digi.no kunne i går bringe historien om Moss kommune, som blir landets første kommune til å skrote lokale servere og flytte store deler databehandlingen ut i nettskyen.

Innen ett år skal anslagsvis 40 prosent av IT-plattformen deres kjøre i Microsofts Azure-sentraler i Amsterdam eller Dublin.

Dette er selvsagt kontroversielt. En kommune har typisk mer enn hundre fagapplikasjoner. Både saksgang og dialog med innbyggerne tilsier at en god del av dokumentmassen og kommunikasjonen inneholder sensitive data.

De første reaksjonene på Moss’ planer lot da heller ikke vente på seg. digi.no merker seg spesielt et innlegg skrevet av Thomas Sødring i debatten under gårsdagens artikkel.

Sødring, som er førsteamanuensis ved Høgskolen i Oslo og Akershus med arkiv som spesialfelt, skriver at det kommunen planlegger gjør ham veldig bekymret. Han etterlyser også en offentlig debatt rundt relevant juss på området.

– Akseptable risikonivåer
Det er riktig som han tar opp, at det kan oppstå problemer i forhold til lovverket. Det erkjenner Moss kommune, som sier at de nettopp derfor har valgt en såkalt hybrid sky-modell, hvor altså deler av IT-plattformen forblir lokalt driftet.

digi.no har utfordret kommunens lokale IT-partner Skill om noen av bekymringene som har dukket opp.

– Slik vi ser det har Moss kommune hatt sterk fokus på å møte nettskyen på en trygg og god måte. Kommunen har, og har hatt, løpende dialog med blant annet Datatilsynet som rådgivende instans for å vurdere egnetheten til ulike tjenester, og diskutert nødvendige sikkerhetstiltak, slik at data behandles innenfor akseptable risikonivåer, skriver Ole-Erik Thornquist i Skill.

Ifølge ham er infrastrukturen for å ta i bruk mulighetene i nettskyen nå på plass. Over påske vil kommunens applikasjoner flyttes ut én etter én, men bare etter en nærmere vurdering i hvert tilfelle.

Dette innebærer at før tjenester flyttes over til Azure, så skal hver enkelt tjeneste bli vurdert i forhold til gjeldende lovverk, teknisk egnethet og økonomi. Dersom norsk lov er til hinder for overføring av tjenesten, videreføres den på lokal plattform som før.

– Moss kommune har ikke til hensikt å bryte norsk lovgivning og vil ha høyt fokus på sikkerhet i prosessen. Det er mange lovgivende myndigheter i offentlig forvaltning og Moss kommune vil løpende rådføre seg med de aktuelle instansene, sier Ole-Erik Thornquist.

En kommune har mange ulike datasystemer. De trenger ikke bestå av sensitive data, eller av data som ikke lovlig kan flyttes ut, mener han.

Hybrid-modellen Moss har valgt gjelder også for skytjenesten Office 365, som kommunen blant annet bruker til e-post.

Det er innført rutiner for å klassifisere en brukers profil, ut fra hva slags data brukeren i tråd av sin stilling vil kunne behandle. – De som følge av stillingen er vurdert å være i en høyere risikogruppe, får lokal e-postkonto, forteller Skill-rådgiveren.

Oslo (NTB): Regjeringen stanser arbeidet med datalagringsdirektivet etter EU-domstolens knusende dom over det omstridte direktivet denne uken.

Det bekrefter samferdselsminister Ketil Solvik-Olsen (Frp) og statsminister Erna Solberg (H) overfor Dagbladet.

– Regjeringen tar domstolsvedtaket i EU til følge og legger arbeidet med datalagringsdirektivet på is. Vi sender brev til Stortinget om det i dag, sier samferdselsministeren fredag.

EU-domstolen i Luxembourg erklærte tirsdag datalagringsdirektivet for ugyldig og mener det bryter med EU-borgernes grunnleggende rettigheter.

Direktivet er med støtte fra Høyre og Arbeiderpartiet vedtatt innført i Norge.

Kristelig Folkeparti, Venstre, Senterpartiet, Sosialistisk Venstreparti og Miljøpartiet De Grønne krevde torsdag full stans i iverksettelsen av direktivet som følge av EU-domstolens avgjørelse.

