Säkerhetspodcasten
Pods Lyssna! Kontakt Panelen Supporters
Säkerhetspodcasten

Contents

Säkerhetspodcasten #178 - CLOUD Act

   10247 words   49 minutes 

Lyssna

mp3

Innehåll

I dagens avsnitt diskuterar panelen problematiken med USAs kontra EUs lagstiftning för datalagring och övervakning.

Inspelat: 2020-03-11. Längd: 00:36:58.

AI transkribering

AI försöker förstå oss… Ha överseende med galna feltranskriberingar.

1 00:00:00,320 --> 00:00:06,860 Hej och välkommen till Säkerhetspodcasten. Jag som pratar heter Johan Rudberg Möller och med mig idag har jag Jesper Larsson.

2 00:00:06,960 --> 00:00:07,800 Yes sir!

3 00:00:08,000 --> 00:00:09,300 Rickard Bodfors.

4 00:00:09,480 --> 00:00:10,460 Och ett litet moln.

5 00:00:10,560 --> 00:00:12,180 Och Peter Magnusson.

6 00:00:12,360 --> 00:00:13,060 Peter är jag!

7 00:00:14,020 --> 00:00:17,540 Det är den 11 mars idag när vi spelar in.

8 00:00:18,200 --> 00:00:21,860 Och vi är som vanligt sponsrade av Ashore som ni kan läsa mer om på ashore.se.

9 00:00:22,200 --> 00:00:25,460 Dessutom av Bodfors Consulting som ni hittar på bodfors.se.

10 00:00:25,980 --> 00:00:29,780 Och av 0x4A som ni hittar på 0x4A.se.

11 00:00:30,000 --> 00:00:31,300 Yes, vi har numera en hemsida.

12 00:00:31,640 --> 00:00:33,520 Yes, så är det.

13 00:00:33,740 --> 00:00:37,880 Och det här med plugs är lite svårt i de här tiderna.

14 00:00:37,980 --> 00:00:38,240 Precis.

15 00:00:39,380 --> 00:00:40,420 Vi vet ju inte om vi lever.

16 00:00:40,660 --> 00:00:43,940 Om fyra veckor så hade det här avsnittet förmodligen kommit att släppas.

17 00:00:44,020 --> 00:00:44,540 Ja, precis.

18 00:00:45,020 --> 00:00:46,500 Om corona har tagit över världen.

19 00:00:46,980 --> 00:00:51,440 Någon börjar spela Plague Incorporated och glömdes eller har switchen.

20 00:00:51,740 --> 00:00:53,160 De hade godmode på.

21 00:00:54,160 --> 00:00:56,260 Det är en otrolig slamspridning.

22 00:00:56,780 --> 00:00:59,820 Vi får se om vi ser tillbaka på det här avsnittet och tycker att vi är naiva.

23 00:01:00,000 --> 00:01:03,960 Eller om vi var rätt betat oroade.

24 00:01:04,140 --> 00:01:07,080 Sitter och bitchar över inställda flygresor och semester här.

25 00:01:08,420 --> 00:01:10,720 Det senaste vi har hört så lever ju Mattias.

26 00:01:11,280 --> 00:01:14,140 Han lever när vi spelar in det här avsnittet.

27 00:01:14,220 --> 00:01:15,580 Han har ju åkt långt bort.

28 00:01:16,320 --> 00:01:18,520 Låter ju ryktet göra gällande hela vägen till Norge.

29 00:01:18,800 --> 00:01:20,000 Så det känns ju som att…

30 00:01:20,000 --> 00:01:20,380 Oj, oj, oj.

31 00:01:20,520 --> 00:01:25,160 Han kommer förmodligen inte kunna passera in huvudgränsen när norrmännen sätter ut sina beväpnade trupper.

32 00:01:25,160 --> 00:01:28,360 Det står sådana här beväpnade vakter i all hazard suits.

33 00:01:28,820 --> 00:01:28,840 Ja.

34 00:01:28,840 --> 00:01:30,620 Det är svinens hundspråk.

35 00:01:30,640 --> 00:01:31,060 Contagion.

36 00:01:31,400 --> 00:01:32,820 Nej, så det blir inga plugs helt enkelt.

37 00:01:32,980 --> 00:01:35,680 Utan vi tänkte att vi skulle hoppa in i ett strukturerat avsnitt.

38 00:01:35,820 --> 00:01:36,220 Jajamän.

39 00:01:36,360 --> 00:01:38,080 Och vad ska vi prata om idag, Rickard?

40 00:01:38,680 --> 00:01:51,900 Jag tänkte att vi skulle prata om de implikationer som Cloud Act kan få på våra möjligheter att använda moln och molntjänster.

41 00:01:53,260 --> 00:01:57,900 Och alldeles innan vi drog igång här så kom vi fram till att…

42 00:01:57,900 --> 00:02:00,300 Det är ju inte bara Cloud Act man behöver fundera på.

43 00:02:00,400 --> 00:02:02,620 Cloud Act är ju egentligen bara ett förtydligande.

44 00:02:03,200 --> 00:02:03,560 Mm, just det.

45 00:02:04,260 --> 00:02:07,560 Cloud, alltså det är med stora bokstäver.

46 00:02:07,560 --> 00:02:09,560 Så Cloud står ju då för Clarifying…

47 00:02:10,500 --> 00:02:13,780 Vad är det? Lawful Intercept någonting?

48 00:02:14,940 --> 00:02:15,460 Overseas.

49 00:02:16,520 --> 00:02:18,320 We will take all of your data.

50 00:02:18,500 --> 00:02:22,680 Och det är ju som du säger en förlängning egentligen av den här grund…

51 00:02:22,680 --> 00:02:22,960 Precis.

52 00:02:23,600 --> 00:02:27,460 Clarifying Lawful Overseas Use of Data Act.

53 00:02:27,600 --> 00:02:27,800 Ja.

54 00:02:27,900 --> 00:02:54,160 Jag har ju sett allt ifrån såhär, om man slår in det här typ i Youtube så hittar du ju dels de extrema konspirationsteoretikerna som säger att det här var bakdörren för att börja spionera på amerikanerna till, som jag har sett, en betydligt mer balanserad presentation från Amazon där de väsentligen säger att det här inte är en så stor grej som många tror.

55 00:02:54,380 --> 00:02:54,780 Nej.

56 00:02:54,780 --> 00:02:57,780 Men i och med att det här är ju en påbyggnad…

57 00:02:57,900 --> 00:03:01,340 Men i och med att det här är en påbyggnad mot den föregående, Kalea.

58 00:03:01,600 --> 00:03:01,880 Nej.

59 00:03:02,500 --> 00:03:03,360 Är det inte så? Är det tvärtom?

60 00:03:03,360 --> 00:03:05,580 Det är väl en…

61 00:03:05,580 --> 00:03:08,500 Stored Information Act är det väl en sån som…

62 00:03:08,500 --> 00:03:12,200 Eller Stored Communications Act som den här ska förtydliga då som den är.

63 00:03:12,540 --> 00:03:14,720 Men Kalea har ju också sådana…

64 00:03:14,720 --> 00:03:18,520 Men det vill man ju bara tycka på att det handlar ju om amerikanska bolag.

65 00:03:19,380 --> 00:03:19,900 Bara.

66 00:03:20,820 --> 00:03:22,560 Så det är Overseas som är det viktiga.

67 00:03:22,560 --> 00:03:23,880 Precis som är tillägget här.

68 00:03:24,240 --> 00:03:26,840 Men låt oss prata om det här.

69 00:03:26,880 --> 00:03:27,100 Precis.

70 00:03:27,100 --> 00:03:27,780 Ska vi inte börja med…

71 00:03:27,780 --> 00:03:29,660 Ska vi inte börja med vad är Cloud Act?

72 00:03:29,840 --> 00:03:30,060 Precis.

73 00:03:30,320 --> 00:03:34,580 Och om vi då börjar bena i vad handlar det här om från början.

74 00:03:35,320 --> 00:03:48,500 Om jag får drista mig till att sticka ut hakan så skulle jag väl vilja påstå att det här är en reaktion på europeisk dataskyddslagstiftning

75 00:03:48,500 --> 00:03:54,640 som gör att amerikanska företag kläms åt av europeiska lagstiftare.

76 00:03:54,640 --> 00:03:56,640 Och då vill man…

77 00:03:56,640 --> 00:03:57,640 Skruva…

78 00:03:57,780 --> 00:04:06,560 Gå åt tumskruvarna på liksom amerikanska möjligheter att komma åt data oavsett om de lagras inom europeisk juridikation.

79 00:04:06,920 --> 00:04:13,000 Så det här är lite av en pissing-contest mellan amerikanska lagstiftare och europeiska lagstiftare.

80 00:04:13,280 --> 00:04:15,540 Jaha, så Cloud Act är ingen amerikansk påfund?

81 00:04:16,020 --> 00:04:17,720 Ja, Cloud Act är ett amerikanskt påfund.

82 00:04:18,180 --> 00:04:18,380 Ja?

83 00:04:18,660 --> 00:04:18,800 Mm.

84 00:04:19,440 --> 00:04:22,440 Men hur är det ett motmedel? Eller jag förstår inte.

85 00:04:22,440 --> 00:04:26,440 Nej, grejen är att sedan GDPR bland annat så har ju…

86 00:04:26,440 --> 00:04:34,440 Har ju då amerikanska företag fått restriktioner i hur de måste liksom, ja…

87 00:04:34,440 --> 00:04:40,120 I vilken utsträckning de kan hantera personlig data för EU-medborgare och så vidare.

88 00:04:41,700 --> 00:04:42,300 Och…

89 00:04:42,300 --> 00:04:43,140 Då hämnas man lite.

90 00:04:43,140 --> 00:04:44,820 Då hämnas man lite från amerikanskt håll.

91 00:04:45,120 --> 00:04:49,160 Det är ju alltså min högst amatörmässig analys av detta då.

92 00:04:49,300 --> 00:04:51,840 Kommer inte Cloud Act innan GDPR?

93 00:04:52,200 --> 00:04:52,400 Nej.

94 00:04:53,120 --> 00:04:53,440 Är det så?

95 00:04:53,440 --> 00:04:53,500 Ja.

96 00:04:53,900 --> 00:04:54,880 Cloud Act…

97 00:04:54,880 --> 00:04:55,440 GDPR…

98 00:04:55,440 --> 00:04:56,420 23 mars.

99 00:04:56,440 --> 00:04:57,260 2018.

100 00:04:57,900 --> 00:05:00,060 Och GDPR blev väl lagstadgat?

101 00:05:00,480 --> 00:05:02,520 Ja, den trädde i kraft den 25…

102 00:05:02,520 --> 00:05:02,940 Eller för oss kan man säga.

103 00:05:03,100 --> 00:05:05,000 Ja, precis. 25 maj då.

104 00:05:05,760 --> 00:05:06,280 2018.

105 00:05:07,360 --> 00:05:07,760 Okej.

106 00:05:07,900 --> 00:05:08,500 Mm, okej.

107 00:05:09,020 --> 00:05:09,900 Ja, nej, för det…

108 00:05:09,900 --> 00:05:14,060 Jag tycker det är ganska bra med privacy ändå.

