Offentlig Cloud

Hold nu op med pseudobetragtninger om hvilket land data opbevares i eller hvem som ejer applikationen eller serverne. Argumentet om at Persondataloven nullificeres hvis staten ejer cloud-installationen er jo netop udtryk for en grov mangel på rettidig omhu. Det gør ikke løsningen bedre at staten ejer den - nogen ville sige tværtimod.

Faktum er at cloud-applikationer og databaser aldrig vil kunne sikres, dvs. man er nødt til at isolere transaktioner fra starten ud fra antagelsen at sikkerheden brydes.

Første regel er meget enkel - INGEN persondata i cloud.

Services kan sagtens fungere alligevel, men det kræver at man sikre at cloud-applikationen ikke KAN identificere brugeren, forbrugeren, kunden eller borgeren ud fra hverken data eller interaktioner.

Problemet er at man tænker i den forældede tankegang "databeskyttelse" i stedet for "kontekst isolering" og post-event fallback, dvs. at undgå at data serverside kan henføres til den part som ville blive gjort sårbar fordi det er den eneste måde at sikre at man kan overleve brud uden at skaden eskalerer ud af kontrol.

Anden regel er værre - INTET fortrolig content i cloud

Som du ikke vil se på forsiden af Wikileaks eller i hænderne på dine konkurrenter.
Cloud vil lække content, så den eneste måde at sikre kritisk forretningsviden er at undgå at ligge content i cloud i første omgang.

Problemet med er at nogle applikationer som går ud på at skabe forretningskritisk content, såsom forskning og analyse af store datamængder for at finde stærkt sensitiv viden, netop har stor fordel af styrkerne ved cloud primært i form af fleksibel træk på regnekraft. Dvs. i modsætning til spørgsmålet om persondata (som blot kræver bevidst redesign af applikationerne), så står beslutningstageren her i et reelt tradeoff.