Statsminister Solberg slo allerede i Stortingets spørretime onsdag fast at direktivet nå ikke lenger eksisterer og derfor ikke kan iverksettes. (©NTB)

Som digi.no skrev i går, har Condoleezza Rice blitt valgt til nytt styremedlem i Dropbox. Det er gjerne slik at styremedlemmer kommer og går i mange bedrifter, uten at særlig mange legger spesielt merke til det. Men det er tydelig at valget av Rice både har vekket forargelse.

Det er Rice’ fortid som nasjonal sikkerhetsrådgiver og utenriksminister under George W. Bush som er årsaken til at mange nå protesterer mot valget av Rice. Det har blitt opprettet et eget Drop Dropbox-nettsted hvor folk oppfordres til å dele en ferdig forfattet melding på Twitter eller Facebook.

I meldingen, som er rettet til Dropbox, heter det at dersom selskapet ikke fjerner Rice fra styret, som vil avsenderen eller avsenderens virksomhet finne seg en annen leverandør av nettskylagring. For øyeblikket går ikke mange sekundene mellom hver gang noen publiserer meldingen eller andre innlegg med hashtaggen #DropDropbox på Twitter.

Det handler ikke om kompetansen til Rice, som det ikke stilles spørsmål ved. Det er etikken som er i søkelyset.

– Når et selskap bokstavelig talt har tilgang til alle dataene din, blir etikken mer enn bare et morsomt tankeeksperiment, kan man lese på Drop Dropbox-nettstedet.

På nettstedet trekkes det blant annet fram at Rice var eller skal ha støttet eller bidratt til både Irak-krigen og torturprogrammet til Bush-administrasjonen. Men i forbindelse med Dropbox er et nok verre at Rice både støttet Patriot Act og autoriserte uhjemlet avlytting av blant annet amerikanske statsborgere uten kjennelse fra en domstol.

– Gitt alt det vi nå vet om USAs uhjemlede overvåkningsprogram, og Rice’ rolle i dette, hvorfor i all verden skulle vi ønske at noen som henne er involvert i Dropbox, en organisasjon som vi overlater våre viktigste forretnings- og persondata til, spørres det på nettstedet.

Det er ikke oppgitt hvem som står bak kampanjen og nettstedet. Domenenavnet ble registrert i går via GoDaddy og Domains By Proxy. På nettstedet ramses det opp en rekke konkurrerende tjenester.

PCMag.com er nær ved å kalle utnevnelsen for en gavepakke til Dropbox’ konkurrenter.

I februar i fjor publiserte det amerikanske IT-sikkerhetsselskapet Mandiant en rapport om globale IT-trusler der de dokumenterte at kinesiske militære medvirker til kyberspionasje. Spionasjen retter seg mot andre land og mot bedrifter. Mandiant pekte ut en høyblokk i Shanghai som de mente huser en av verdens mest avanserte avdelinger for kyberkrigføring og spionasje.

I årets trusselrapport fra Mandiant granskes den militære hackergruppens virksomhet i tiden etter at de ble avslørt. Mandiant ser også på virksomheten til en annen kinesisk hackergruppe som ble tatt på fersken i nettverket til New York Times og avslørt i deres spalter 30. januar.

I Mandiants siste rapport kalles den militære gruppen de avslørte for APT1 («advanced persistent threat»), mens den New York Times avdekket kalles APT12.

Her påvises det at både APT1 og APT12 begge reduserte sin virksomhet etter avsløringene, APT1 i større grad enn APT12. Dette visualiseres i grafen øverst i denne artikkelen: Den røde linjen er aktivitet i 2013, den blå er gjennomsnittet av aktiviteten på tilsvarende datoer årene før.

En annen endring er at APT1 endret IP-adressene knyttet til skadevaren de brukte. Mandiant illustrerer dette slik:

APT1 sluttet med andre ord å bruke sine etablerte IP-adresser straks Mandiant-rapporten var publisert. Det tok dem noen uker før skadevaren fikk ny infrastruktur å forholde seg til.

Tilsvarende endringer ble observert for APT12, selv om New York Times ikke publiserte IP-adressene knyttet til denne gruppens skadevare.