109 00:05:14,300 --> 00:05:14,960 Det tycker jag är…

110 00:05:14,960 --> 00:05:17,320 Internet privacy är någonting jag verkligen brinner för.

111 00:05:17,460 --> 00:05:17,660 Men…

112 00:05:17,660 --> 00:05:21,260 Vi borde gå in på vad möjliggör då Cloud Act för amerikanska myndigheter?

113 00:05:21,440 --> 00:05:21,460 Ja, vi…

114 00:05:21,460 --> 00:05:26,420 Om man då ska göra Amazons tolkning på detta…

115 00:05:26,440 --> 00:05:33,360 Så handlar det här ju bara om att bistå rättsvårdande myndigheter

116 00:05:33,360 --> 00:05:41,180 med att plocka ut data för att kunna bekämpa svårt kriminell brottslighet

117 00:05:41,180 --> 00:05:43,340 och terrorism och så vidare.

118 00:05:44,460 --> 00:05:44,880 Ledged.

119 00:05:45,320 --> 00:05:45,460 Ja.

120 00:05:46,060 --> 00:05:51,440 Sen så är det ju så här att vissa formuleringar i kriterierna

121 00:05:51,440 --> 00:05:55,440 gör att detta eventuellt av en domstol kan tolkas på…

122 00:05:55,440 --> 00:05:59,640 På så sätt att det här även skulle kunna röra civilmål.

123 00:05:59,820 --> 00:06:02,020 Vilket öppnar hela Pandoras ask.

124 00:06:02,380 --> 00:06:03,640 Ja, det är ju sant.

125 00:06:03,820 --> 00:06:05,560 Men samtidigt så vet vi ju då att

126 00:06:05,560 --> 00:06:09,260 de här terroristdomstolarna som har upprättats efter

127 00:06:09,260 --> 00:06:11,560 både det ena och det tredje, men framförallt

128 00:06:11,560 --> 00:06:14,020 blev väldigt publika när Snowden hoppade av.

129 00:06:14,480 --> 00:06:17,440 Det vill säga att det var ju mer än papperstiger som fick den här

130 00:06:17,440 --> 00:06:19,760 kortorden för att kunna göra

131 00:06:19,760 --> 00:06:23,480 ganska stora övertramp i…

132 00:06:23,480 --> 00:06:25,000 Hos mänskliga rättigheter.

133 00:06:25,440 --> 00:06:29,200 Och den kommer ju då egentligen bara bli ännu sämre nu då.

134 00:06:29,440 --> 00:06:29,680 Ja.

135 00:06:29,780 --> 00:06:30,440 Skulle man kunna hävda?

136 00:06:30,960 --> 00:06:31,920 Eller lättare?

137 00:06:32,540 --> 00:06:37,220 De ska göra det lättare, men i princip så handlar det om att

138 00:06:37,220 --> 00:06:39,760 amerikanska myndigheter vill kunna komma åt data

139 00:06:39,760 --> 00:06:45,400 som företag som har verksamhet i USA har tillgång till

140 00:06:45,400 --> 00:06:47,220 oavsett var de är lagrade.

141 00:06:47,360 --> 00:06:49,180 Och det är väldigt viktigt här också för att

142 00:06:49,180 --> 00:06:52,300 det handlar alltså om antingen amerikanska företag

143 00:06:52,300 --> 00:06:54,540 eller företag med business i USA.

144 00:06:54,640 --> 00:06:54,920 Exakt.

145 00:06:55,440 --> 00:06:57,860 De som potentiellt kan bli drabbade.

146 00:06:58,040 --> 00:06:59,440 Eller ja, det är därifrån man kan få ut data.

147 00:06:59,600 --> 00:07:02,600 Det är inte som andra ord så att en amerikansk lag

148 00:07:02,600 --> 00:07:04,720 har juridikation över europeiska företag.

149 00:07:04,900 --> 00:07:05,080 Nej.

150 00:07:05,480 --> 00:07:08,980 Och det är ju lite här det är en pissing contest

151 00:07:08,980 --> 00:07:12,860 mellan europeiska lagstiftare och amerikanska lagstiftare.

152 00:07:13,000 --> 00:07:15,680 För att där bland annat

153 00:07:15,680 --> 00:07:18,000 vad heter de?

154 00:07:18,560 --> 00:07:21,540 European Data Protection Authority

155 00:07:21,540 --> 00:07:24,640 har ju satt sina jurister på att analysera

156 00:07:24,640 --> 00:07:27,620 om det överhuvudtaget är förenligt med GDPR

157 00:07:27,620 --> 00:07:29,640 att använda molntjänster.

158 00:07:30,080 --> 00:07:32,140 De ger inget konkret svar på det.

159 00:07:32,320 --> 00:07:35,840 På grund av att de anser att det inte då

160 00:07:35,840 --> 00:07:37,600 skulle kunna vara förenligt med GDPR

161 00:07:37,600 --> 00:07:42,320 att bifalla en amerikansk domstolsbegäran

162 00:07:42,320 --> 00:07:43,980 att lämna ut information.

163 00:07:44,360 --> 00:07:47,020 Eftersom att det är ingen competent legal authority

164 00:07:47,020 --> 00:07:49,980 in the European jurisdiction.

165 00:07:49,980 --> 00:07:52,480 Det här är ju också ett sådant sjukt

166 00:07:52,480 --> 00:07:53,980 komplextat

167 00:07:54,640 --> 00:07:57,960 för dels har vi ju regulatoriska ramverk

168 00:07:57,960 --> 00:08:00,200 som vuxna människor med slipsar

169 00:08:00,200 --> 00:08:02,140 och långa kjolar ska titta på.

170 00:08:02,800 --> 00:08:04,740 Och sen så är det ju de tekniska implementationerna

171 00:08:04,740 --> 00:08:05,220 med det här också.

172 00:08:05,340 --> 00:08:09,140 Det vill säga kryptering då till exempel

173 00:08:09,140 --> 00:08:12,520 som tillhandahålls av de tre stora molntjänsterna.

174 00:08:12,580 --> 00:08:13,400 Kan vi lita på den?

175 00:08:14,100 --> 00:08:17,500 Om vi nu använder våra egna huvudnycklar

176 00:08:17,500 --> 00:08:19,620 det vill säga att vi supplierar vår egen

177 00:08:19,620 --> 00:08:21,580 root of trust vilket man kan göra på nästan alla.

178 00:08:22,320 --> 00:08:24,320 Hur vet vi att implementationen av den

179 00:08:24,320 --> 00:08:26,080 root of trust protokollet verkligen är?

180 00:08:26,420 --> 00:08:28,000 Alltså man får ju väldigt snabbt

181 00:08:28,000 --> 00:08:29,420 en stor foliehatt på sig.

182 00:08:29,780 --> 00:08:31,120 Alltså om man då tittar på

183 00:08:31,120 --> 00:08:34,680 exempelvis ta customer lockbox

184 00:08:34,680 --> 00:08:37,140 i Microsoft-fallet.

185 00:08:37,240 --> 00:08:38,760 Nu pratar vi saker och ting

186 00:08:38,760 --> 00:08:39,800 väldigt nära här.

187 00:08:40,180 --> 00:08:40,740 Där vi sitter.

188 00:08:41,720 --> 00:08:43,300 I alla fall, customer lockbox

189 00:08:43,300 --> 00:08:47,020 ska ju ge kunden möjlighet

190 00:08:47,020 --> 00:08:48,660 att liksom kontrollera när då

191 00:08:48,660 --> 00:08:50,680 Microsofts personal får tillgång till

192 00:08:50,680 --> 00:08:52,980 data i ens egen tenant.

193 00:08:53,480 --> 00:08:53,520 Ja.

194 00:08:54,320 --> 00:08:56,520 Men de skriver uttryckligen att

195 00:08:56,520 --> 00:08:58,200 det här gäller ju inte

196 00:08:58,200 --> 00:09:00,400 om det är en lovfull

197 00:09:00,400 --> 00:09:01,600 request.

198 00:09:02,340 --> 00:09:03,740 Så då frågar man så här

199 00:09:03,740 --> 00:09:05,480 ni får inte men ni kan.

200 00:09:05,480 --> 00:09:07,640 Vad finns huvudnycklarna då

201 00:09:07,640 --> 00:09:09,340 om inte de är i min lockbox?

202 00:09:10,380 --> 00:09:11,500 Men det vet vi ju

203 00:09:11,500 --> 00:09:13,560 redan nu

204 00:09:13,560 --> 00:09:15,640 att telemetridata från Microsoft

205 00:09:15,640 --> 00:09:17,640 det är ju ganska mycket

206 00:09:17,640 --> 00:09:19,200 som synkas.

207 00:09:19,660 --> 00:09:20,760 Så det är ju det här

208 00:09:20,760 --> 00:09:23,720 det är ganska lätt att man blandar ihop

209 00:09:23,720 --> 00:09:24,480 vad det här är.

210 00:09:24,660 --> 00:09:26,240 För jag menar du har ju gett konsent

211 00:09:26,240 --> 00:09:28,700 till telemetri-delen när du installerade Windows.

212 00:09:29,860 --> 00:09:31,920 Men telemetri säger man så?

213 00:09:32,460 --> 00:09:32,860 Telemetri.

214 00:09:33,140 --> 00:09:33,780 Telemetri säger man.

215 00:09:33,820 --> 00:09:34,720 Jag kan inte prata svenska längre.

216 00:09:34,800 --> 00:09:35,180 Det är ju kört.

217 00:09:36,180 --> 00:09:40,080 Men det blir lite med en annan fråga då

218 00:09:40,080 --> 00:09:41,180 för vad är det man har köpt egentligen?

219 00:09:41,320 --> 00:09:43,700 Men på det regulatoriska sättet

220 00:09:43,700 --> 00:09:44,600 det vi pratar om nu då

221 00:09:44,600 --> 00:09:45,140 det vill säga så här

222 00:09:45,140 --> 00:09:47,320 vad ska man få göra och inte göra?

223 00:09:47,720 --> 00:09:49,320 Så blir det också ganska luddigt.

224 00:09:49,660 --> 00:09:50,400 För då är det så här

225 00:09:50,400 --> 00:09:53,700 jo, den här skimären gäller.

226 00:09:53,720 --> 00:09:55,640 Men om man

227 00:09:55,640 --> 00:09:57,820 kvalar in lite högre upp i hierarkin

228 00:09:57,820 --> 00:09:59,880 så behöver man inte bry sig om den överhuvudtaget.

229 00:10:00,020 --> 00:10:01,720 För då kommer kallekula med huvudnyckeln

230 00:10:02,240 --> 00:10:03,820 och göra det här utan att det blir

231 00:10:03,820 --> 00:10:05,420 en enda liten

232 00:10:05,420 --> 00:10:06,580 gnutta spårbarhet.

233 00:10:08,860 --> 00:10:09,920 Jag såg

234 00:10:09,920 --> 00:10:11,160 en presentation med

235 00:10:11,160 --> 00:10:13,700 två stycken olika

236 00:10:13,700 --> 00:10:15,720 dels en jurist

237 00:10:15,720 --> 00:10:17,420 från Amazon och dels någon sorts

238 00:10:17,420 --> 00:10:19,980 risk slash säkerhetsprofil

239 00:10:19,980 --> 00:10:21,620 från Amazon som

240 00:10:21,620 --> 00:10:23,340 pratade om Cloud Act.

