Skytjenestekontrakter og databeskyttelse: Utilsiktede konsekvenser

"Hvis den ikke er privat, er den ikke beskyttet."

Da jeg hørte Tyler Pitchford omtale sitatet ovenfor i ShmooCon 2013-foredraget hans: "The Cloud, Storms on the Horizon, " tenkte jeg at han uttalte det åpenbare. Jeg mener duh, hvis det er offentlig; selvfølgelig er det ikke beskyttet. Heldigvis for meg fortsatte jeg å se videoen, etterhvert lærte jeg at det ikke var det Tyler prøvde å si.

I slutten av videoen viste det seg at jeg trengte å tenke nytt på hvordan og hvorfor jeg bruker skytjenester. Å bruke skytjenester kan føre til betydelige juridiske implikasjoner og til slutt økonomiske vanskeligheter.

Hvis du tenker at dette er mer chastising å få alle til å lese lisensavtaler for sluttbrukere (EULA), er det ikke det. Jeg tar sikte på hva som ikke blir sagt i EULAs og personvernpolitikk.

Første ting først: hvem er denne fyren Tyler Pitchford? Og hvorfor vet en advokat så mye om IT, spesielt programvare? Vel, Tyler fulgte en annen trommeslager før han så dommerlyset. Han ble uteksaminert med en BA i programvaresystemdesign. Etter dette benyttet Tyler sin ekspertise til bruk. Hvis du noen gang har brukt fildelingsprotokollen BitTorrent, er du sannsynligvis kjent med BitTorrent-klienten hans - Azureus.

Jeg vet ikke hva mer en "ikke-legalese-snakende" fyr som skriver om de juridiske implikasjonene av skytjenester kan be om.

Skyen lovlig er?

Som alle gode advokater, definerte Tyler først begrepene som diskuteres, i dette tilfellet - skyen:

Skyen er løst definert som tjenester (tror Google, Facebook, Amazon, LinkedIn og en hel rekke andre) levert over et nettverk. For våre formål: markedstale for ressurs- og kostnadsdeling.

Tyler la til en advarsel:

Skyen er en utmerket måte å maksimere ressursene dine på, men fylt med potensielle lovlige fallgruver. Jo større operasjon, jo mer problemer vil du møte.

Juridiske problemer fra tredjepart

Nå til grunn for det jeg ville snakke om. Det er ikke riktig legalese, men jeg kaller det tredjeparts juridiske spørsmål - noe uheldig skjer som er utenfor vår kontroll. I det juridiske området refererer tredjepart til:

Juridiske spørsmål fra tredjepart er spesielt viktige for oss som bruker eller leverer skytjenester. Tredjeparts eDiscovery kan påvirke vår personlige eller virksomhets evne til å fungere. Tyler ga to eksempler fra den virkelige verden for å forklare hvor alvorlig det kan være.

Første eksempel : En liten webhotell-tjeneste leide plass til en bedrift for nettstedet sitt. Virksomheten kom under regjeringsundersøkelse. Webhotell-tjenesten mottok en tredjepart stevning selv om den ikke var under etterforskning. Webhotell-tjenesten måtte ansette en advokat, produsere dokumenter og slå av servere for eDiscovery, og til slutt bruke 50 000 dollar for å oppfylle stevningens betingelser. Andre eksempel : En mellomstor bedrift lokaliserte serverne sine på et lokasjonsanlegg. Regjeringen begynte å undersøke eierne av samlokaliseringsanlegget, utstedte tegningsretter, beslaglegge alt i bygningen, inkludert serverne til den mellomstore virksomheten, selv om eierne ikke var en del av etterforskningen. Det nøyaktige tallet er ukjent, men minimalt kunne ikke den mellomstore virksomheten fungere før regjeringen returnerte serverne.

Som du kan se, uten noen egen skyld, kan vi lide noen alvorlige digitale og økonomiske traumer. Tyler hadde flere forslag for å redusere nedfallet fra å være en uskyldig deltaker i en tredjeparts rettssak:

  • Krypter, krypter, krypter!
  • Implementere dataoppbevaringspolitikk, og følg dem religiøst.
  • Slette overflødige kopier.
  • Karantenedata så mye som mulig.

Hver kule hjelper til med å isolere dataene eller firmaets data fra andre tredjepartsdata som er lagret på skytjenesten, ved å senke interessenivået til den sivile, kriminelle eller statlige enheten som undersøker skytjenesten eller en annen tredjepart som bruker den samme skytjenesten.