Washington Post har innhentet uavhengige eksperters vurdering av den nye Mandiant-rapporten.

Disse er enige med Mandiant i to hovedkonklusjoner: For det første at kinesiske myndigheter er følsomme for vestlige avsløringer om kyberspionasje. De sørger for at virksomheten trappes ned og legges delvis om i perioder på opptil flere måneder, selv om de utad blånekter for at de overhodet driver med kyberspionasje.

Den andre hovedkonklusjonen er at siden kyberspionasjen tas opp igjen, er gevinsten så stor at den berettiger risikoen den medfører for en alvorlig forverring av forholdet til USA og andre vestlige land.

Tidligere denne uken pekte digi.no på at mange globale nettaktører har opplevd kursras den siste måneden.

I går kveld var amerikanske finanstjenester igjen opptatt av temaet: Nasdaq-indeksen falt med 3,1 prosent, den største dagsnedgangen siden 2011, og ligger nå på samme nivå som ved årsskiftet.

Både Bloomberg og Wall Street Journal er opptatt av det de kaller «tech selloff».

I tillegg til IT, rammes bioteknologiaksjer spesielt hardt.

En kilde til ekstra nervøsitet er tall fra Kina, der det heter at landets eksport falt 6,6 prosent i mars. Bloomberg viser til analytikere som tror den reelle nedgangen er større, og at Kina pynter på statistikken.

Flukten fra teknologiaksjer er ikke begrenset til Amerika. Den europeiske Stoxx 600 Technology Index falt i går og fortsetter å falle i dag. Stjerneaksjen ARM er ned 4,1 prosent.

I Asia rammer kursfallet blant annet Kinas største nettselskap Tencent, som er ned 6,1 prosent, den japanske mobiloperatøren Softbank som har falt 13 prosent denne uken, og Samsung som skulle feiret lanseringen av Galaxy S5 med lyse utsikter og kursoppgang, mens som fortsatte nedgangen utløst av profittvarslet tidligere i uken. Samlet sett er Samsung-aksjen ned 2,7 prosent siden tirsdag.

Nettutstyrsleverandørene Cisco og Juniper advarer at sårbarheten «Heartbleed» i «Heartbeat»-modulen i OpenSSL rammer også systemvaren i flere av deres produkter, blant dem rutere, svitsjer og brannmurer.

Cisco beskriver dette i sikkerhetsvarselet OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products, der de lister hvilke produkter som er rammet og hva slags tiltak er påkrevet for å gjenopprette normal sikkerhet.

Cisco skriver at sårbarheten kan utnyttes til å hente ut deler av minnet til en klient eller til en server, og at dette kan potensielt omfatte også følsom informasjon som private krypteringsnøkler.

Junipers supportside lenker til informasjon om hvordan Heartbleed rammer deres utstyr under overskriften «High Alert». Denne lenken krever brukernavn og passord. Søk på Junipers «Knowledge Center» gir to treff på Heartbleed: Details on fixes for OpenSSL “Heartbleed” issue og Multiple products affected by OpenSSL “Heartbleed” issue. Her kommer det fram at versjon 13.2 og tidligere av Junos OS ikke er sårbar. Versjonen som er sårbar, er Junos OS 13.3R1.

Kryptografi-ekspert Matthew Green ved Johns Hopkins University sier til Wall Street Journal at sårbart nettverksutstyr i brannmurer og VPN-løsninger kan utnyttes av angripere for å infiltrere et nettverk.

Det sårbare utstyret selges til både bedrifter og forbrukere. Cisco og Juniper sier de arbeider på spreng for å framstille systemvarefikser, men advarer at de ikke vet hvor lang tid dette vil ta. Når fikser er klare, kan det også gå tregt å oppdatere selve systemvaren.

Digi.no viste i går til Bruce Schneier, en anerkjent uavhengig kryptograf som også blogger om Heartbleed. Bloggen er nå oppdatert med en advarsel om at det antakelig finnes ikke-oppgraderbare integrerte løsninger som bruker OpenSSL-versjon med Heartbleed-sårbarheten. Da er det i så fall bare én måte å kvitte seg med sårbarheten på: Skrote utstyret og kjøpe nytt.