241 00:10:23,720 --> 00:10:25,160 Och vad de

242 00:10:25,160 --> 00:10:27,640 vad juristen tog upp var ju att

243 00:10:27,640 --> 00:10:30,120 de tycker att

244 00:10:30,120 --> 00:10:31,800 Cloud Act är

245 00:10:31,800 --> 00:10:34,340 bättre än exempelvis

246 00:10:34,340 --> 00:10:35,960 reglerna

247 00:10:35,960 --> 00:10:38,060 som i praktiken gäller i

248 00:10:38,060 --> 00:10:40,040 Frankrike, Italien

249 00:10:40,040 --> 00:10:41,740 Sverige tror jag de listade som

250 00:10:41,740 --> 00:10:44,020 länder där de verkligen inte gillade

251 00:10:44,020 --> 00:10:45,740 hur det funkade. För

252 00:10:45,740 --> 00:10:47,800 en av grejerna som skiljer Cloud Act

253 00:10:47,800 --> 00:10:49,700 från hur det är i många

254 00:10:49,700 --> 00:10:51,020 europeiska länder är att

255 00:10:51,020 --> 00:10:53,580 det finns ett krav att man ska uppfylla

256 00:10:53,720 --> 00:10:55,840 motsvarande en warrant-nivå

257 00:10:55,840 --> 00:10:57,740 alltså garanto.

258 00:10:58,200 --> 00:10:59,160 En i husransaken.

259 00:10:59,300 --> 00:11:02,340 Ja, typ en i husransakens

260 00:11:02,340 --> 00:11:03,020 liknande

261 00:11:03,020 --> 00:11:05,300 grad då liksom.

262 00:11:05,500 --> 00:11:06,340 Så att det är

263 00:11:06,340 --> 00:11:09,840 du måste verkligen ha en specifik

264 00:11:09,840 --> 00:11:11,900 misstanke om ett

265 00:11:11,900 --> 00:11:14,020 brott som är kopplat till specifikt

266 00:11:14,020 --> 00:11:15,160 den här datan man ber om.

267 00:11:16,200 --> 00:11:16,720 Och

268 00:11:16,720 --> 00:11:20,080 det måste godkännas av en

269 00:11:20,080 --> 00:11:21,880 domare liksom.

270 00:11:21,880 --> 00:11:23,680 Vilket inte i alla fall är

271 00:11:23,720 --> 00:11:24,880 att det är ett antal europeiska länder.

272 00:11:25,740 --> 00:11:28,120 Men det är det väl här, den officiella

273 00:11:28,120 --> 00:11:29,980 vägen i vart fall. Jag menar en åklagare

274 00:11:29,980 --> 00:11:32,020 måste ju, brottet som man

275 00:11:32,020 --> 00:11:33,920 ska gå efter

276 00:11:33,920 --> 00:11:35,920 någon måste väl leda

277 00:11:35,920 --> 00:11:37,800 till fängelse eller något sådär. Det finns väl

278 00:11:37,800 --> 00:11:38,640 någon sån här grundgrej.

279 00:11:39,720 --> 00:11:41,780 Jag har inte luslöst, det är en hemlig datavlösning

280 00:11:41,780 --> 00:11:43,920 och allt vad det är. Jo, men det är

281 00:11:43,920 --> 00:11:45,640 ju ett, det är vad man kallar ett

282 00:11:45,640 --> 00:11:46,880 tvångsmedel väl. Ja.

283 00:11:47,540 --> 00:11:49,760 Och det får man ju inte göra hur som helst.

284 00:11:50,040 --> 00:11:52,020 Men nu

285 00:11:52,020 --> 00:11:53,360 är vi inne på de här två grejerna igen.

286 00:11:53,720 --> 00:11:56,280 Det är väl, jag vet inte exakt hur det är

287 00:11:56,280 --> 00:11:58,000 formulerat, men det är väl typ skälig misstanke

288 00:11:58,000 --> 00:12:00,520 och sen så ska du väl ha något straffvärde.

289 00:12:00,820 --> 00:12:02,420 Men å andra sidan, om det är

290 00:12:02,420 --> 00:12:04,120 så att det är ett fängelse i straffskalan

291 00:12:04,120 --> 00:12:05,740 så är det i stort sett alla brott.

292 00:12:05,740 --> 00:12:07,840 Ja. Men Ammasfonds

293 00:12:07,840 --> 00:12:09,840 jurister anser ju i varje fall att den amerikanska

294 00:12:09,840 --> 00:12:11,220 lagstiftningen är

295 00:12:11,220 --> 00:12:13,880 bättre än ett antal europeiska länder.

296 00:12:14,120 --> 00:12:15,580 Det är ju inte en chocker dock att de gör.

297 00:12:15,860 --> 00:12:17,200 Men visst, ja absolut.

298 00:12:17,920 --> 00:12:19,440 Det andra de

299 00:12:19,440 --> 00:12:20,360 tog upp

300 00:12:20,360 --> 00:12:23,600 nu står jag stilla i annan,

301 00:12:23,720 --> 00:12:27,860 det är den de inte

302 00:12:27,860 --> 00:12:28,880 gillade med

303 00:12:28,880 --> 00:12:31,720 överlag hur det funkar

304 00:12:31,720 --> 00:12:33,520 i amerikansk domstol.

305 00:12:33,520 --> 00:12:34,220 Det är att

306 00:12:34,220 --> 00:12:37,660 det ofta

307 00:12:37,660 --> 00:12:39,500 försöks lägga på munkavel

308 00:12:39,500 --> 00:12:39,980 på dem.

309 00:12:41,140 --> 00:12:43,340 Vilken kapabilitet finns det?

310 00:12:43,340 --> 00:12:45,480 Nej men de får inte prata om fallet och de får inte

311 00:12:45,480 --> 00:12:47,100 informera en berörd kund

312 00:12:47,100 --> 00:12:48,640 i vissa fall.

313 00:12:49,500 --> 00:12:50,700 Och att de kan

314 00:12:50,700 --> 00:12:53,520 ofta kommer de bort från de här

315 00:12:53,520 --> 00:12:54,760 kraven när de kämpar för det.

316 00:12:55,000 --> 00:12:57,180 Men det kan ofta vara så här att

317 00:12:57,180 --> 00:12:59,380 myndigheterna vill, typ FBI

318 00:12:59,380 --> 00:13:01,700 vill göra en utredning och så bestämmer de sig för att

319 00:13:01,700 --> 00:13:03,420 ja men vi har skäl att

320 00:13:03,420 --> 00:13:04,960 tro att det här bolaget har

321 00:13:04,960 --> 00:13:07,240 relevant data och så vill de ha det i datat

322 00:13:07,240 --> 00:13:09,360 och de vill att det ska vara hemligt att de läste

323 00:13:09,360 --> 00:13:10,860 datat.

324 00:13:11,440 --> 00:13:12,220 Och vad

325 00:13:12,220 --> 00:13:14,640 Ammasfonds sa det var ju att

326 00:13:14,640 --> 00:13:17,080 de kämpar väldigt hårt för att

327 00:13:17,080 --> 00:13:18,960 inte hamna i oskäliga

328 00:13:18,960 --> 00:13:20,200 tystnadsplikter.

329 00:13:21,260 --> 00:13:23,420 Och försöker juridiskt bestrida

330 00:13:23,420 --> 00:13:24,460 sådana fall.

331 00:13:24,460 --> 00:13:27,420 Det är ju en fin tes att driva som känsleleverantör.

332 00:13:27,500 --> 00:13:29,460 Vi vill inte det men å andra sidan

333 00:13:29,460 --> 00:13:31,280 vem ska kunna liksom

334 00:13:31,280 --> 00:13:33,380 ens ifrågasätta det.

335 00:13:33,380 --> 00:13:35,880 De kan ju hamna i olika lägen då de är

336 00:13:35,880 --> 00:13:37,140 juridiskt

337 00:13:37,140 --> 00:13:37,600 tvingade.

338 00:13:38,380 --> 00:13:41,260 Och framförallt kan ju inte vi få reda på de fallen där de har

339 00:13:41,260 --> 00:13:42,160 blivit juridiskt tvingade.

340 00:13:42,160 --> 00:13:43,240 Det är precis det jag menar.

341 00:13:43,440 --> 00:13:44,880 De kan ju säga vad som helst.

342 00:13:46,120 --> 00:13:48,100 Vi vill inte det men det kommer vara så

343 00:13:48,100 --> 00:13:49,380 och ni kommer inte veta något om det.

344 00:13:50,780 --> 00:13:52,460 Så vi skiter helt enkelt i oss.

345 00:13:52,540 --> 00:13:53,240 Har några.

346 00:13:53,420 --> 00:13:56,100 Det luktar ju så sjukt mycket marknadsföring

347 00:13:56,100 --> 00:13:57,280 bakom ditt argument där.

348 00:13:57,460 --> 00:13:59,660 Det är klart att de säger det.

349 00:13:59,740 --> 00:14:00,540 Vad skulle de annars säga?

350 00:14:00,860 --> 00:14:01,920 Vi vill att ni lämnar en kommentar.

351 00:14:02,340 --> 00:14:03,260 Vi tycker att det här är dåligt.

352 00:14:05,100 --> 00:14:07,760 Saab gav sig faktiskt in i

353 00:14:07,760 --> 00:14:10,320 molntjänstsvängen

354 00:14:10,320 --> 00:14:10,740 nu här.

355 00:14:11,440 --> 00:14:13,920 Och vill erbjuda ett moln där de

356 00:14:13,920 --> 00:14:16,080 garanterar att vi lämnar aldrig ut

357 00:14:16,080 --> 00:14:16,780 någon data.

358 00:14:18,400 --> 00:14:19,280 Bara till

359 00:14:19,280 --> 00:14:21,080 svenska

360 00:14:21,080 --> 00:14:23,400 intresseunderrättelseorganisationer.

361 00:14:23,420 --> 00:14:25,020 Om jag får ta en sista grej som

362 00:14:25,020 --> 00:14:27,040 Amazon körde. Det är ju att

363 00:14:27,040 --> 00:14:29,300 de försöker

364 00:14:29,300 --> 00:14:31,220 att när de kollar på vem en

365 00:14:31,220 --> 00:14:33,480 fråga berör så tittar

366 00:14:33,480 --> 00:14:35,140 de på är det här förnuft förnuft

367 00:14:35,140 --> 00:14:37,180 en enterprise. En enterprise är ju då

368 00:14:37,180 --> 00:14:39,080 ett riktigt storbolag.

369 00:14:40,580 --> 00:14:41,180 Och

370 00:14:41,180 --> 00:14:43,740 om det är ett riktigt storbolag

371 00:14:43,740 --> 00:14:45,260 så har ju de

372 00:14:45,260 --> 00:14:47,320 generellt sett förmågan att

373 00:14:47,320 --> 00:14:48,680 juridiskt själva agera.

374 00:14:51,400 --> 00:14:52,000 Och

375 00:14:52,000 --> 00:14:52,720 processa.

376 00:14:52,720 --> 00:14:53,340 Och processa.

