Israel krävde i 2021 års förhandlingar om ett molnavtal värt 1,2 miljarder dollar med Google och Amazon att bolagen skulle använda en hemlig kod, kallad ”winking mechanism”. Kravet motiverades av oro för att israelisk data i globala moln skulle kunna hamna hos utländska brottsutredande myndigheter.
Praxis hos stora molnleverantörer innebär regelbundna utlämningar av kunddata till polis, åklagare och säkerhetstjänster, ofta under tystnadsplikt och med förbud att informera kunden.
Systemet som Israel ville ha bygger på dolda varningar i form av betalningar till staten när israelisk data lämnats ut efter beslut i utlandet. Uppgörelsen ingick i Project Nimbus och beskrevs i läckta dokument som Guardian granskade tillsammans med +972 Magazine och Local Call. Dokument och israeliska tjänstemäns beskrivningar pekar på att Google och Amazon gick med på flera stränga och okonventionella kontrollmekanismer, något företagen samtidigt förnekar innebär att de kringgår lag.
Förbjuder
Villkoren förbjuder Google och Amazon att begränsa hur israeliska myndigheter, säkerhetstjänster och militära enheter använder molntjänsterna. Avtalet säger att bolagen inte får stänga av eller dra tillbaka Israels tillgång, även om användningen skulle bryta mot deras användarvillkor. Israeliska tjänstemän utformade kontrollerna för att möta risker som påtryckningar från anställda eller aktieägare samt rättsprocesser kopplade till människorättsfrågor i de ockuperade palestinska områdena.
Microsofts agerande illustrerar kontrasten. Företaget deltog i upphandlingen men förlorade enligt uppgift eftersom det inte accepterade vissa israeliska krav. Företaget stängde senare av delar av den israeliska militärens tillgång efter att ett urskillningslöst övervakningssystem av palestinska telefonsamtal använts via Azure, med motiveringen att sådan användning bryter mot Microsofts villkor. Villkor i Nimbus skulle hindra Google och Amazon från liknande ensidiga åtgärder och definiera sådana som diskriminering med ekonomiska sanktioner och möjlig rättsprocess som följd.
Kriget i Gaza gav ytterligare tyngd åt frågan om molnens roll. En FN-kommission drog slutsatsen att Israel har begått folkmord, samtidigt som militären lutat sig tungt mot molnleverantörer för lagring och analys av stora datamängder och underrättelser. En omfattande samling avlyssnade palestinska samtal låg fram till augusti i Microsofts moln, med planerad flytt till AWS-datacenter enligt underrättelsekällor. Amazon uppgav att man respekterar kundsekretess och därför inte diskuterar relationer eller har insyn i arbetslaster utan kundens samtycke.
Avfärdade
Google och Amazon avfärdade påståenden om att de skulle kringgå rättsligt bindande beslut. Google betonade att man varit tydlig om Nimbus, dess inriktning och gällande villkor och policyer, och kallade motsatsen en felaktig antydan. Israeliska regeringsdokument beskriver samtidigt att företagen accepterade att anpassa interna processer och underordna standardvillkor för att möta Israels krav, med formuleringen att bolagen förstår statens känsligheter och är villiga att acceptera kraven.
Projektets ramverk omfattar sju år med möjlighet till förlängning och bygger på nybyggda datacenter i Israel. Israeliska tjänstemän oroade sig trots lokal lagring för att förändringar i amerikansk och europeisk lag skulle öppna direkta vägar för utländska myndigheter att begära ut data. Den hemliga koden specificerades därför som betalningar kallade ”special compensation”, som ska skickas inom 24 timmar efter utlämning och motsvara mottagarlandets telefonlandsnummer i belopp mellan 1 000 och 9 999 shekel. Exempel i dokumenten anger 1 000 shekel vid utlämning till USA (+1) och 3 900 shekel vid utlämning till Italien (+39). En backstop på 100 000 shekel gäller om tystnadsplikten är så strikt att inget land kan signaleras.
Juridiska experter, inklusive tidigare amerikanska åklagare, beskrev upplägget som mycket ovanligt och riskabelt eftersom kodade betalningar kan kollidera med sekretesskrav kring stämningar och beslut i USA. Bedömningar löd att mekanismen kan följa lagens bokstav men inte dess anda och att domstolar knappast skulle se välvilligt på den. Israeliska dokument noterar risken för kollision med amerikansk lag och att bolagen kan tvingas välja mellan att bryta mot kontraktet eller mot sina rättsliga skyldigheter.
Svarade inte på frågor
Bekräftelser om praktiskt bruk av koden saknas. Google och Amazon svarade inte på frågan om koden använts sedan Nimbus trädde i kraft. Amazon uppgav att företaget har en global process för lagliga och bindande datapåfyllningar och att man inte har processer som kringgår sekretessplikter. Israeliska finansdepartementet avfärdade antydningar om att Israel tvingar bolag att bryta mot lagar i andra länder som grundlösa.
Avtalets ”inga restriktioner”-princip konkretiseras i analys från finansdepartementet: staten får använda vilken tjänst som helst som är tillåten enligt israelisk lag, under förutsättning att upphovsrätt inte kränks och att tekniken inte återförsäljs. Acceptable-use-policy hos både Google och Amazon förbjuder kränkningar av andras rättigheter och aktiviteter som orsakar allvarlig skada, men en israelisk tjänsteman med insyn i Nimbus framhöll att inga begränsningar får sättas för vilken typ av information som migreras, inklusive militär och underrättelser. The Intercept rapporterade att Nimbus styrs av en ändrad uppsättning konfidentiella policyer och att Google internt förstått att man inte tillåts begränsa vilka tjänster Israel använder.
Sammanlagd slutsats i texten visar ett avtal som kombinerar en hemlig signalmekanism för utlämningar, kontraktsmässiga spärrar mot avstängning eller inskränkningar, och ett explicit företräde för israelisk lag och statens behov, samtidigt som företag och myndigheter offentligt förnekar lagöverträdelse och hänvisar till sekretess kring kommersiella villkor.
Källa: The Guardian
Läs mer
Amazon, Apple och Google betalar för Trumps nya Vita huset-bygge
Molnjättarnas makt gör internet farligt sårbart – nätet kommer att krascha igen
