Digitaliser.dk

Oplægget er farligt fordi det stiller spørgsmålet op som (regnskabs)økonomi versus sikkerhed, hvilket er den typiske måde det går galt i Digital Forvaltning.

Ingen tvivl om at der er fordele ved at kunne dele ressourcer for en lang række områder, men samtidig er der med cloud tale om en så voldsomt eskalering af en række problemer at det fuldstændigt ændrer spørgsmålet og tvinger til nytænkning.

Den "regnskabsberegning" som anføres glemmer givetvis de mange negative eksternaliteter og de helt basale samfundsinteresser.

Eksempelvis er det åbenlyst at Google søgemaskinen er til gavn for samfundet, men samtidig at de negative eksternaliteter til endnu større skade.

De værdier som Google "skaber" tages fra brugerne som kunstigt skabte monopolværdier og i forbifarten destrueres yderligere værdi i form af systematisk svækkelse af den efterspørgselsdrevne innnovation og akkumulerende risici.

Pengene fosser ud af landet og går op i røg, når man f.eks. forærer en kommerciel profileringsmaskine detaildata om borgere som danske virksomheder derefter skal betale for at købe sig adgang til. En problemstilling som vokser eksponentielt når man tillægger bredden af nye områder som indgår i profileringen og det gradvist skift til profilering af virksomheder, institutioner o.a.

Tilsvarende skal man ikke glemme at f.eks. GMAIL jo ikke kun rammer den som bruger servicen men også alle modparter som helt uvidende udsættes for angreb - kommercielle, kriminelle eller andre.

Selvfølgelig vil udbydere af Cloud gerne nedtone risikoen og gøre det så simpelt som muligt men det er lang fra simpelt når samtlige transaktioner reelt kan køres sammen og vi dermed ikke længere kan tale om "kritiske" data - alle bidrag til profilering af samfundsaktiver er skadelige.

I forbindelse med EU IST IP projektet HYDRA var vi inde og se på hvordan man sikrer Cloud, så man kan opnår fordelene uden risici. Essensen er netop som oplægget taler om - kontrol fremfor de forældede overvejelser om "samtykke" og "proportionalitet" som ikke kan følge med.

Konklusionen var ret entydig - man er nødt til at virtualisere alle fysiske og sociale elementer så man helt undgår henbørharheden til sårbare aktiver.

Projektet drejer sig om ambient devices og vi taler altså virtualisering på device/transaktionsniveau for at sikre devices - IPv6 er allerede forældet fordi det antager persistent deviceid. Det betyder at alle devices bliver til sårbare mål for stadigt stærkere angriber - batteridevices kan nemt drænes, "pacemakere" vendes til mordvåben og alle devices bliver til datakilder som lækker og skaber sårbarheder for omgivelserne.

Taler man personer, virksomheder og institutioner er det langt mere kritisk fordi vi her taler selve grundstrukturen i samfundet. F.eks. vil mindre og selv større virksomheder voldsomt miste konkurrencekraft hvis al viden om den kontakt med omgivelserne kan sammenkøres og misbruges. Vi har allerede set foreløberen hertil i SWIFT-betalingssystemet som et miniproblem.

Mit input vil være.

a) Oplægget er godt og nødvendigt. Der er stærke lobbykræfter som truer med at tilrane sig meget alvorlige magtpositioner i samfundet med mindre samfundet reagerer ansvarligt.

b) Oplægget undervurderer både omkostningerne og truslerne, herunder f.eks. embedsmandssystemets interesser i at udnytte de kommercielle interesse til at opbygge centrale magt- og kontrolpositioner som reelt virker planøkonomisk samfundsundergravende.

c) Det er konstruktivt at se et oplæg i retning af brugerkontrol, men man skal endnu videre og sikre borgerkontrol, dvs. end-user og organsation som den sårbare entitet fremfor kun bruger perspektivt som midlertidig instans. Oplægget gør ikke nok for at se i konstruktive retninger hvilket typisk i offentlig sammenhæng fører til at regnskabsfolkene blot ignorer truslerne og hensynet til samfundsøkonomien.

d) Måden man sikrer Cloud er først og fremmest ved at undgå henførbarhed af data til sårbare samfundsaktiver - herunder personer, organisationer og fysiske entiteter såsom devices. Dvs. man VIRTUALISERER ved kilden INDEN transaktionen overhovedet kommer i nærheden af CLOUD hvormed multiple transkationer med den samme samfundsentitet IKKE KAN sammenkøres i Cloud og vendes til direkte eller indirekte angreb.

e) Selv ikke-entitetshenførbare data kan være sårbare - strategier, opskrifter, policies, digitaler værker etc. - her kan man kun i  begrænset omfang stole på kryptering fordi angribernes evner og ressourcer vokser eksponentielt mens forsvaret konstant svækkes. F.eks. er systematisk industrispionage en realitet og allerede et voldsomt problem - med Cloud vokser sårbarhederne ud af kontrol.

f) Der er en direkte kobling til IPv6 som voldsomt svækker sikkerheden ved at blokere for virtualisering i netværkslaget og dermed udleverer enhver samfundsentitet ved kilden uden en holdbar sikkerhedsforståelse.

g) Enhver tanke om "overvågning" som løsning overser at overvågningen er en del af problemet, ikke løsningen. Der kan etableres ansvarlighed i forhold til den specifikke transkation, men online identifikatoin af personer, organisationer og devices er generelt kilden til problemer.

Ovenstående lyder kompliceret og det er det - vi taler om en voldsom samfundsomlægning og eskalering i negativ retning på et tidspunkt hvor de nuværende modeller allerede stort set er brudt sammen.

Men i princippet er det ikke anderlees end de fejl vi ser overalt i de nuværende offentlige digitaliseringstiltag hvor der sker en systematisk svækkelse af de basale samfundsstrukturer i rent af ekstrem centralisering og blotlæggelse af alle aktiver for særinteresser og dem som med magt misbruger de selvskabte sårbarheder. Om det er PBS, Google, MS, IBM eller Crackers Intl. er reelt af mindre betydning - skaden er den samme.

Problemet går så helt amok når man blander statslig tvang ind i billedet, dvs. at processen bliver planøkonomisk underminerede som vi f.eks. ser med Økonomistyrelsens centraliseringstiltag hvor man kun tager æren for fordelene men ignorerer de akkumulerende omkostninger ved teknisk legacy, magtkoncentration og sårbarheder som klart overstiger fordelene med en faktor mange.

Hovedproblemer er således hverken teknologi, jura eller sikkerhed - men at man uforvarende underminerer samfundsøkonomien i troen på kortsigtede fordele.

Dorte Toft har skrevet et blog-indlæg der også debatterer statens cloud computing initiativer:

http://bizzen.blogs.business.dk/2009/07/19/r%C3%B8de-%C3%B8ren-i-dk-regering-hvis-man-gjorde-som-obama/