377 00:14:53,420 --> 00:14:56,300 Så fort de ser att det är att

378 00:14:56,300 --> 00:14:58,380 enterprise ett fall rör så

379 00:14:58,380 --> 00:15:00,560 argumenterar de direkt mot

380 00:15:00,560 --> 00:15:02,520 dels förstånden som ställer

381 00:15:02,520 --> 00:15:03,940 frågan försöker de först säga

382 00:15:03,940 --> 00:15:06,160 ni ska gå och prata med enterprise. Ni ska inte

383 00:15:06,160 --> 00:15:08,480 prata med oss. Och om det går vidare

384 00:15:08,480 --> 00:15:10,440 till en domstolsprocess då försöker de

385 00:15:10,440 --> 00:15:12,280 argumentera inför domaren att

386 00:15:12,280 --> 00:15:14,300 den här frågan är felaktigt ställd.

387 00:15:14,360 --> 00:15:16,240 Den borde inte gå till oss. Den borde gå till det enterprise.

388 00:15:18,860 --> 00:15:19,340 Men

389 00:15:19,340 --> 00:15:21,680 så generellt sett

390 00:15:21,680 --> 00:15:23,260 säger ju nu Saab inte

391 00:15:23,260 --> 00:15:25,220 hade ett eget mål utan att Saab låg i Amazon.

392 00:15:25,960 --> 00:15:27,460 Så hade Amazon

393 00:15:27,460 --> 00:15:29,400 i första hand

394 00:15:29,400 --> 00:15:30,860 när de får in förfrågan hade de

395 00:15:30,860 --> 00:15:32,320 försökt säga

396 00:15:32,320 --> 00:15:34,960 ni ska inte prata med oss. Ni ska gå till Saab.

397 00:15:34,960 --> 00:15:35,400 Gå direkt dit.

398 00:15:36,080 --> 00:15:37,200 Och det är ju sant.

399 00:15:37,640 --> 00:15:39,480 Alltså om det är sant så är ju det en bra

400 00:15:39,480 --> 00:15:41,320 process. Men det kommer ju också finnas tillfällen

401 00:15:41,320 --> 00:15:43,640 där den hemska

402 00:15:43,640 --> 00:15:45,400 stormakten staten kommer

403 00:15:45,400 --> 00:15:47,580 in och säger att nu ska vi göra det här.

404 00:15:48,080 --> 00:15:48,820 Och så gör de det.

405 00:15:49,700 --> 00:15:51,500 Och där har de ju andra lagstöd då.

406 00:15:52,080 --> 00:15:53,240 Det är problematiskt.

407 00:15:53,260 --> 00:15:55,120 Det problematiska är ju alla gånger

408 00:15:55,120 --> 00:15:57,200 då det potentiellt sett

409 00:15:57,200 --> 00:15:58,960 sker någonting som är hemligstämplat

410 00:15:58,960 --> 00:15:59,940 och där det inte

411 00:15:59,940 --> 00:16:03,480 i våran uppfattning följer god ordning.

412 00:16:04,000 --> 00:16:04,420 Just det.

413 00:16:04,640 --> 00:16:07,420 Det är en bra poäng. I våran uppfattning

414 00:16:07,420 --> 00:16:08,320 inte följer god ordning.

415 00:16:08,900 --> 00:16:10,800 För det kommer ju vara subjektivt det här.

416 00:16:11,040 --> 00:16:12,900 Ja, alltså de sa ju att

417 00:16:12,900 --> 00:16:15,320 det har ju varit ett antal fall som

418 00:16:15,320 --> 00:16:17,080 de är tyst

419 00:16:17,080 --> 00:16:19,020 eller som har varit tysta om där.

420 00:16:19,600 --> 00:16:20,720 Där har det gått upp till

421 00:16:20,720 --> 00:16:22,340 liksom högsta ledningen på Amazon

422 00:16:22,340 --> 00:16:23,220 för att diskutera.

423 00:16:23,260 --> 00:16:24,980 Och det här är ju bara en cloud-leverantör.

424 00:16:25,100 --> 00:16:27,120 Jag går tillbaka till Snowden Files.

425 00:16:27,240 --> 00:16:27,800 Det är ju bara att läsa.

426 00:16:28,780 --> 00:16:30,760 Det är väl kanske det som är den största nackdelen

427 00:16:30,760 --> 00:16:33,140 med Snowden Files. Det finns så otroligt mycket data.

428 00:16:34,260 --> 00:16:35,340 Men det finns ju liksom

429 00:16:35,340 --> 00:16:37,420 det är så många

430 00:16:37,420 --> 00:16:39,160 integritetskränkande

431 00:16:39,160 --> 00:16:41,020 övertramp som bara har hänt

432 00:16:41,020 --> 00:16:43,160 för att folk har haft tillgång till ett trendbord

433 00:16:43,160 --> 00:16:45,360 med rätt

434 00:16:45,360 --> 00:16:46,600 data på andra sidan.

435 00:16:47,460 --> 00:16:48,760 Så det här är ju

436 00:16:48,760 --> 00:16:50,640 sant kanske det du säger men inte

437 00:16:50,640 --> 00:16:52,780 med hela sanningen. Så internet är ju

438 00:16:52,780 --> 00:16:53,100 ganska

439 00:16:53,100 --> 00:16:54,300 smutsigt punkt.

440 00:16:54,740 --> 00:16:57,120 Men jag tycker ändå, nu har vi liksom

441 00:16:57,120 --> 00:16:58,820 målat upp det här hemska med

442 00:16:58,820 --> 00:17:00,840 vad lagstiftning och

443 00:17:00,840 --> 00:17:03,120 omsittat roll

444 00:17:03,120 --> 00:17:05,340 vad myndigheter har för möjlighet

445 00:17:05,340 --> 00:17:06,980 och vi skulle säga det att USA

446 00:17:06,980 --> 00:17:09,040 är absolut inte det enda land som har

447 00:17:09,040 --> 00:17:09,700 sådana här lagar.

448 00:17:10,700 --> 00:17:12,360 Indien har ju

449 00:17:12,360 --> 00:17:15,620 Indien Telegraph Act från 1885

450 00:17:15,620 --> 00:17:16,680 eller någonting sånt där.

451 00:17:16,780 --> 00:17:18,940 Som innebär att

452 00:17:18,940 --> 00:17:21,140 i princip

453 00:17:21,140 --> 00:17:22,940 regeringen kan begära

454 00:17:22,940 --> 00:17:24,220 access till

455 00:17:24,220 --> 00:17:26,400 att kunna lyssna av all data.

456 00:17:27,040 --> 00:17:29,300 Skillnaden är ju att alla stora cloudbolag är amerikanska.

457 00:17:29,800 --> 00:17:31,100 Jo precis men hur många

458 00:17:31,100 --> 00:17:33,200 har inte sin support

459 00:17:33,200 --> 00:17:33,660 i

460 00:17:33,660 --> 00:17:36,140 Bangalore eller?

461 00:17:36,220 --> 00:17:38,120 Jo det är ju sant men de kanske

462 00:17:38,120 --> 00:17:40,660 det är ju sant men jag menar

463 00:17:40,660 --> 00:17:42,640 datat, alltså rådatat

464 00:17:42,640 --> 00:17:44,920 och infrastrukturen som hostar

465 00:17:44,920 --> 00:17:45,840 rådata och alla

466 00:17:45,840 --> 00:17:48,560 mellanlagar uppe på där är ju

467 00:17:48,560 --> 00:17:50,540 kontrollerat av ett amerikanskt bolag som

468 00:17:50,540 --> 00:17:51,940 enligt liksom

469 00:17:51,940 --> 00:17:53,360 vad säger man

470 00:17:53,360 --> 00:17:56,780 vad är det man säger enligt deras

471 00:17:56,780 --> 00:17:58,660 statue of fluppa flupp

472 00:17:58,660 --> 00:18:00,340 så måste de vara compliant liksom.

473 00:18:00,860 --> 00:18:02,680 Det är liksom

474 00:18:02,680 --> 00:18:03,900 det är hemskt.

475 00:18:04,000 --> 00:18:06,080 Jo absolut men det jag tänker är att

476 00:18:06,080 --> 00:18:08,680 man måste ju ändå sätta det här i perspektiv

477 00:18:08,680 --> 00:18:09,360 och

478 00:18:09,360 --> 00:18:11,240 om man

479 00:18:11,240 --> 00:18:14,400 om man då tittar på

480 00:18:14,400 --> 00:18:16,820 vad alternativet är

481 00:18:16,820 --> 00:18:17,880 och

482 00:18:17,880 --> 00:18:19,880 gör sin riskanalys

483 00:18:19,880 --> 00:18:21,420 så skulle jag vilja påstå att

484 00:18:21,420 --> 00:18:21,900 att

485 00:18:21,900 --> 00:18:23,800 det många gånger är

486 00:18:23,800 --> 00:18:25,660 långt bättre att

487 00:18:25,660 --> 00:18:26,920 kanske lita på en

488 00:18:26,920 --> 00:18:29,860 amerikansk stor drake som har

489 00:18:29,860 --> 00:18:32,160 processer som granskas

490 00:18:32,160 --> 00:18:34,000 som är helt

491 00:18:34,000 --> 00:18:36,700 transparenta med sina revisionsprotokoll

492 00:18:36,700 --> 00:18:39,140 och så vidare

493 00:18:39,140 --> 00:18:39,780 och så vidare

494 00:18:39,780 --> 00:18:42,200 är superduktiga på att hitta

495 00:18:42,200 --> 00:18:42,760 liksom

496 00:18:42,760 --> 00:18:45,960 felaktigt användande och

497 00:18:45,960 --> 00:18:48,460 obehörigt intrång och så vidare

498 00:18:48,460 --> 00:18:50,600 istället för att använda

499 00:18:50,600 --> 00:18:51,860 kallades datafirma på

500 00:18:51,860 --> 00:18:53,560 stan för att lagra sina

501 00:18:53,560 --> 00:18:54,980 händigheter.

502 00:18:54,980 --> 00:18:55,860 Men då kan det ju bli en sån här

503 00:18:55,860 --> 00:18:57,340 internetsladdsincident igen.

504 00:18:57,500 --> 00:18:57,920 Det vet man ju.

505 00:18:57,920 --> 00:18:59,040 Någon kommandorörelse någonstans.

506 00:18:59,160 --> 00:18:59,280 Ja.

507 00:18:59,740 --> 00:19:01,080 Men okej det här är ju

508 00:19:01,080 --> 00:19:02,660 så här det vi pratar om nu är ju en

509 00:19:02,660 --> 00:19:04,180 det är en fråga som

510 00:19:04,180 --> 00:19:06,940 som liksom jackar in i samhällets

511 00:19:06,940 --> 00:19:08,700 alla nivåer så här för den enskilda

512 00:19:08,700 --> 00:19:10,920 för den enskilda personen så

513 00:19:10,920 --> 00:19:12,540 Men jag tänker så här

514 00:19:12,540 --> 00:19:14,540 det är liksom det landar i en

515 00:19:14,540 --> 00:19:16,660 en riskanalys och en riskanalys

516 00:19:16,660 --> 00:19:17,940 man måste göra det är ju så här

517 00:19:17,940 --> 00:19:20,060 kommer det här att bita mig i röven

518 00:19:20,060 --> 00:19:21,780 i form av att jag får sanktioner

519 00:19:21,780 --> 00:19:23,540 från EU för att jag

520 00:19:23,540 --> 00:19:25,660 har använt ett moln.