I en annen oppdatering til den samme bloggen viser Schneier til troverdige indikasjoner på at Heartbleed kan ha blitt utnyttet av etterretningstjenester i november 2013, utover det opprinnelige materialet referert i Ars Technica.

Datasentre er motoren i vårt moderne informasjonssamfunn. Det snakkes ofte om å legge IT-tjenester ut i skyen som om dette er noe som skjer i en sky på himmelen. Faktum er at disse såkalte skytjenestene foregår i store energikrevende datasentre i rundt omkring i verden – bare i Europa sluker datasentre en energimengde som tilsvarer hele den norske elektriske energiproduksjonen på cirka 125 TWh. Nettopp derfor blir datasentervirksomhet
ofte omtalt som vår nye kraftkrevende industri.

Datasentre er store energiforbrukere. Dataserverne og utstyret som benyttes krever mye elektrisk strøm for å fungere. I tillegg må IT-utstyret kjøles – ofte benyttes like mye energi til kjøling som til selve serverdriften.

Norge har fra naturens side sannsynligvis Europas beste forhold for å drive med datasentervirksomhet. Som eneste land produserer vi tilnærmet 100 prosent fornybar, elektrisk energi fra vannkraft, i tillegg har vi et kaldt klima og tilgang på kaldt vann som kan benyttes til kjøling. Likevel er det slik at Google har valgt å plassere ett av sine store datasentre i Hamina i Finland, Facebook valgte Luleå i Sverige og nylig har Microsoft også valgt Finland. Dette er selskaper som har stor fokus på bruk av fornybar energi. I Finland er 31 prosent av den elektriske energien fra fornybare kilder og i Sverige 54 prosent, det øvrige kommer fra atomkraft og kraftverk med fossilt brennstoff.

Finland besluttet nylig å inkludere datasenternæringen i sin definisjon av kraftkrevende industri, og som et resultat ble avgiftene på forbruk av elektrisk kraft redusert med 60 prosent. Dette betyr at finnene reduserer avgiftene med cirka 8 øre per kWh, noe som gir en aktør som Google en årlig besparelse i størrelsesorden 50 millioner kroner.

Norsk forbruksavgift for strøm til ordinær sats utgjør 12,39 øre/kWh. Enkelte sektorer som bergverk, produksjons av fjernvarme og så videre, får en redusert sats som utgjør 0,45 øre/kWh. Kraftintensiv industri som elektrolyse, metallurgiske og mineralogiske prosesser samt energiintensive foretak i treforedlingsindustrien, er fullt ut fritatt fra forbruksavgift i Norge. Finland med sin næringsnøytrale avgiftsordningen har over natten gitt Norge en betydelig konkurranseulempe. Det haster å gjøre noe med dette, dersom norske myndigheter ønsker å utvikle datasentervirksomheten til en fremtidig industri.

De store datasentrene flyttes primært til områder nært fornybar kraftproduksjon for å sikre
god tilgang på kraft og for å unngå tap av energi i overføringsleddet. Videre er det slik at den produksjonen som foregår i et datasenter kan transporteres ved bruk av lys som sendes gjennom fiberkabler til nesten hvor som helst i verden med kun beskjeden bruk av energi.

Etablering av slik virksomhet vil være et viktig norsk bidrag til en grønnere hverdag for Europa og resten av verden.

I Green Mountain har vi bygd et stort datasenter der vi gjenbruker et tidligere NATO-anlegg
på Rennesøy utenfor Stavanger, og vi bygger nå også et nytt datasenter i vannkraftbyen
Rjukan i Telemark. En datasentervirksomhet i seg selv er ikke arbeidsintensiv, vi forventer
15-20 ansatte på Rjukan. Men indirekte bidrar slike sentre til betydelig økonomisk aktivitet i
nærområdet og i landet forøvrig

I et datasenter som det vi nå bygger på Rjukan, vil våre kunder ha IT-utstyr for mangfoldige milliarder kroner i anlegget når det er ferdig utbygd. Dette utstyret skal anskaffes, transporteres, monteres, settes i drift og holdes operativt gjennom hele levetiden. Normal levetid på slikt IT-utstyr er på 3-5 år. Det vil si at etter denne perioden skal alt utstyret demonteres, tas ut og håndteres på en forsvarlig måte samtidig som nytt utstyr igjen skal anskaffes, monteres, settes i drift, og så videre.

