IT

Dette risikerer du ved å lagre filer i nettskyen

Datatilsynet og ekspert på personvernrett advarer mot mulig misbruk.

Det er flere ting du bør ta hensyn til før du laster opp dine private filer i nettbaserte lagringstjenester.
Det er flere ting du bør ta hensyn til før du laster opp dine private filer i nettbaserte lagringstjenester. Bilde: Colourbox
18. nov. 2012 - 10:59
Vis mer

I slutten av september bestemte Datatilsynet at Narvik kommune får lov til å bruke Googles skytjenester som epost- og samhandlingsplattform for alle deres offentlig ansatte.

Avgjørelsen kan tolkes som en tillitserklæring til mylderet av skytjenester. Likevel er det en del man bør tenke over før man som privatperson benytter seg av slike løsninger.

Ove Skåra, informasjonsdirektør i Datatilsynet, peker på tre mulige usikkerhetsmomenter ved skylagring.

– Både hackere, selskapet selv og myndighetene kan misbruke skydataene dine, sier han til Teknisk Ukeblad.

Les også: Slik tar superhackeren kontroll over telefonen din

Les vilkårene

Når bedrifter benytter skytjenester for å håndtere eller lagre personopplysninger, vil bedriften være hovedansvarlig for å følge personopplysningslovens regler.

Et av vilkårene for å benytte skytjenester er at bedriften inngår en databehandleravtale med leverandøren, hvor blant annet en eventuell overføring av personopplysninger til land utenfor EØS-området skal spesifiseres. Det er databehandleravtalen som i slike tilfeller gir skytjenesteleverandøren rett til å behandle personopplysningene.

For skytjenester rettet direkte mot sluttbrukerne vil den den enkelte bruker kunne gi tjenesten samtykke til å lagre personopplysninger, og der er her du som privatperson kommer inn.

– Ved å godta brukervilkårene, har du i utgangspunktet også godtatt hvordan skytjenesteleverandøren behandler opplysningene dine. Vilkårene er ofte standardiserte, og normalt umulig for den enkelte forbruker å få endret på, sier Thomas Olsen, advokatfullmektig i Simonsen Advokatfirma.

Olsen har tatt doktorgrad i personvernrett. Han peker på at at brukervilkårene ofte ikke nevner hvilket land dataene dine blir lagret i.

– Det er et av de forholdene som gjør det vanskelig for folk å ta stilling til risikoen ved å ha ting lagret i skyen. Derfor må du spørre deg selv om du synes vilkårene er akseptable. Hvis du mener at de ikke er det, bør du ikke bruke tjenesten, sier Olsen.

Les også: Vet du hva du risikerer ved å dele filer?

Frasier seg ansvaret, og bruker filene dine

De aller fleste tjenestene uttrykker et ønske om å beskytte informasjonen din. Likevel påtar verken Apple, Dropbox eller Amazon seg ansvaret for filene dine. De forbeholder seg også retten til å slette innholdet ditt uten forvarsel.

Tidligere i år samlet Google alle sine tjenesters brukervilkår i ett dokument. Her står det blant annet at du, ved å bruke Googles tjenester, gir selskapet en "verdensomspennende lisens til å bruke, være vert for, lagre, reprodusere, endre, lage avledede verker av (...), kommunisere, publisere, offentlig fremføre, offentlig vise og distribuere innholdet" du laster opp.

Google sier de kun skal bruke innholdet ditt til å "drifte, promotere og forbedre tjenestene, og utvikle nye." 

I forrige måned ga EU uttrykk for sin bekymring for Googles håndtering av brukernes personopplysninger. EU ber Google forandre brukervilkårene, og liker ikke at selskapet kombinerer personlig data i så mange tjenester. 

Les også: Venter femtidobling av lagrede data

Filer i Norge kan bli utlevert til USA

Personopplysningsloven i Norge bygger på EUs personverndirektiv, som oppstiller et forbud mot å overføre personopplysninger til land utenfor EU/EØS. USA har ikke samme strenge personvernlovgivning, og derfor er det i utgangspunktet forbudt å overføre personopplysninger til USA.

Dette er bakgrunnen for at EU og USA utarbeidet Safe Harbor-avtalen, som skal beskytte ditt personvern også når personopplysninger blir overført til USA.

Amerikanske selskaper som oppfyller kravene i avtalen, kan sertifisere seg i henhold til disse kravene, og dermed bli godkjent for å behandle personopplysninger fra Norge og EU-landene.