521 00:19:25,660 --> 00:19:27,300 Mitt stalltips är nej

522 00:19:27,300 --> 00:19:29,340 det kan inte bli så för det skulle vara

523 00:19:29,340 --> 00:19:30,980 enda företag i EU

524 00:19:30,980 --> 00:19:32,900 undantaget några få

525 00:19:32,900 --> 00:19:35,580 åka på det så det bara skriker om det.

526 00:19:35,820 --> 00:19:36,700 Men det måste ju vara först.

527 00:19:36,880 --> 00:19:38,960 Men kan man inte tycka att det borde

528 00:19:38,960 --> 00:19:41,480 definitivt finnas en marknad här för

529 00:19:41,480 --> 00:19:43,460 ett europeiskt baserat

530 00:19:43,460 --> 00:19:45,300 och hostat molntjänst.

531 00:19:45,320 --> 00:19:46,680 Ja det tycker ju uppenbarligen Saab.

532 00:19:47,020 --> 00:19:47,740 Ja men precis.

533 00:19:48,680 --> 00:19:51,260 Nu kanske de är väldigt fokuserade på Sverige men

534 00:19:51,780 --> 00:19:54,920 Men hur skulle det vara skillnad då tänker ni?

535 00:19:55,000 --> 00:19:56,240 Jo skillnaden är ju då att

536 00:19:56,240 --> 00:19:58,200 om de inte har några kopplingar till USA

537 00:19:58,200 --> 00:19:59,920 så kan ju i alla fall inte USA begära ut den.

538 00:20:00,000 --> 00:20:01,920 Nej så då är det USA som är monstret.

539 00:20:02,300 --> 00:20:04,060 Om vi ser Cloudact som är problemet

540 00:20:04,060 --> 00:20:05,180 så är det ju definitivt så.

541 00:20:05,440 --> 00:20:08,160 Okej en relevant grej.

542 00:20:08,180 --> 00:20:09,640 Och dessutom då så kan vi ju följa

543 00:20:09,640 --> 00:20:11,720 europeisk lagstiftning som GDPR och så vidare

544 00:20:11,720 --> 00:20:12,600 utan större problem.

545 00:20:13,420 --> 00:20:16,300 Ja på en

546 00:20:16,300 --> 00:20:18,160 ett abstraktionslaget så kan vi göra det.

547 00:20:18,180 --> 00:20:19,620 Jo men precis vi kommer inte hamna i det här

548 00:20:19,620 --> 00:20:21,620 mellan två olika lagstiftningar.

549 00:20:21,780 --> 00:20:24,100 Lagstiftande organ som USA kontra EU då.

550 00:20:24,380 --> 00:20:24,560 Nej.

551 00:20:24,700 --> 00:20:25,720 Den problematiken finns ju inte.

552 00:20:25,920 --> 00:20:28,340 Det som är roligt med Cloudact

553 00:20:28,340 --> 00:20:31,620 det är alltså att om man då får läsa

554 00:20:31,620 --> 00:20:33,140 den här Cloudact

555 00:20:33,140 --> 00:20:35,760 lagtexten vilket jag absolut inte har gjort

556 00:20:35,760 --> 00:20:36,760 utan det här är

557 00:20:36,760 --> 00:20:39,120 Amazons juristsummering.

558 00:20:39,660 --> 00:20:40,940 Det är ju det att om man

559 00:20:40,940 --> 00:20:43,340 går på Cloudacts

560 00:20:43,340 --> 00:20:44,280 skrivelser

561 00:20:44,280 --> 00:20:46,880 så är ju alla

562 00:20:46,880 --> 00:20:48,780 berörda enligt den dagen.

563 00:20:49,620 --> 00:20:50,000 För

564 00:20:50,000 --> 00:20:53,620 liksom definitionen för att du

565 00:20:53,620 --> 00:20:56,100 har med USA att göra

566 00:20:56,100 --> 00:20:57,680 den är så bred så att

567 00:20:57,680 --> 00:20:59,940 till exempel om du har sålt en vara

568 00:20:59,940 --> 00:21:01,880 till någon i USA då är du berörd

569 00:21:01,880 --> 00:21:03,520 och så vidare och så vidare.

570 00:21:03,520 --> 00:21:05,860 Men om jag nu hostar

571 00:21:05,860 --> 00:21:07,700 data i, jag är ett

572 00:21:07,700 --> 00:21:09,640 hostingföretag i Sverige som

573 00:21:09,640 --> 00:21:10,960 kanske har sålt en tjänst i USA

574 00:21:10,960 --> 00:21:13,700 så skiter jag höghärtligen ifall de tycker

575 00:21:13,700 --> 00:21:15,560 att jag är berörd av deras lag.

576 00:21:15,800 --> 00:21:17,800 På en potentiellt sätt så kanske de försöker stämma

577 00:21:17,800 --> 00:21:19,840 dig och jäklas med dig. De ska stämma mig i vilken

578 00:21:19,840 --> 00:21:20,340 domstol då.

579 00:21:21,360 --> 00:21:23,780 Det här blir ju snårskog men det här är ju

580 00:21:23,780 --> 00:21:24,640 ett ganska

581 00:21:24,640 --> 00:21:27,800 det här är ju ett av de abstraktionslaget

582 00:21:27,800 --> 00:21:30,220 när man på något sätt har gjort sin riskanalys

583 00:21:30,220 --> 00:21:31,900 och man tror på

584 00:21:31,900 --> 00:21:33,820 att systemet fungerar så som man

585 00:21:33,820 --> 00:21:34,680 det ska man inte göra.

586 00:21:36,080 --> 00:21:38,140 Jag tycker man kan förutsätta

587 00:21:38,140 --> 00:21:39,540 att systemet missbrukas men

588 00:21:39,540 --> 00:21:41,680 man får ställa sig frågan vem är jag rädd för?

589 00:21:41,800 --> 00:21:43,240 Är jag rädd för NSA?

590 00:21:43,580 --> 00:21:45,800 Och det är den här jag vill gå ner till. Riskanalysen

591 00:21:45,800 --> 00:21:47,640 är ju det som är det viktiga här. Det vill säga

592 00:21:47,640 --> 00:21:49,600 om man börjar som ett

593 00:21:49,840 --> 00:21:51,560 företag, vad är det värsta som kan hända

594 00:21:51,560 --> 00:21:52,760 med att vår data blir

595 00:21:52,760 --> 00:21:55,900 det kanske till och med

596 00:21:55,900 --> 00:21:57,320 kan vara bra för ett enterprise

597 00:21:57,320 --> 00:21:59,600 att ha transparens, att kunna göra

598 00:21:59,600 --> 00:22:01,240 utredningar om man har gjort något dåligt.

599 00:22:01,360 --> 00:22:03,400 Men om man lyfter blicken lite då så hamnar man i samma

600 00:22:03,400 --> 00:22:05,540 problematik som vi ser exempelvis med de nya

601 00:22:05,540 --> 00:22:07,520 tvångsåtgärderna med data

602 00:22:07,520 --> 00:22:09,360 avlyssnings, vad de nu heter,

603 00:22:09,460 --> 00:22:11,700 nya lagen. Det vill säga

604 00:22:11,700 --> 00:22:13,200 som

605 00:22:13,200 --> 00:22:15,360 lagen är utformad och tanken

606 00:22:15,360 --> 00:22:17,260 med det så kanske det inte är jättedumt

607 00:22:17,260 --> 00:22:18,300 ifall man kan komma

608 00:22:18,300 --> 00:22:19,840 att få tag i

609 00:22:19,840 --> 00:22:21,180 folk som sprider barn på och så vidare.

610 00:22:21,620 --> 00:22:24,220 Men det är just kapabiliteten, möjligheten

611 00:22:24,220 --> 00:22:26,160 att ha lagligt stöd i att göra den här typen

612 00:22:26,160 --> 00:22:27,540 av saker. Det är där problemet ligger

613 00:22:27,540 --> 00:22:28,560 snarare.

614 00:22:29,560 --> 00:22:31,820 Men det är det traditionella som man alltid säger

615 00:22:31,820 --> 00:22:33,500 Slippery slope.

616 00:22:33,620 --> 00:22:34,980 Ja, det är i och för sig sant också.

617 00:22:36,280 --> 00:22:37,020 Precis så.

618 00:22:38,920 --> 00:22:39,820 Och det där är ju

619 00:22:39,820 --> 00:22:41,920 det där kan man ju tycka då om man har lite

620 00:22:41,920 --> 00:22:44,000 kontrollbehov är jobbigt. Och då finns

621 00:22:44,000 --> 00:22:45,440 det ju saker, då har man gjort en riskanalys.

622 00:22:45,440 --> 00:22:47,480 Okej, men då vill jag se till att

623 00:22:47,480 --> 00:22:49,320 verkligen vara vurma för min

624 00:22:49,320 --> 00:22:49,780 privacy.

625 00:22:49,840 --> 00:22:51,600 Men öppnar man den burken

626 00:22:51,600 --> 00:22:53,080 då blir det svårt väldigt snabbt.

627 00:22:53,320 --> 00:22:55,280 Framförallt som företag, som privatpersoner är det lättare.

628 00:22:55,580 --> 00:22:57,700 Ja, fast också svårt. Du behöver tänka på ganska mycket

629 00:22:57,700 --> 00:22:59,400 grejer. Jo, men det är ändå lättare.

630 00:22:59,440 --> 00:23:02,060 Det är en jätterolig övning att ge sig in i.

631 00:23:02,060 --> 00:23:03,580 Ja. Men det blir

632 00:23:03,580 --> 00:23:04,180 fort jobbig.

633 00:23:05,360 --> 00:23:08,040 Du behöver någon form av datakarantän

634 00:23:08,040 --> 00:23:09,220 så här i coronatider.

635 00:23:11,300 --> 00:23:11,940 Isolerar allt.

636 00:23:12,360 --> 00:23:13,020 Men det här är

637 00:23:13,020 --> 00:23:16,060 Jag vill få in

638 00:23:16,060 --> 00:23:17,780 en poäng kring

639 00:23:17,780 --> 00:23:19,720 är jag rädd för NSA?

640 00:23:19,840 --> 00:23:21,820 Ja. Då tror jag inte

641 00:23:21,820 --> 00:23:23,940 att det är ett dugg bättre att ha min data

642 00:23:23,940 --> 00:23:25,800 hos Kalles datafirma på stan.

643 00:23:25,900 --> 00:23:27,740 För att de äger honom

644 00:23:27,740 --> 00:23:28,380 på två rädda.

645 00:23:28,580 --> 00:23:31,480 Ja, och det man ska ha klart för sig

646 00:23:31,480 --> 00:23:33,520 det är ju det att det här handlar ju bara om

647 00:23:33,520 --> 00:23:35,620 Lawful Intercept. Spionerna behöver inte följa den här

648 00:23:35,620 --> 00:23:37,640 lagen. De kan ju använda vilka roliga

649 00:23:37,640 --> 00:23:39,760 grejer som helst. Och ska vi springa in

650 00:23:39,760 --> 00:23:41,220 snabbt där på Lawful Intercept då?