Rundt et slikt stort datasenter vil det altså foregå en meget stor økonomisk aktivitet, det kan antas mer enn 2 milliarder kroner hvert eneste år – år etter år. Basert på våre erfaringer er et forsiktig anslag at ringvirkningene vil være på minst 150-200 arbeidsplasser. Det er altså snakk om mange varige kompetansekrevende arbeidsplasser i distriktene og med tilhørende skatteinntekter til kommuner og til landet. I tillegg kommer investeringene i selve byggingen av datasentrene og investeringer i moderne infrastruktur som sikrer at landet som helhet styrker sin robusthet og tilgjengelighet på fiber- og kommunikasjonssiden.

Etter de grep Finland har gjort ved å definere datasenterindustrien som en moderne
kraftkrevende industri, er Norge nødt til å følge opp med tilsvarende grep dersom man ønsker at en slik næring skal kunne utvikle seg også i Norge. Dersom man ikke ønsker slik virksomhet så kan jo alternativet være å overføre kraften og medfølgende arbeidsplasser til datasentre i Sverige og Finland. Da sikres det i hvert fall at datasenteraktører i Sverige og Finland kan bruke vår rene norske vannkraft uten å betale norsk forbruksavgift.

Microsoft er den hittil eneste leverandøren som har fått en slik godkjennelse, hevder selskapets juridiske direktør Brad Smith i en kunngjøring.

– EUs datatilsyn har kommet til at Microsofts kontraktsvilkår for nettskyen er i samsvar med de høye kravene til europeiske personvernlover, skriver han.

Kunngjøringen er basert på et brev (pdf) de har mottatt fra EU-organet Artikkel 29-gruppen, bestående av samtlige medlemslands datatilsyn, hvor også Norge deltar med observatørstatus.

Ifølge Smith kan kunder på Azure, Office 365, Dynamics CRM og lignende, nå fritt overføre personopplysninger over landegrensene, gjennom deres datasentraler i EU-området og til resten av verden.

Administrerende direktør Michael Jacobs i Microsoft Norge sier seg svært fornøyd med Artikkel 29s avgjørelse.

– Dette markerer en betydelig milepæl for kunder som vurderer Microsofts skytjenester ved at de kan ha tillit til og vite at produktene er i samsvar med Europas strenge personvernstandarder uansett hvor dataene ligger, sier Jacobs.

Forenkling
I praksis ser det ut til at Microsoft har adoptert EU-kommisjonens standardvilkår (2010/87), som er bindende for Norge gjennom EØS-avtalen, kan Datatilsynet fortelle til digi.no.

– Konsekvensen er at bedrifter som ønsker å overføre personopplysninger til Microsoft nå kan gjøre dette, i flere europeiske land, uten at de lokale datatilsynsmyndighetene har godkjent dataoverføringene på forhånd. Microsofts avtale trenger med andre ord ikke å godkjennes på nytt, svarer tilsynets seniorrådgiver Jørgen Skorstad på vår anmodning om en redegjørelse.

Dette betinger at kunden skriver under på en avtaletekst kalt Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement før personopplysningene blir overført. I tillegg må vedleggene til avtalen fylles ut etter boka.

Ifølge Skorstad er det i vedleggene det angis hvilke data som skal overføres, hvem det angår, hvorvidt det er sensitive opplysninger, formål med behandlingen, hvilke sikringstiltak som er iverksatt og så videre.

Det er likevel verdt å merke seg, skriver Skorstad, at Norge i likhet med mange andre land i Europa, også krever forhåndsgodkjenning av dataoverføringen når standardkontrakt 2010/87 benyttes.

Men dette kravet står for fall i stadig flere europeiske land, bemerker han. Også den norske regjeringen arbeider for tiden med å revidere forskriften som regulerer dette.

I forrige måned vedtok EU-parlamentet en ny personvernforordring, som blir gjeldende for alle EU- og EØS-landene. Der legges det opp til en generell regel at det som er godkjent av personvernmyndigheter i ett medlemsland, automatisk godkjennes i alle medlemsland.