Nettstedet ZDNet har i en større artikkelserie konkludert med at alle selskap med amerikansk eierskap må gi filene dine til amerikanske myndigheter hvis forespørselen kommer med grunnlag i The Patriot Act. Dette kan skje helt uten at eieren av filene blir varslet på forhånd, og selv om dataene ligger på servere innenfor EU.

USA-baserte Microsoft, Google og Amazon er blant dem som har bekreftet at de må føye seg etter en slikt pålegg. The Patriot Act er en lov USA vedtok i oktober 2001 som følge av terrorangrepet samme år.

USA vil ha mest brukerinformasjon

Google kom tirsdag med sin oppdaterte statistikk over mottatte begjæringer om å utlevere brukerdata. Selskapet oppgir ikke på hvilket grunnlag eller hva slags data som begjæres. De oppgir derimot at statistikken ikke inkluderer alle begjæringene de mottar.

Totalt rapporterer de å ha mottatt nesten 21.000 begjæringer fra januar til juni i år. Flesteparten sto USA for, med nesten 8.000 forespørsler. 90 prosent av begjæringene ble godkjent av Google, det høyeste prosenttallet i statistikken.

Ove Skåra mener man bør være kritisk til hvilket land tjenesten har base i.

– Finn ut hvilket regime firmaet som driver tjenesten forholder seg til, råder han.

Les også: To av tre selskaper utsatt for flere dataangrep

Vurder firmaet

I januar i år stengte FBI skytjenesten Megaupload. Ifølge tiltalen, var dette den 13. mest besøkte siden på internett, med over 50 millioner sidevisninger hver dag.

FBI stengte siden fordi de mente den delte store mengder opphavsrettbeskyttet materiale. I dag er alle tjenestens servere beslaglagt, og heller ikke brukerne som delte informasjon lovlig har fått tilbake filene sine.

Peggy Heie, seniorrådgiver i Norsk senter for informasjonssikring (NorSIS), sier at brukeren må vurdere verdien av informasjonen som skal legges ut, samt seriøsiteten til firmaet som står bak lagringstjenesten.

– Spør deg selv hvor stor sjansen er for at selskapet for eksempel går konkurs, og hva selskapet lover deg i tilfelle det ikke klarer å videreføre tjenesten, sier hun. 

Ove Skåra advarer mot lagringstjenester som virker for gode til å være sanne. 

– Hvis tjenesten er helt gratis, må du spørre deg selv hvorfor den er det, sier han.

Skåra mener det er liten sjanse for at store selskaper som Google og Microsoft vil misbruke informasjonen din, ettersom de har så mye å tape på å gjøre det.

Hele setninger som passord

Peggy Heie minner om viktigheten av å lage gode passord på tjenestene.

– Vi anbefaler å bruke hele setninger, regler eller dikt som passord. Passordene bør også være forskjellige på de ulike tjenestene, sier hun.

Samtidig anbefaler seniorrådgiveren å alltid ha en ekstra kopi av filene du lagrer på nettet.

– De filene du absolutt ikke vil at skal andre skal få tak i, bør ikke lagres i skyen, sier hun.

Noen av tjenestene lar deg logge inn med din epost-adresse som brukernavn. Det betyr at uvedkommende eventuelt kun trenger å gjette passordet ditt for å få tilgang til filene dine.

Les også: Slik ble it-administratoren lurt for 500 millioner kroner

– Trygt å bruke hvis man bruker det riktig

Da Dropbox i juni i fjor oppdaterte tjenesten sin, førte en bug til at man kun trengte brukernavn for å få tilgang til kontoene.

Knappe fire timer tok det før passord igjen var en nødvendighet. Ettersom brukernavnet på Dropbox også er brukerens epost-adresse, var det rimelig lett for enhver å ta seg til rette.

Datatilsynets Ove Skåra mener at vi i dag ikke står foran noen større sikkerhetsmessige utfordringer enn vi gjorde da internettet kom, og sier at skytjenester både kan være gode og sikre.

– Filene dine kan være mye sikrere i en skytjeneste enn på en ukryptert, bærbar harddisk. Men tjenestene må brukes riktig. Det er som i livet ellers, man bør være kritisk til hvem man sover på rom med, sier Skåra.

Les også:

Her finner du de beste TV-seriene

16 spektakulære cyberangrep

Se Googles hemmelige datasentre  

Dette blir elektronikktrendene i 2013  

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.