651 00:23:41,280 --> 00:23:42,840 Med Kalea-akterna, Electronic

652 00:23:42,840 --> 00:23:45,800 Det var egentligen en annan akt

653 00:23:45,800 --> 00:23:47,840 då som dök upp

654 00:23:47,840 --> 00:23:49,720 tidigare. Eller sa vi inte

655 00:23:49,720 --> 00:23:51,580 att den gjorde en… Jo, den måste ju vara tidigare

656 00:23:51,580 --> 00:23:52,120 än Klaudeck.

657 00:23:53,420 --> 00:23:54,340 Kalea kan vara det.

658 00:23:54,660 --> 00:23:57,460 Den kom ju in egentligen när vi började bygga

659 00:23:57,460 --> 00:23:59,340 stora telefonsystem

660 00:23:59,340 --> 00:24:01,520 och telefonnät. Och det handlade ju om

661 00:24:01,520 --> 00:24:03,940 att alla amerikanska

662 00:24:03,940 --> 00:24:05,640 teleoperatörer på den tiden

663 00:24:05,640 --> 00:24:07,500 var tvungna att tillhandahålla

664 00:24:07,500 --> 00:24:09,620 Lawful Intercept för att kunna

665 00:24:09,620 --> 00:24:11,700 avlisna samtal och sådär. Och den har man ju

666 00:24:11,700 --> 00:24:13,640 utökat. Från att

667 00:24:13,640 --> 00:24:15,580 det då var telekommunikation och fax

668 00:24:15,580 --> 00:24:17,700 till att också då involvera datakommunikation.

669 00:24:18,340 --> 00:24:19,620 Så har du ett US…

670 00:24:19,720 --> 00:24:21,700 Har du ett bolag som är registrerat i USA

671 00:24:21,700 --> 00:24:23,400 då måste man vara compliant.

672 00:24:24,020 --> 00:24:25,720 Och det kan man tänka på till exempel

673 00:24:25,720 --> 00:24:27,460 när man då handlar en… Samma sak har vi ju här.

674 00:24:27,660 --> 00:24:29,780 Alltså med… Vad heter de

675 00:24:29,780 --> 00:24:31,680 alla lagarna? FRA-lagen och så vidare.

676 00:24:32,020 --> 00:24:34,000 Ja, fast det finns inget krav för en VPN-leverantör

677 00:24:34,000 --> 00:24:35,700 i Sverige, som är registrerad i Sverige

678 00:24:35,700 --> 00:24:36,540 att lagra data.

679 00:24:38,220 --> 00:24:39,820 Nej, på stående sidan då…

680 00:24:39,820 --> 00:24:42,100 Och inte tillhandahålla Lawful Interception

681 00:24:42,100 --> 00:24:43,420 heller. Men det finns kropp för

682 00:24:43,420 --> 00:24:45,300 för…

683 00:24:45,300 --> 00:24:46,960 ISP. ISP, och gör det.

684 00:24:47,380 --> 00:24:48,860 Ja, absolut. Men

685 00:24:48,860 --> 00:24:49,220 men

686 00:24:49,220 --> 00:24:50,980 alltså okej, det här kan vi…

687 00:24:50,980 --> 00:24:53,600 Så det är ju egentligen det som är parallellen

688 00:24:53,600 --> 00:24:54,920 inte VPN-företagen.

689 00:24:55,120 --> 00:24:57,640 Nej, men om man ska ta ett VPN-företag till exempel som det är skillnaden då

690 00:24:57,640 --> 00:24:59,460 att om man är ett amerikanskt bolag

691 00:24:59,460 --> 00:25:01,340 så har man en skyldighet att kunna

692 00:25:01,340 --> 00:25:03,740 tillhandahålla Lawful Interception.

693 00:25:04,400 --> 00:25:05,980 Och det finns krav för vilka

694 00:25:05,980 --> 00:25:07,620 vad som ska vara med där.

695 00:25:07,980 --> 00:25:09,440 Det är nog bara en tidsfråga tills det kommer här också.

696 00:25:09,520 --> 00:25:11,640 Ja, och i Sverige då så finns inte den kraven

697 00:25:11,640 --> 00:25:12,680 just nu. Nej.

698 00:25:13,080 --> 00:25:14,780 Det vill säga att, ja, nej men

699 00:25:14,780 --> 00:25:15,940 vi måste

700 00:25:15,940 --> 00:25:19,100 vara compliant om det kommer ett domstolsbeslut.

701 00:25:19,220 --> 00:25:20,720 Eller så gör man Banoff.

702 00:25:21,580 --> 00:25:22,680 Ja, men

703 00:25:22,680 --> 00:25:25,200 Banoff måste ju också lämna ut, men om man inte lagrar

704 00:25:25,200 --> 00:25:26,820 någonting så finns det ju inte att lämna ut.

705 00:25:26,940 --> 00:25:28,320 Nej, man loggar till dev0.

706 00:25:28,760 --> 00:25:30,480 Och det är ju det då som blir liksom

707 00:25:30,480 --> 00:25:33,280 det som är det fina.

708 00:25:33,400 --> 00:25:35,060 Så när man gör sin

709 00:25:35,060 --> 00:25:37,420 riskanalys och köper VPN-leverantörer

710 00:25:37,420 --> 00:25:38,220 så ska man kolla

711 00:25:38,220 --> 00:25:41,200 var bolaget är registrerat någonstans. Det är väldigt

712 00:25:41,200 --> 00:25:42,740 vanligt att bolag är registrerade

713 00:25:42,740 --> 00:25:45,180 av många anledningar

714 00:25:45,180 --> 00:25:47,040 i olika brevlådeföretag

715 00:25:47,040 --> 00:25:47,740 runt om i världen.

716 00:25:49,220 --> 00:25:51,300 Och det handlar ju dels

717 00:25:51,300 --> 00:25:53,660 givetvis för någon form av skatteplanering

718 00:25:53,660 --> 00:25:55,160 men också då för att

719 00:25:55,160 --> 00:25:57,660 tveksam juridikation. Vart är vi?

720 00:25:59,160 --> 00:26:01,620 Så det är också något man ska tänka på.

721 00:26:01,940 --> 00:26:03,580 Så alla amerikanska bolag

722 00:26:03,580 --> 00:26:05,740 som opererar inom

723 00:26:05,740 --> 00:26:06,940 den här ramen måste

724 00:26:06,940 --> 00:26:09,180 utöver Cloudact

725 00:26:09,180 --> 00:26:11,780 kunna tillhandahålla

726 00:26:11,780 --> 00:26:12,440 Lawful Interception.

727 00:26:14,300 --> 00:26:14,540 Ja,

728 00:26:15,640 --> 00:26:17,400 och Lawful Interception

729 00:26:17,400 --> 00:26:18,700 och den, det är ju alltså

730 00:26:19,220 --> 00:26:20,660 data in transit och

731 00:26:20,660 --> 00:26:22,680 information om uppsatta kanaler

732 00:26:22,680 --> 00:26:24,300 och så vidare. Medans då

733 00:26:24,300 --> 00:26:26,080 Cloudact handlar ju om stored.

734 00:26:26,460 --> 00:26:29,260 Ja, precis. Den distinktionen

735 00:26:29,260 --> 00:26:30,860 kan man nog göra. Men sen ska man

736 00:26:30,860 --> 00:26:32,160 inte sticka under stolen med att man

737 00:26:32,160 --> 00:26:35,480 tar vårat 4G och 3G-nät

738 00:26:35,480 --> 00:26:36,220 eller den här biten jag menar.

739 00:26:36,540 --> 00:26:38,560 All den här datan. Alla de

740 00:26:38,560 --> 00:26:39,960 prylarna som byggs av

741 00:26:39,960 --> 00:26:42,460 Ericsson, Huawei, alltså så här

742 00:26:42,460 --> 00:26:44,600 vi säger nej men vi ska inte använda dem men Ericsson

743 00:26:44,600 --> 00:26:46,100 har exakt samma kapabilitet.

744 00:26:46,380 --> 00:26:47,900 Enda skillnaden är väl att PLA

745 00:26:47,900 --> 00:26:49,200 har en bakdörr i Huawei.

746 00:26:49,220 --> 00:26:50,200 Nej, det fick man inte säga.

747 00:26:51,300 --> 00:26:53,040 Ja, men ni har ju själva så här, det här

748 00:26:53,040 --> 00:26:55,160 det är liksom fel grej och hela våran

749 00:26:55,160 --> 00:26:56,960 det är liksom fel grej att fokusera på.

750 00:26:57,060 --> 00:26:58,340 Jag menar hela, ta

751 00:26:58,340 --> 00:27:00,740 vad kallar man det, 5G, 4G

752 00:27:00,740 --> 00:27:03,000 infrastrukturen bygger ju på positionering

753 00:27:03,000 --> 00:27:04,980 för att få så bra täckning som möjligt.

754 00:27:05,060 --> 00:27:07,080 Vi behöver ha koll på vad enheterna befinner sig

755 00:27:07,080 --> 00:27:08,100 för att kunna ge dem så bra.

756 00:27:08,640 --> 00:27:11,120 Det här blir en snårig skog

757 00:27:11,120 --> 00:27:12,520 men för att gå tillbaka hit så så här

758 00:27:12,520 --> 00:27:14,240 det finns för att

759 00:27:14,240 --> 00:27:16,700 det dels finns en

760 00:27:16,700 --> 00:27:19,020 en kapitalistisk vinning

761 00:27:19,220 --> 00:27:20,840 av funktioner som gör X, Y, Z

762 00:27:20,840 --> 00:27:23,460 men sen är det också då staten som bestämmer

763 00:27:23,460 --> 00:27:25,040 att vi vill kunna hänga med

764 00:27:25,040 --> 00:27:26,960 och övervaka och

765 00:27:26,960 --> 00:27:29,120 försöka upprätta någon form av ordning

766 00:27:29,120 --> 00:27:30,900 och reda. Och sen så kommer det såklart

767 00:27:30,900 --> 00:27:33,140 missbrukas för staten har ju då

768 00:27:33,140 --> 00:27:34,900 ytterligare ett intresse och det är ju att

769 00:27:34,900 --> 00:27:36,660 att inte ryssen ska komma.

770 00:27:37,120 --> 00:27:38,840 Så då behöver vi också göra ytterligare

771 00:27:38,840 --> 00:27:41,160 lite städning. Och sen så har vi ytterligare

772 00:27:41,160 --> 00:27:42,800 de här abstraktionslagren då när vi

773 00:27:42,800 --> 00:27:45,140 när vi är en stor

774 00:27:45,140 --> 00:27:46,980 kapitalistisk marknad som har liksom

775 00:27:46,980 --> 00:27:48,380 jäkligt mycket

776 00:27:48,380 --> 00:27:51,180 ja men väldigt mycket

777 00:27:51,180 --> 00:27:52,840 infrastruktur som väldigt mycket

778 00:27:52,840 --> 00:27:54,360 av världens företag använder

779 00:27:54,360 --> 00:27:57,040 då blir det ytterligare ett intresse på många sätt.

