partyt organiserades av Jesper “Skuggan” Klingvall. På plats fanns ett 30-tal besökare.
-
Datorparty i Landskrona
I helgen höll Syntax Society sitt årliga sommarparty. Platsen var en källarlokal i Landskrona där ett femtontal personer medverkade.
-
Det första Pågadata har ägt rum
I helgen ägde det första Pågadata rum – uppföljaren till Gubbdata. Platsen var Folkets Hus i Kvidinge. Organisatör av partyt var Johan “z-nexx” Osvaldsson med hjälp från Jesper “Skuggan” Klingvall. Partyt hade över 100 anmälda deltagare.
-
Även hovrätten fäller poliserna för att ha satt dit oskyldig
Hovrätten fastställer straffet för de två poliser som förra året dömdes till vardera ett års fängelse av Lunds tingsrätt för att ha misshandlat och satt dit en oskyldig man. De båda poliserna ska även betala skadestånd till mannen.
-
Retroloppis i Påarp
Idag var det retroloppis hos Andreas Nilsson i Påarp. På baksidan av huset fanns hundratals spel uppradade på långa bord. Trots friska vindar och sval temperatur var loppisen välbesökt.
CyberInfo Sverige är ett it- och medieföretag i nordvästra Skåne som tillhandahåller böcker, utbildningar, nyheter och konsulttjänster inom Linux, säkerhet och programmering.
CyberInfo Sverige är godkänd för F-skatt, är momsregistrerat och innehar
utgivningsbevis för webbplatsen www.cyberinfo.se.
