Mens Brexit dominerer nyhetsbildet i Storbritannia og resten av verden, fant en annen viktig hendelse sted i London da US Deputy Assistant Attorney General Richard W. Downing tok for seg mytene og sannhetene om Cloud act (The Clarifying Lawful Overseas Use of Data Act) i en tale under konferansen the Academy of European Law. Etter talen publiserte det amerikanske justisdepartementet (DoJ) en rapport og et dokument som beskriver betydningen, omfanget og slagkraften til den nye loven. Dokumenter alle interesserte bør lese for å forstå og få oversikten over hva den faktisk innebærer.
Enkelt forklart er Cloud act bare mindre justeringer på en gammel lov som skal hjelpe politimyndighetene med å forebygge og kjempe mot internasjonale lovbrudd og terrorisme. Den den ikke gjør er å gi amerikanske politimyndigheter fri tilgang til data lagret i skyen.
Nevnte tale og dokumenter er absolutt et steg i riktig retning. Men myndighetene verden over har fortsatt en vei å gå for å lære brukere av skytjenester grunnleggende fakta om tilgangen til data og hvordan dette fungerer.
I 1986 vedtok den amerikanske kongressen SCA (The Stored Communications Act). En lov som tok for seg politimyndighetenes tilgang til elektronisk kommunikasjon. Til tross for at loven den gang ble sett på som fremtidsrettet har man siden strevd med å forstå hvordan den skal brukes når det kommer til apper eller skyen som ikke eksisterte da den ble vedtatt. Et dilemma som ble mye diskutert var om amerikanske myndigheter kunne få tilgang til data lagret utenfor USA. Cloud act er løsningen på disse diskusjonene. Den gjør det klinkende klart at tilbydere som opererer i USA må forholde seg til amerikansk lov og derfor kan beordres til å overlevere data som er under deres kontroll – uavhengig av lagringssted.
Cloud act er ikke et nytt konsept. Myndigheter verden over har lenge hatt muligheten til å få tak i bevismateriale utenfor jurisdiksjonen. Som amerikanske myndigheter påpeker i rapporten, krever de fleste land at data frigis uavhengig av lokasjon. Noe som er i tråd med Budapest-konvensjonen som var det første internasjonale traktatet som tok for seg felles innsats mot datakriminalitet. I Frankrike har man for eksempel lenge tillatt politiet å hente ut data fra utlandet så lenge det er tilgjengelig fra en PC lokalisert i landet. Så nylig som i 2019 vedtok Storbritannia loven Crime (Overseas Production Orders) Act, som lar engelske politimyndigheter hente data lagret utenfor landets grenser.
Dette er i tråd med det århundregamle prinsippet om internasjonalt samarbeid. De forskjellige landene har en rekke verktøy, fra lokale til internasjonale traktater, som brukes for å hente inn bevismateriale som ligger utenlands og for støtte oppunder det tradisjonelle samarbeidet på tvers av grensene. Dette er grunnprinsippet til Europol, og Cloud act bare stadfester det myndighetene allerede har gjort i årevis.
En av de vanligste misforståelsene rundt Cloud act er at den kun gjelder amerikanske selskaper. Den gjelder alle bedrifter og organisasjoner som tilbyr eller håndterer elektronisk kommunikasjon – eller andre former for ekstern databehandling – som faller innenfor amerikanske jurisdiksjon. Det betyr at alle utenlandske selskaper som har kontor eller søsterselskap i USA faller innunder loven. Til og med utenlandske nettsider som leses av brukere i USA.
En annen misforståelse er at amerikanske myndigheter har fri tilgang til data som er lagret hos skyleverandører. Cloud act gir ikke fri tilgang til skydata. Kun ved å imøtekomme strenge krav fra det amerikanske rettsvesenet vil det kunne gis tilgang til data som omhandler spesifikke kriminelle handlinger. Noe som må gjøres gjennom en grundig og forhåndsdefinert juridisk prosess som inkluderer gjennomgang og godkjenning av en uavhengig dommer.
Når AWS mottar en forespørsel som angår data lagret utenfor USA har vi kunnskapen og verktøyene som skal til for å utfordre den – noe vi har gjort utallige ganger. Faktisk begynner vi før saken i det hele tatt når rettsvesenet. Egne jurister gjennomgår alle henvendelser og sjekker at de ikke går mot amerikanske lover – eller lovene i det landet dataene er lagret. Poenget er at vi bruker alle juridiske virkemidler for å begrense og stoppe slike henvendelser – uansett hvilket land det måtte komme fra. Noe som ofte gjør at henvendelsen blir trukket tilbake.
Amazon har en lang historie med å utfordre myndigheters forespørsler om å gi ut kundeinformasjon som vi mener er tatt for langt, eller på andre måter er upassende. Vi kommer til å fortsette å motarbeide forespørsler vi mener ikke er i tråd med for eksempel GDPR i Europa. I tillegg varsles alltid kundene før data frigis – og vi leverer en rekke avanserte krypteringsmetoder og «key management services» som kan benyttes for å beskytte informasjon. Kryptert innhold er som kjent ubrukelig uten den rette dekrypteringsnøkkelen.
Cloud act fungerer som et ekstra sikkerhetstiltak for data lagret i skyen og anerkjenner leverandørens rett til å etterprøve henvendelser som går mot andre lands lover og interesser. Ettersom utenlandske regjeringer har suveren immunitet i amerikanske domstoler har de under amerikansk lov et effektivt verktøy som hindrer at kommersiell informasjon deles med amerikanske politimyndigheter.
Sannheten er at skybaserte tjenester har en positiv innvirkning på mennesker i hele verden. Vår kunder bruker AWS-teknologi for å skape nye måter å leve og lære på – for eksempel gjennom bildedeling, strømming, lettere tilgang til finans- og e-handelstjenester og utdanning. Vi hjelper bedrifter med å utvikle AI- og ML-tjenster, og våre kunder bruker vår teknologi for å forhindre voldshendelser og trafficking, samt til å forbedre menneskers rettigheter og for å skape medisinske gjennombrudd.
Etter å ha lest gjennom papirene fra DoJ anbefaler jeg å ta en tur innom vår egen side som er dedikert til Cloud act der du finner whitepapers, spørsmål og svar og andre ressurser som våre kunder kan benytte. Her vil du se hvor begrenset denne loven faktisk er og forstå den – og ikke minst se hvordan AWS forholder seg til den.