780 00:27:57,400 --> 00:27:59,400 Så det här är ju liksom en jättestor

781 00:27:59,400 --> 00:28:00,900 grej. Det som hade varit spännande

782 00:28:00,900 --> 00:28:02,900 hade ju varit att veta hur många gånger

783 00:28:02,900 --> 00:28:05,280 har liksom sådana här lovfulla interseptfunktioner

784 00:28:05,280 --> 00:28:07,120 blivit hackade och missbrukade av

785 00:28:07,120 --> 00:28:08,880 alltså utöver

786 00:28:08,880 --> 00:28:10,100 vad… Ja, det

787 00:28:10,100 --> 00:28:12,720 jag vet, eller det har säkert hänt massor

788 00:28:12,720 --> 00:28:14,640 av gånger men jag vet ett publik case

789 00:28:14,640 --> 00:28:16,480 var ju i Italien och då var det Ericsson

790 00:28:16,480 --> 00:28:17,700 utrustning tror jag som

791 00:28:18,380 --> 00:28:20,620 där man missbrukade ett lovfullt interseptgränssnitt

792 00:28:20,620 --> 00:28:21,820 Ja, just det, det var

793 00:28:21,820 --> 00:28:24,080 det var från Snowden

794 00:28:24,080 --> 00:28:26,380 läckorna och det. Ja, det var väl

795 00:28:26,380 --> 00:28:28,700 Tyskland. Ja, Tyskland var ju

796 00:28:28,700 --> 00:28:30,380 Foxit va? Ja, Italien

797 00:28:30,380 --> 00:28:32,640 var ett exempel också. Ja, jag var för mig

798 00:28:32,640 --> 00:28:34,740 att det var, det var några reportage

799 00:28:34,740 --> 00:28:36,460 om det här för ett år sedan. Det var ju Merkels

800 00:28:36,460 --> 00:28:38,360 telefon i Tyskland bland annat som man hade

801 00:28:38,360 --> 00:28:40,620 Ja, men såhär, du bygger in en bakdörr

802 00:28:40,620 --> 00:28:42,460 vad förväntar du dig att det ska hända? Ja, just det

803 00:28:42,460 --> 00:28:44,540 och det där får man nog nästan räkna med, jag menar

804 00:28:44,540 --> 00:28:46,560 alltså Juniper har ju försökt att hitta

805 00:28:46,560 --> 00:28:48,380 på massa olika saker genom åren att

806 00:28:48,380 --> 00:28:50,620 att det har hänt konstiga grejer

807 00:28:50,620 --> 00:28:51,920 som de inte själva har

808 00:28:51,920 --> 00:28:54,100 liksom kontroll över, vilket såhär

809 00:28:54,100 --> 00:28:55,680 i retrospekt är såhär

810 00:28:55,680 --> 00:28:58,580 ah, är det verkligen helt hundra

811 00:28:58,580 --> 00:29:00,480 Cisco har haft likadana problem

812 00:29:00,480 --> 00:29:02,360 eh, ja

813 00:29:02,360 --> 00:29:04,200 På min amazing

814 00:29:04,200 --> 00:29:06,540 förstudieform av att se ett föredrag

815 00:29:06,540 --> 00:29:08,640 om det här på Amazon så kan jag säga det att

816 00:29:08,640 --> 00:29:12,620 det var en kvinna som höll någonting

817 00:29:12,620 --> 00:29:14,480 om, alltså juridiken

818 00:29:14,480 --> 00:29:16,220 och så, det var den jag arkade lyssna på

819 00:29:16,220 --> 00:29:18,360 för hon var, hon var ganska rolig

820 00:29:18,360 --> 00:29:21,060 och engagerande

821 00:29:21,060 --> 00:29:23,260 och hennes huvudbudskap

822 00:29:23,260 --> 00:29:23,600 var ju

823 00:29:23,600 --> 00:29:26,640 it’s all fucked up everywhere

824 00:29:26,640 --> 00:29:29,200 och det kanske gnuttar bättre i USA

825 00:29:29,200 --> 00:29:31,120 eh, men sen

826 00:29:31,120 --> 00:29:32,420 kom det den här

827 00:29:32,420 --> 00:29:34,960 sen kom det ju den här risksnubben

828 00:29:34,960 --> 00:29:36,300 och där kan jag känna att

829 00:29:36,300 --> 00:29:38,920 jag måste säga att jag började mentalt lite

830 00:29:38,920 --> 00:29:39,960 checka ut där, men

831 00:29:39,960 --> 00:29:42,900 emellanåt så gick han ju in på såna här

832 00:29:42,900 --> 00:29:45,140 tekniska detaljer som att han tyckte att

833 00:29:45,140 --> 00:29:46,940 är du orolig

834 00:29:46,940 --> 00:29:48,540 för din storage och sånt

835 00:29:48,540 --> 00:29:50,740 då kanske man ska använda de här

836 00:29:50,740 --> 00:29:54,140 HSM-möjligheterna

837 00:29:54,140 --> 00:29:54,440 och sånt

838 00:29:54,440 --> 00:29:56,860 och integrera typ i KMS och sånt där

839 00:29:56,860 --> 00:29:59,300 men vet vi att den implementationen är säker

840 00:29:59,300 --> 00:30:01,380 vet vi att det inte finns en sidechannel där

841 00:30:01,380 --> 00:30:03,280 vi kan ju inte se källkåren

842 00:30:03,280 --> 00:30:04,760 det är ju proprietärt

843 00:30:04,760 --> 00:30:05,840 vi kan absolut

844 00:30:05,840 --> 00:30:09,100 bistå den med en root of trust från en HSM

845 00:30:09,100 --> 00:30:11,080 som vi kontrollerar, men hur vet vi

846 00:30:11,080 --> 00:30:12,320 att den, alltså hur vet vi

847 00:30:12,320 --> 00:30:14,120 det där

848 00:30:14,120 --> 00:30:16,680 Joakims lekprojekt

849 00:30:16,940 --> 00:30:18,700 som heter de här, kryptech och sånt

850 00:30:18,700 --> 00:30:21,700 det försöker de ju just

851 00:30:21,700 --> 00:30:25,020 det försöker de just ta sig an

852 00:30:25,020 --> 00:30:25,740 den biten

853 00:30:25,740 --> 00:30:28,900 hur lite du är på din root of trust

854 00:30:28,900 --> 00:30:31,060 men det var

855 00:30:31,060 --> 00:30:32,820 i alla fall en av sakerna han tog upp där

856 00:30:32,820 --> 00:30:33,760 att om du

857 00:30:33,760 --> 00:30:36,900 är du väldigt orolig för att någon ska försöka

858 00:30:36,900 --> 00:30:39,040 sno dina hemligheter så kan du försöka

859 00:30:39,040 --> 00:30:40,580 lägga flera av dem i

860 00:30:40,580 --> 00:30:42,680 ställen där det är direkt

861 00:30:42,680 --> 00:30:44,480 krångligt för någon

862 00:30:44,480 --> 00:30:46,780 att hjälpa till

863 00:30:46,780 --> 00:30:48,120 när man blir ombedd att hjälpa till

864 00:30:48,120 --> 00:30:49,780 det här är ju också ett bra svar

865 00:30:49,780 --> 00:30:53,100 det är också det enda sättet man kan svara på

866 00:30:53,100 --> 00:30:55,300 för det går inte att svara på

867 00:30:55,300 --> 00:30:57,060 det går inte att precis göra

868 00:30:57,060 --> 00:30:58,040 den tesen som vi gjorde

869 00:30:58,040 --> 00:31:00,840 för då skulle ju folk, vadå

870 00:31:00,840 --> 00:31:02,440 KMS inte är säkert

871 00:31:02,440 --> 00:31:03,840 det är ju en NTN-kryptering

872 00:31:03,840 --> 00:31:05,600 det ska ju vara encryption at rest

873 00:31:05,600 --> 00:31:08,580 så hade man haft min ståndpunkt som avgästnummer

874 00:31:08,580 --> 00:31:09,720 hade man fått sparken direkt

875 00:31:09,720 --> 00:31:12,440 så det enda sättet de kan säga

876 00:31:12,440 --> 00:31:13,880 det är ju precis det här

877 00:31:13,880 --> 00:31:15,900 det vill säga, tänk på att sprida risk

878 00:31:15,900 --> 00:31:16,460 tänk på att

879 00:31:16,780 --> 00:31:18,960 NTN-kryptera, men vi vet ju inte

880 00:31:18,960 --> 00:31:22,080 det är ju problem

881 00:31:22,080 --> 00:31:23,540 det är den andra

882 00:31:23,540 --> 00:31:25,820 och allt är ju fastän bara de här

883 00:31:25,820 --> 00:31:27,480 jag tycker de senaste två åren

884 00:31:27,480 --> 00:31:30,520 så har jag tappat förtroendet för allt vad IT heter

885 00:31:30,520 --> 00:31:32,220 jag menar, ta Intel till exempel

886 00:31:32,220 --> 00:31:33,260 tror du fram till de senaste två åren?

887 00:31:33,260 --> 00:31:35,260 jo men såhär, innan det har varit mycket såhär

888 00:31:35,260 --> 00:31:37,760 jag har inte tänkt på det så mycket

889 00:31:37,760 --> 00:31:40,740 men ta alla sådana här nya fräcka säkerhetsmodeller

890 00:31:40,740 --> 00:31:41,640 som vi har kommit fram till

891 00:31:41,640 --> 00:31:43,480 SKX och TPM

892 00:31:43,480 --> 00:31:44,700 det ska vara HSM

893 00:31:44,700 --> 00:31:46,420 det går bara sönder

894 00:31:46,780 --> 00:31:47,780 en grej efter en annan

895 00:31:47,780 --> 00:31:51,120 och alla som säger sig på krypto

896 00:31:51,120 --> 00:31:52,960 jag ska inte säga att jag är någon kryptoexpert på något sätt

897 00:31:52,960 --> 00:31:55,520 men jag jobbar med människor som är svinduktiga på krypto

898 00:31:55,520 --> 00:31:57,780 och kan förklara det på ett bra sätt

899 00:31:57,780 --> 00:31:58,280 och då är det såhär

900 00:31:58,280 --> 00:32:01,320 de har ju inte ens försökt att förstå hur det funkar

901 00:32:01,320 --> 00:32:04,020 så då är det såhär

902 00:32:04,020 --> 00:32:04,740 okej

903 00:32:04,740 --> 00:32:06,260 oj oj oj

904 00:32:06,260 --> 00:32:07,520 jag kommer tänka på den här

905 00:32:07,520 --> 00:32:11,620 den här bilden

906 00:32:11,620 --> 00:32:12,420 som någon la upp

907 00:32:12,420 --> 00:32:13,920 där det är

908 00:32:13,920 --> 00:32:16,620 hur vi löser bakdörrar i brandvägsproblematik

909 00:32:16,780 --> 00:32:20,760 och det är helt enkelt så att du har din dator här

910 00:32:20,760 --> 00:32:21,900 borta till vänster

911 00:32:21,900 --> 00:32:24,720 och sen så har du kanske en brandväg från Juniper