Heartbleed-sårbarheten i OpenSSL har fått voldsomme konsekvenser. Ikke nødvendigvis i form av datalekkasjer, men ved at svært mange nettsteder og andre tjenester verden over nå har måttet skifte ut sikkerhetssertifikatene, samt at mange brukere av disse tjenestene har fulgt rådet om å erstatte sine passord med helt nye.

Så langt er det ikke kjent at sårbarheten faktisk har blitt utnyttet eller over hvor lang tid. Men man kan trolig ta det for gitt at det har skjedd tilfeller av slik utnyttelse i dagene som har gått siden sårbarheten ble allment kjent.

På grunn av det store potensialet til avlytting som Heartbleed gir, har det blitt spekulert i om det er NSA som har plantet sårbarheten i koden. OpenSSL er basert på åpen kildekode og mottar bidrag fra flere parter. Det har tidligere blitt hevdet at slike forsøk på bevisst planting av sårbarheter ville ha blitt oppdaget ved senere kodegjennomgang, men denne egentlig ganske opplagte sårbarheten ble først oppdaget etter to år.

Sydney Morning Herald publiserte i går kveld, norsk tid, et intervju med utvikleren som har skrevet koden til Heartbeat-utvidelsen. Vedkommende heter Robin Seggelmann, en tysk forsker ansatt ved Universitetet i Munster.

Seggelmann sier at han forstår at det er fristende å anta at NSA har hatt en finger med i spillet.

– Men i dette tilfellet dreide det seg om en enkelt programmeringsfeil i en ny funksjon, som dessverre oppstod på et område som er relevant for sikkerheten, forteller Seggelmann. Sårbarheten skyldes manglende validering av verdien til en variabel. Dette ble etter alt å dømme også oversett også av Stephen Henson, personen som skal ha revidert koden før den ble tatt i bruk.

Til Sydney Morning Herald sier Seggelmann at feilen han introduserte var ganske triviell, men at konsekvensene var svært alvorlige.

– Det ble overhodet ikke gjort med hensikt, spesielt siden jeg på egenhånd har rettet OpenSSL-feil tidligere, og forsøkte å bidra til prosjektet.

Sydney Morning Herald har en egen sak om bakgrunnen til Seggelmann. Der går det fram at han siden doktorgradsstudiene har publisert vitenskapelige artikler og holdt foredrag om IT-sikkerhet. Avhandlingen hans fra 2012 handlet om strategier for sikker internettkommunikasjon.

Seggelmann er forøvrig ikke bare utvikler av Heartbeat-modulen. Han har også vært med å skrive selve spesifikasjonen, sammen med to andre.

Frem til nå har det ikke vært mulig for privatpersoner i Norge å kjøpe .no-domener; de har kun vært tilgengelig for bedrifter.

Privatpersoner har kun hatt muligheten til å registrere adresse under priv.no, noe bare drøye 5.000 har gjort siden det ble mulig i 2011.

Ute på høring
I januar ble et forslag fra Norpol om å la privatpersoner registrere .no-domener lagt ut for høring. Høringsfristen gikk ut 11. mars, og denne uken ble det besluttet at det fra 17. juni i år blir mulig for privatpersoner å skaffe seg et .no-domene.

– Et norsk domenenavn er stabilt og blant de sikreste i verden, og vi er veldig glade for at vi nå kan utvide tilbudet til privatpersoner, sier Hege Ossletten, fungerende daglig leder i Norid på selskapets nettsider.

Fra 17. juni
Fra midnatt 17. juni kan alle som ønsker seg et .no-domene sende inn søknad til Norid.

Alle kan søke om hvilket som helst domenenavn, og søknadene går inn i en loddtrekning for å gjøre det rettferdig. Dog må domenenavnet ikke være i strid med norsk lov og heller ikke bryte med andres rettigheter.

I 2010 ble det samme temaet lagt ut for høring, men den gangen ble ikke .no-domenet sluppet fri.

Hva synes du om at alle nå får slippe til under .no-paraplyen? Vi hører fra deg i kommentarfeltet under.

Artikkelen er opprinnelig publisert på DinSide.