Alle nordmenns gode venn Winston Churchill sa en gang “… this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.” I samme situasjonen befinner vi oss når det gjelder accountability i nettskyen. Prosjektet A4Cloud – Accountability for Cloud and other Future Internet Services, som vi har omtalt her på bloggen tidligere, er avsluttet, men stadig gjenstår det arbeid i både industri og forskning før vi kan påberope oss accountability i enhver nettsky.
Om du på nåværende tidspunkt har begynt å irritere deg over at jeg benytter ordet accountability, så kommer det av at det ikke er så lett å finne en god norsk oversettelse. Ansvarlighet og etterprøvbarhet kommer ganske nærme, men er nok ikke helt dekkende. Forslag mottas med takk i kommentarfeltet.
Hva har prosjektet bidratt med?
Prosjektet har bestått av en passelig blanding av teknologer, jurister, samfunnsvitere og økonomer – eksemplarisk koordinert av Hewlett Parckard Enterprise Labs Bristol. Sammen har 13 partnere utforsket ulike aspekter ved accountabiltiy i nettskyen, utviklet en referansearkitektur, samt et overordnet konseptuelt rammeverk og et knippe verktøy til hjelp i å oppnå accountability.
Aspektene som er dekket vedrørende accountability inkluderer juridiske, etiske, sosio-økonomiske og tekniske aspekter.
Konseptuelt rammeverk
Det konseptuelle rammeverket tar deg hele veien fra det abstrakte og litt ugripelige begrepet accountability ned til konkrete mekanismer og verktøy som bidrar til å oppnå accountability.
Referansearkitektur
Referansearkitekturen setter prosesser, artifakter og tjenester i sammenheng for å oppnå og demonstrere accountability.
Hele arkitekturdokumentet finner du her.
Verktøy
For å assistere bedrifter i både å oppnå og å demonstrere/bevise at de er accountable, har vi også utviklet et knippe på 14 verktøy. De fleste er på tidlig funksjonelt prototypenivå. Her presenterer vi et lite utvalg av verktøyene. For mer informasjon om hele verktøypakken, kan du sette av kvelden og gå til listen på A4Clouds nettside.
Data Track
Dette verktøyet brukes for å gi sluttbrukere en brukervennlig oversikt over alle deres personlige data, hvilke tjenester som har tilgang til hvilke data, samt gi dem mulighet til å be om innsyn i data, korrigere data og be om at dere personlige data blir slettet.
Audit Agent System
Dette verktøyet åpner for automatiske revisjoner av nettskytjenester og -infrastruktur for å sikre at disse er i henhold til de policyer som er definert.
Data Transfer Monitoring Tool
Dette verktøyet automatiserer innsamlingen av bevis i forbindelse med hvorvidt overføringer av data i en nettsky er i henhold til policyen som er definert for databehandling.
Incident Management Tool
Dette verktøyet er inngangsporten for å håndtere anomalier, hendelser og overtredelser som oppstår i en nettskytjeneste og bør varsles til kunde – sluttbruker eller bedrift. Dette være seg brudd på personvernsløfte/-lovgivning eller “ordinære” sikkerhetsbrudd/-problemer. Verktøyet gjør at kunden kan motta melding om hendelser og iverksette tiltak for å håndtere dem, ved f.eks. å innhente omfattende og strukturert informasjon rundt hendelsene.
Data Protection Impact Assessment Tool
Dette verktøyet benyttes av små og mellomstore bedrifter for å identifisere hvilke risikoer som oppstår når en ønsker å gjennomføre noen behandling av personlig eller konfidensiell informasjon med en gitt konfigurasjon og i et gitt miljø. Verktøyet innhenter data fra brukeren ved hjelp av spørsmål og gir deretter råd om hva som må utbedres for å være i henhold til gjeldende lov.
Cloud Offering Advisory Tool
Dette verktøyet benyttes av små og mellomstore bedrifter eller individer (de kan komme i alle størrelser) for å vurdere og velge mellom det store tilbudet av nettskytjenester. Spesielt er verktøyet til hjelp med å finne tjenester som passer brukerens krav til sikkerhet og personvern.
Utnyttelse
Så sitter vi her, med noen tykke bunker av papir, store mengder data og en hel bråte med verktøy. Hvor går veien videre? Noen av svarene ble gitt til EU på selveste 17. mai.
Det pågår et aktivt standardiseringsarbeid, hvor elementer fra A4Cloud skal inn i eksisterende standarder. På et juridisk nivå jobber man sammen med FN for å innlemme konseptet accountability i retningslinjer som kanskje en dag kan bli til lovverk – enten på nasjonalt eller internasjonalt plan.
Til tross for liten utbredelse av konseptet accountability i industrien per nå, er dette noe som trolig vil endre seg i takt med at General Data Protection Regulation trer i kraft og blir håndhevet fra 2018.
For å akselerere innlemmingen av accountability i nettskytjenester, er det ønskelig å fokusere mer på større aktører i offentlig sektor, gjennomføre en pilot med en stor bedrift og nettskyaktører, starte med ledelse, arkitektur og metoder, og til slutt introdusere de ulike verktøyene ved behov. Incident Managment Tool trekkes frem som et verktøy som har få barrierer for å tas i bruk – sammenlignet med andre verktøy i pakken.
Veien videre
Så var vi altså ikke kommet til enden, men kanskje slutten på begynnelsen. Det fordrer spørsmålet: “Hvor går veien videre for accountability i nettskyen?”
Her er det mange svar. Noen av verktøyene er modne nok til at de bør testes ut i industrien, gjerne i en større pilot, andre har nok stadig behov for videre forskning. Når det gjelder EU, er det ønskelig at accountability blir innlemmet i “Cloud Strategy” og i “Digital Single Market” – om den oppfordringen blir fulgt, blir spennende å se.
Videre er det nok en viss sannhet i at “accountability” var et buzz-word når prosjektet startet, hvilket betyr at de grunnleggende idéene og elementene fra prosjektet kommer til å leve videre i andre prosjekter – kanskje under nye buzz-words.
Høres noe av det vi har dekket i denne posten relevant ut for deg? I tilfelle er det bare å ta kontakt, vi er alltid på jakt etter nye prosjekter, partnere og venner generelt 🙂