912 00:32:24,720 --> 00:32:26,340 och sen så kan du ha den från Cisco

913 00:32:26,340 --> 00:32:27,520 och sen så har du en från

914 00:32:27,520 --> 00:32:28,840 och så vidare och så vidare

915 00:32:28,840 --> 00:32:30,660 så att du har täckt in alla stora

916 00:32:30,660 --> 00:32:33,180 det sjuka är att det här är på riktigt

917 00:32:33,180 --> 00:32:34,600 jag har sett sådana implementationer

918 00:32:34,600 --> 00:32:37,140 och då väljer man en amerikansk, en israelisk

919 00:32:37,140 --> 00:32:38,400 och en svensk brandväg

920 00:32:38,400 --> 00:32:40,420 och då har du täckt in det mesta

921 00:32:40,420 --> 00:32:43,300 en solmodell, det där är folk som gör på riktigt

922 00:32:43,300 --> 00:32:46,340 och tre olika team som addmar dem

923 00:32:46,340 --> 00:32:46,520 ja

924 00:32:46,780 --> 00:32:48,760 för att säkerställa att ingen

925 00:32:48,760 --> 00:32:50,880 kan liksom göra samma

926 00:32:50,880 --> 00:32:52,500 misstag i två väggar

927 00:32:52,500 --> 00:32:54,720 men det kan man ju säga om försvarsmarknadsinfrastruktur

928 00:32:54,720 --> 00:32:56,840 de är ju experter på att köra tunnlar i tunnlar

929 00:32:56,840 --> 00:32:57,500 i tunnlar i tunnlar

930 00:32:57,500 --> 00:33:00,820 och det är just det för att om den riskanalysen är gjord

931 00:33:00,820 --> 00:33:01,380 att ja

932 00:33:01,380 --> 00:33:03,500 vi kan inte lita på en grej

933 00:33:03,500 --> 00:33:06,860 sen är ju internetåtkomst kanske inte att snacka om

934 00:33:06,860 --> 00:33:07,880 vi kör inte Google Chrome

935 00:33:07,880 --> 00:33:10,560 nej, det är väl en annan fråga

936 00:33:10,560 --> 00:33:11,380 men det jag

937 00:33:11,380 --> 00:33:14,900 egentligen, det jag ville höra ut av den här diskussionen

938 00:33:14,900 --> 00:33:16,660 jag tycker det har varit en jättespännande diskussion kring

939 00:33:16,780 --> 00:33:18,420 det här, det är ju egentligen det här

940 00:33:18,420 --> 00:33:20,700 ja men, vad betyder

941 00:33:20,700 --> 00:33:22,660 Cloudact, för Cloudact har ju fått

942 00:33:22,660 --> 00:33:24,960 liksom upp frågan från flera kunder

943 00:33:24,960 --> 00:33:26,680 som har sagt, ja men kan vi

944 00:33:26,680 --> 00:33:28,920 kan vi använda moln

945 00:33:28,920 --> 00:33:30,900 och det intressanta

946 00:33:30,900 --> 00:33:32,580 då är när man ber

947 00:33:32,580 --> 00:33:37,020 EDPBs jurister

948 00:33:37,020 --> 00:33:39,080 titta på det, är det förenligt

949 00:33:39,080 --> 00:33:41,100 med GDPR att använda moln

950 00:33:41,100 --> 00:33:42,740 och de inte kan säga ja

951 00:33:42,740 --> 00:33:45,120 eller nej, de kan inte

952 00:33:45,120 --> 00:33:46,240 kräka ur sig ett svar

953 00:33:46,780 --> 00:33:48,340 så hur i hundan

954 00:33:48,340 --> 00:33:50,560 ska då ett stackars företag

955 00:33:50,560 --> 00:33:52,240 kunna ta ett klokt beslut

956 00:33:52,240 --> 00:33:53,440 eller för att, ja

957 00:33:53,440 --> 00:33:55,100 nej men det är väl som du säger

958 00:33:55,100 --> 00:33:58,300 vi får ju rätta oss efter lagstiftningen som finns

959 00:33:58,300 --> 00:34:00,680 och de rekommendationer som finns, finns det inga tydliga rekommendationer

960 00:34:00,680 --> 00:34:02,580 då är det väl, då får man använda

961 00:34:02,580 --> 00:34:04,360 bästa förnuft, men sen så är ju det frågan

962 00:34:04,360 --> 00:34:06,460 som man kommer ner till, hur ska vi ställa oss till

963 00:34:06,460 --> 00:34:08,340 det är väl som ganska ofta

964 00:34:08,340 --> 00:34:10,940 i den här podden, hur ser din riskanalys ut

965 00:34:10,940 --> 00:34:11,860 ja men verkligen så

966 00:34:11,860 --> 00:34:13,520 och sen så här, vad fasken

967 00:34:13,520 --> 00:34:16,000 jag kan inte komma fram till

968 00:34:16,780 --> 00:34:18,400 ett stadie där vi har benärta

969 00:34:18,400 --> 00:34:20,160 som säger ja eller nej

970 00:34:20,160 --> 00:34:22,660 ja, då har vi ingen blocking issue

971 00:34:22,660 --> 00:34:24,080 om riskanalysen säger att

972 00:34:24,080 --> 00:34:25,640 vi bryr oss bara om det här

973 00:34:25,640 --> 00:34:28,600 det man kan konstatera

974 00:34:28,600 --> 00:34:30,400 är ju att det vore ju trevligt

975 00:34:30,400 --> 00:34:32,340 om det blev ett

976 00:34:32,340 --> 00:34:34,220 utslag, sen är väl

977 00:34:34,220 --> 00:34:36,360 stalltipset att inte bli det periodiserande

978 00:34:36,360 --> 00:34:37,660 fallet i vanlig ordning

979 00:34:37,660 --> 00:34:39,980 men att man

980 00:34:39,980 --> 00:34:42,360 liksom gräver till botten med detta

981 00:34:42,360 --> 00:34:44,500 för att egentligen om man tittar

982 00:34:44,500 --> 00:34:46,300 då på GDPR, om vi tar den lagen

983 00:34:46,780 --> 00:34:48,100 så finns det krav på

984 00:34:48,100 --> 00:34:50,300 corporate binding rules, ja det kan

985 00:34:50,300 --> 00:34:52,460 Microsoft, Amazon och Google

986 00:34:52,460 --> 00:34:54,820 visa upp, de anslutna

987 00:34:54,820 --> 00:34:56,340 till privacy shield liksom så att

988 00:34:56,340 --> 00:34:58,480 egentligen på pappret så ska ju allt det här

989 00:34:58,480 --> 00:35:00,620 vara helt grönt, och sen så

990 00:35:00,620 --> 00:35:01,940 finns ju då det här

991 00:35:01,940 --> 00:35:04,380 mörka molnet, vi har Cloud Act, det finns

992 00:35:04,380 --> 00:35:06,440 Patriot Act, det finns

993 00:35:06,440 --> 00:35:08,820 jag menar, du kan ju inte ha det till med vad katten som helst

994 00:35:08,820 --> 00:35:10,120 det blir ett jäkligt roligt så här

995 00:35:10,120 --> 00:35:12,040 korrelationsdiagram om man skulle typ

996 00:35:12,040 --> 00:35:14,080 dra ihop typ lagarna

997 00:35:14,080 --> 00:35:16,320 den här validerar till den och den

998 00:35:16,780 --> 00:35:18,720 till den, men den validerar också till

999 00:35:18,720 --> 00:35:19,580 de här subsättarna

1000 00:35:19,580 --> 00:35:22,700 visualisera med spjuter

1001 00:35:22,700 --> 00:35:25,160 sköldar och sånt, vilka sköld slår igenom

1002 00:35:25,160 --> 00:35:25,900 det här är ju vackert

1003 00:35:25,900 --> 00:35:29,120 den blir komplex snabbt, jag tror fan ingen har koll

1004 00:35:29,120 --> 00:35:30,500 problemet blir ju då när

1005 00:35:30,500 --> 00:35:33,060 det är, återigen

1006 00:35:33,060 --> 00:35:35,180 jag vill missbruka ordet pissing contest

1007 00:35:35,180 --> 00:35:36,160 vad heter det, tuppfight

1008 00:35:36,160 --> 00:35:37,680 tuppmetatävling, tack

1009 00:35:37,680 --> 00:35:39,720 det går bra, det är explicit language i den här podcasten

1010 00:35:39,720 --> 00:35:41,560 ni som inte har märkt det hittills kan stänga av nu

1011 00:35:41,560 --> 00:35:43,140 det var det jag satt och tänkte på hela tiden

1012 00:35:43,140 --> 00:35:45,500 men jag har fått

1013 00:35:45,500 --> 00:35:47,620 bannor för mina ordval tidigare

1014 00:35:47,620 --> 00:35:48,700 det är lugnt att jag tar dem

1015 00:35:48,700 --> 00:35:51,940 i alla fall, när det blir kukmätning mellan

1016 00:35:51,940 --> 00:35:53,020 europeiska

1017 00:35:53,020 --> 00:35:55,860 europeiska lagstiftare och amerikanska lagstiftare

1018 00:35:55,860 --> 00:35:58,100 om vems lag ska övertrumpa

1019 00:35:58,100 --> 00:36:00,600 vems, för det är precis där det handlar om

1020 00:36:00,600 --> 00:36:01,600 ja, precis

1021 00:36:01,600 --> 00:36:04,120 vi skiter i era privacy

1022 00:36:04,120 --> 00:36:04,880 lås där borta

1023 00:36:04,880 --> 00:36:07,840 och jag har också jävligt många nukes i mitt bagage

1024 00:36:07,840 --> 00:36:10,280 och ett jäkligt skadat twitterkonto

1025 00:36:10,280 --> 00:36:11,920 I am the law

1026 00:36:11,920 --> 00:36:13,700 och ett orange huvud

1027 00:36:13,700 --> 00:36:14,220 ja

1028 00:36:15,500 --> 00:36:17,760 så kanske vi är klara med den diskussionen

1029 00:36:17,760 --> 00:36:18,920 om cloudhack på den här gången

1030 00:36:18,920 --> 00:36:21,460 vi får väl se om det blir något prejudicerande fall här

1031 00:36:21,460 --> 00:36:23,220 i EU kontra USA

1032 00:36:23,220 --> 00:36:24,960 om EU finns om fyra veckor, vi får se

1033 00:36:24,960 --> 00:36:25,780 eller om

1034 00:36:25,780 --> 00:36:28,940 EDPBs jurister kan

1035 00:36:28,940 --> 00:36:31,160 kräkas ur sig en rekommendation

1036 00:36:31,160 --> 00:36:32,880 ska jag rulla ut oss?

1037 00:36:33,100 --> 00:36:33,860 rulla ut oss Peter

1038 00:36:33,860 --> 00:36:40,460 tack så mycket för att ni lyssnade

1039 00:36:40,460 --> 00:36:42,340 jag som pratade heter Johan Ryberg Möller

1040 00:36:42,340 --> 00:36:43,440 med mig hade jag Jesper Larsson

1041 00:36:43,440 --> 00:36:45,280 Rickard Bordfors

1042 00:36:45,500 --> 00:36:47,780 och Peter Magnusson

1043 00:36:47,780 --> 00:36:48,880 ha det gött

1044 00:36:48,880 --> 00:36:49,600 ha det bra

Updated on 2020-03-23
 tema
Back | Home