– Når datalagringen skjer på teleoperatørenes premisser, som alltid vil være i sterk konkurranse, vil sikkerheten være det som må lide. Og jo lenger man lagrer data, jo større risiko vil det være for at utro tjenere, hackere eller andre kriminelle vil tjene på dette, sier professor Svein Knapskog.

Sikkerheten kan forsvinne i skyene

Datalagring vil skje i nettskyer. Både sikkerhet og lovgivning rundt disse er helt uavklart.

Regjeringen sier at det vil være opp til hver enkelt teletilbyder å velge lagringsløsning hvis datalagringsdirektivet innføres. Det bekymrer sikkerhetseksperter på NTNU.

– Dette er det dårligste tidspunktet å vedta datalagringsdirektivet på, sier professor i datasikkerhet ved NTNU, Svein Knapskog.

– Uansett hvor sterkt man insisterer på at det vil stilles sterke krav til sikkerheten, så er det ikke mulig å forutse den reelle risikoen med den teknologiske utviklingen vi står midt oppi nå.

Fra sky til sky

Stadig flere bedrifter benytter såkalte nettskyer (cloud computing) til sitt databehov. Nettskyen er et bilde på internettet, og betyr at databehandlingsprosessen foregår et sted der ute på nettet – der oppe i skyene, organisert i en virtuell tjenesteorientert arkitektur og ikke på vår egen personlige desktop.

Populariteten har snart nådd et slikt nivå at ekspertene mener disse skyene representerer et paradigmeskifte i hvordan bedrifter flest vil håndtere sitt datalagringsbehov i framtiden.

– Lovforslaget klarer ikke å holde tritt med utviklingen, forteller Knapskog.

– Det er først og fremst fordi internett er et globalt fenomen, og stadig flere teletilbydere velger nettskyer for lagring av sine trafikkdata.

– Med et stort antall skyer på datahimmelen vil det praktiseres såkalt distribuert datalagring, forklarer professoren.

Ruting i Internett er organisert i selvstendige domener, og kan være uavhengig av geografisk posisjon av utstyret. (Illustrasjon: NTNU)

Ruting i Internett er organisert i selvstendige domener, og kan være uavhengig av geografisk posisjon av utstyret. (Illustrasjon: NTNU)

– Bedriftene vil sannsynligvis ikke forholde seg til én enkelt sky, men inngå avtaler om lagring der det til enhver tid er plass til en lavest mulig kostnad. Både lagring og prosesser vil foregå distribuert, oppsplittet mellom flere skyer.

Ulike land, ulike lover

Professoren sammenligner framtidens lagringstjenester med å inngå en spotprisavtale på strøm, der du ikke vet hvem du får strømmen fra, bare at du får strøm, og at prisen er den som er lavest til enhver tid.

– Sikkerhetsmessig er det å splitte lagring og prosesser rundt på tilgjengelig kapasitet en måte å unngå å ”legge alle eggene i én kurv”, sier Knapskog.

 

– Det kan være positivt, men samtidig vil det være konstant konkurranse om å tilby plass til lavest mulig pris. Så hver av kurvene vil aldri være sikrere enn man er villig til å betale for. Og det handler direkte om hva hver forbruker skal betale for sitt tjenesteforbruk.

Knapskog forteller også om en annen utfordring for lagringssikkerheten i nettskyene.

– Når skyene står i forskjellige land, vil de være underlagt ulik lovgivning, sier han.

– Det er i beste fall en stor utfordring. Det er naivt å tro at vi lever i et lukket land når det gjelder internett-tjenester.

– Direktivet bør utsettes

Professoren påpeker at teknologien nå er i slik rivende utvikling at en lov som skal regulere datalagring, bør utsettes.

– Når datalagringen skjer på teleoperatørenes premisser, som alltid vil være i sterk konkurranse, vil sikkerheten være det som må lide. Og jo lenger man lagrer data, jo større risiko vil det være for at utro tjenere, hackere eller andre kriminelle vil tjene på dette.

– Det er enkelt å være enig med mange av argumentene til både motstandere og tilhengere av datalagringsdirektivet, mener Knapskog.

Svein Knapskog.

Svein Knapskog.

– Men det som er viktig, er at vi mangler erfaring med denne typen distribuert lagring og prosessering som er i ferd med å utvikle seg.

– Derfor er det ikke mulig å si at de dataene som lagres, vil være trygge i skyene nå. Så vi vil ta en enorm risiko hvis direktivet innføres.

Lenke:

Lovforslag om datalagringsdirektivet