Nå som vi har oppdatert hastighet, la oss komme til noen spørsmål.

Kassner : Alle nevner at vi bør beholde en advokat hvis vi ikke forstår kontrakter relatert til skytjenester. Hva slags advokat er det? Hva er din spesialitet? Pitchford : Dessverre, som alle ting lovlig, avhenger det. Generelt sett bør du være i stand til å snakke med god forretningsdrift eller kontraktsadvokat for å håndtere en generell gjennomgang av skyservicekontrakter. Hvis du er bekymret for et spesifikt spørsmål (personvern, immaterielle rettigheter osv.), Vil du snakke med en spesialist.

Når det gjelder meg er jeg en appelladvokat, som betyr at jeg behandler saker som spenner over hele det juridiske feltet. Når det er sagt, områdene der jeg fokuserer mest av tiden min er masseskyld, kompleks kommersiell rettstvist, forfatningsrett, cyberlov og åndsverk.

Kassner : Hvis du fikk i oppgave å sette opp en skytjeneste for et selskap, hva ville du spesifikt ønsket i avtalen? Pitchford : Jeg vil at bestemmelsesstedet, forumutvelgelsen og lovvalget (klausuler som bestemmer plassering av drakten, sakens forum, domstol kontra voldgift, og hvilke lover domstolen vil anvende) skal samsvarer med plasseringen av selskapets hovedkvarter, hovedlokaliteten til deres juridiske kontorer, eller hvor som helst jeg vet som har lover som er gunstige for selskapets forventede kamper. Avhengig av selskapets ressurser og forskjellige andre faktorer, vil jeg også vurdere en voldgiftsbestemmelse.

Spesielt relatert til cloud computing, ønsker jeg en garantert oppetid med en definert straffebestemmelse selv om skader som følge av et strømbrudd kan være vanskelig å tallfeste. Jeg vil også ønske meg viss forsikring om hvem jeg vil dele servere med.

Kassner : I snakkene understreker du behovet for at selskaper lager en "policy for datalagring." Hva er det? Og hvorfor er det viktig? Pitchford : En policy for dataoppbevaring definerer hvor lenge en enhet lagrer data. For eksempel kan et selskap utstede en policy om at ansatte bare skal holde e-post i 180 dager, eller sikkerhetskopieringsservere skal bare beholde to ukers informasjon.

En skikkelig policy må balansere hvor mye av et dataarkiv som selskapet virkelig trenger for å fungere mot risikoen for fullstendig feil og manglende evne til å hente inn dataene igjen. Retningslinjene må holde selskapet funksjonelt, men skal forhindre dataharding. Og her er grunnen: jo mer data du har, jo mer data må du beskytte og søke gjennom hvis du noen gang er involvert i rettssaker.

En oppbevaringspolitikk blir enda viktigere når du innser at du kan bli pålagt å gi informasjon som ledd i en søksmål mot en tredjepart.

Kassner : Det er interessant, Tyler. Jeg antok at en bedrift eller en person som fikk servert stevning ville være i trøbbel hvis de ikke hadde de etterspurte dataene? Pitchford : Som med alle ting lovlig, er det en fangst, og den varierer etter jurisdiksjon. Den generelle regelen er at hvis du er klar over at rettssaker er sannsynlig, må du bevare relevant informasjon innenfor din kontroll. Enkelt sagt kan du ikke med vilje slette informasjon som er relevant for et søksmål mot selskapet direkte, eller som et resultat av en tredjepart er det ulovlig. Men hvis det ikke er noen trussel om søksmål, må du eliminere dataene; så er det ingenting å overlate.

Det er rimeligere å forklare at all potensiell relevant informasjon har blitt ødelagt som en del av selskapets oppbevaringspolitikk, enn det er å sortere gjennom rundt 13 års arkivverdier.

Kassner : Du snakket om noe ganske skummelt, "læresyn med vanlig utsikt." Hvis jeg forstår riktig, kan myndighetene anklager en person utelukkende basert på bevis som er funnet mens de leter etter noe annet. Er det riktig? Pitchford : Det er riktig. Coolidge v. New Hampshire, 403 US 443 (1971), etablerte parametrene for læren om vanlig utsikt, men de har siden blitt massert av den nyere Horton mot California, 496 US 128 (1990).

Et vanlig eksempel er trafikkstoppet; hvor under holdeplassen offiseren legger merke til narkotika som sitter på passasjersetet. Læren er imidlertid også gjeldende for elektronisk informasjon. Hvis en offiser lovlig skulle beslaglegge og søke på en server som ledd i et angrep på en skytjenesteleverandør, vil straffelig inkriminerende data som ble lokalisert under utførelsen av ordren, uten tvil være underlagt den vanlige læren.

Jeg må merke meg at det er en splittelse mellom jurisdiksjonene om nøyaktig hva grensene for læren er som de gjelder for elektronisk søk, men en fullstendig forklaring vil kreve en artikkel i seg selv.

Kassner : Kunne regjeringen påta seg en hel tjeneste som Dropbox ved å bruke en tredjeparts stevning og deretter samle bevis ved hjelp av læren om vanlig utsikt? Pitchford : Vel, nei. Hvis et parti overførte informasjon ved stevning enn doktrinen med vanlig utsikt ikke ville gjelde fordi informasjonen ble overlevert frivillig, og de kunne gjøre som de var fornøyd med den.

Hvis vi derimot justerer spørsmålet ditt litt om å gripe en hel skytjeneste med garanti (tenk Megaupload), er det mulig regjeringen kan bruke den vanlige læren for å rettferdiggjøre å finne all kritisk informasjon som er tatt i bruk utenfor rammen av garantien. Men det er absolutt grenser.

Frafaller privatliv

Husk at "Hvis det ikke er privat, er det ikke beskyttet."

Jeg trodde jeg hadde bedre forklart hva Tyler prøvde å få til. De fleste skytjenestekontrakter er avtaler som er inngått mellom en person eller et selskap og en tredjeparts tjenesteleverandør. Det interessante er at de kan inkludere klausuler som definerer og eller frafaller enhver forventning om personvern.

Når avtalene inneholder denne typen klausuler, anses verken data som ligger på en skytjenesteleverandørens servere som private eller beskyttet under fjerde endring. Og selv om avtalen ikke inneholder noen eksplisitte avkall, kan regjeringen fremdeles argumentere for et avkall på personvern, bare fordi du har gitt dine data til en tredjepart.

Regjeringen har brukt disse argumentene med suksess for å få dataene omgjort dersom en garanti ikke kunne oppnås; så de private kommentarene på Facebook - ikke så private. Nå forstår du også hvorfor Tyler tidligere la vekt på "kryptere, kryptere, kryptere." Det er den eneste måten data som er lagret i skyen, virkelig er private.

Siste tanker

Det har vært et langt, utfordrende stykke. Jeg avslutter med å be Tyler om hans "store bilde" -visning.

Jeg tror skytjenester er verdifulle verktøy, men de er ikke svaret på alles problemer. Når et selskap bestemmer seg for om de skal ta i bruk skytjenester eller ikke, er det viktig at de vurderer hele bildet, ikke bare hvor mye penger det kan spare ved å kutte IT-budsjettene. Og selv om det er mange diskusjoner om faren for driftsstans, er det ganske enkelt ikke nok diskusjoner som skjer om mulige juridiske konsekvenser.

Jeg ville definitivt takke Tyler og moren hans for at jeg ga meg tid i dag - morsdag - til å stille noen spørsmål i siste øyeblikk. Som en ekstra bonus, her er noen "bit av juridisk visdom" fra Tyler:

Rimelige søk
  • Ideell : Sannsynlig årsak som kreves, kontrollert av domstolene, og begrenset i omfang til bare det som kreves.
  • Realitet : Regjeringen vil få fordelen av tvilen, og de vil ta alt. Hvis du balker, kan de gi noe tilbake.
Tilstrekkelig prosess
  • Ideelt: Du vil få like fotfeste i retten for å presentere saken din; hvis regjeringen fratar deg eiendom; du får betalt.
  • Realitet : Domstoler vil vanligvis utsette seg for regjeringen, og det er mange unntak fra forhandlinger.
vedtekter
  • Ideelt : Å skape en balanse mellom dine rettigheter, og muligheten for at sivile og kriminelle systemer kan fungere på en meningsfull måte.
  • Virkelighet : Lovene er utdaterte, og gir ikke mye beskyttelse. Hvis du har midler, kan det hende du kan slåss, men på det tidspunktet har du allerede fått store tap.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com