Grønland er afhængig af servere i udlandet til næsten al
digital kommunikation - fra messengerbeskeder til mails.
Denne afhængighed
udfordrer landets digitale suverænitet og gør Grønland sårbart, hvis der sker
nedbrud på de transatlantiske søkabler, som forbinder landet med omverden, da
mange kritiske funktioner i dag kræver adgang til servere i udlandet.
Det viser en helt ny pilotundersøgelse, ” DNS-baseret
kortlægning af mailinfrastruktur og digital suverænitet i Grønland”, der er
lavet af Tænketanken Digital Infrastruktur og skrevet af tænketankens direktør
Signe Ravn-Højgaard.
Undersøgelsen er baseret på kortlægning af DNS data for
52 domæner, der tilhører offentlige institutioner i Grønland.
Analysen viser, at brud på internetforbindelsen til
omverden vil få store konsekvenser, da de offentlige myndigheder i høj grad er
afhængige af tjenester placeret i udlandet.
Hovedparten af grønlandske offentlige institutioner er
afhængige af servere i udlandet for at sende og modtage mails. Særligt
Microsoft er de offentlige institutioner i Grønland afhængige af. Det rammer
Grønlands digitale suverænitet, da rigtig meget vil gå i stå, hvis
internetforbindelsen til omverden ryger.
Kun ganske få grønlandske offentlige institutioners
domæner (4) i tænketankens pilotundersøgelse peger direkte på lokale
mailservere, 4 er uvist, mens resten afhænger af udlandet (44).
Al post skal ud at vende
Det betyder, at både ind‑ og udgående post næsten altid
skal en tur ud af landet for at blive modtaget, filtreret og leveret — selv når
afsender og modtager begge befinder sig i Grønland.
Både alle populære beskedtjenester og sociale platforme
(for eksempel Facebook, Instagram, WhatsApp og TikTok) og de fleste mailtjenester
og spamfiltre, vi bruger i Grønland, ligger på - eller er afhængige af -
servere uden for landet.
Derfor går digital kommunikation mellem to personer eller
myndigheder i Grønland næsten altid ud af landet og tilbage igen. Hvis
forbindelsen til omverdenen bliver brudt, vil det derfor ramme myndighedernes
drift og borgernes adgang til basale tjenester hårdt, fremgår det af undersøgelsen.
Omkring 60 procent af de grønlandske institutioners
domæner er i en vis udstrækning afhængige af Microsofts servere for at sende
eller modtage mails. Det i sig selv er dog ikke ensbetydende med, at selve
postkasserne ligger på Microsofts servere i udlandet.
Kan pålægges at udlevere kundedata
Det svækker som nævnt digital suverænitet, og i den
udstrækning selve data befinder sig i udlandet, kan den bringe data under
udenlandske regler — især den amerikanske Cloud Act, fordi første modtagelse og
filtrering af e‑mail i mange tilfælde sker uden for grønlandsk
jurisdiktion typisk i Irland eller USA, og fordi amerikansk‑ejede udbydere vil kunne
pålægges at udlevere kundedata til amerikanske myndigheder, selv når data er
lagret i EU.
Selvom vi ikke har set eksempler på dette, betyder det i
praksis, at grønlandske myndigheder ikke kan være helt sikre på, at deres
oplysninger er beskyttet af europæiske regler alene – amerikansk ret kan stadig
gælde, uanset fysisk placering.
Med andre ord er placering ikke det samme som kontrol:
både indhold (e‑mails) og metadata (afsender/modtager, tidspunkter,
IP’er, leveringslog med videre) kan i visse sager kræves udleveret efter
amerikansk ret, eventuelt med tavshedspålæg, så kunden ikke informeres, fremgår
det af undersøgelsen.
Sårbarhed
Afhængigheden betyder, at hvis forbindelserne til
udlandet brydes, vil mail, login og andre cloud‑tjenester for mange
myndigheder standse, medmindre der på forhånd er etableret lokale fallback‑løsninger.
Konsekvensen er høj leverandørkoncentration og sårbarhed:
hvis forbindelser eller udbydere fejler, rammer det systemisk, og kabelbrud kan
lamme kritiske tjenester, når nøglerne ligger uden for landet.
De danske rigsmyndigheder i Grønland får som udgangspunkt
deres e‑mail
leveret via Statens IT og EU‑baserede udbydere (danske og tyske). Det
betyder som regel drift i Statens IT’s danske datacentre og eller EU‑regioner under dansk eller
europæisk jurisdiktion, med fælles statslige sikkerheds- og compliancekrav
(filtrering, logning, nøglestyring, beredskab).
Selvom man også her er afhængig af forbindelse ud af
landet, for at mails fungerer, står det i kontrast til de grønlandske institutioner,
hvor en stor del af trafikken går gennem Microsofts globale infrastruktur og såkaldte
forfiltre uden for landet.
E-mail er porten til hele pakken
Den
schweiziske privatlivsfokuserede tech-virksomhed, Proton, påpeger i sin rapport ”Europe’s
tech sovereignty watch”: “Email is often the gateway to the entire suite —
identity management, document storage, collaboration tools and security”. (Journalistens egen
oversættelse: ” Europas teknologiske suverænitetsovervågning”: "E-mail er
ofte porten til hele pakken — identitetsstyring, dokumentlagring,
samarbejdsværktøjer og sikkerhed").
Når en institution vælger en mailudbyder som Microsoft
365 eller Google Workspace, følger de øvrige tjenester ofte med – for eksempel
identitets- og adgangsstyring, dokument- og filopbevaring, kontorpakker,
samarbejdsværktøjer som Teams eller Google Chat, videomøder, kalender og
sikkerhedstjenester – og netop denne tætte integration gør det langt sværere at
skifte leverandør senere.
Det betyder, at leverandørvalget får konsekvenser langt
ud over selve mailen, konstaterer undersøgelsen.
Analysen af mailservere kan derfor give en stærk
indikator for, hvilken infrastruktur resten af organisationens data
sandsynligvis befinder sig på. Det er dog ikke givet, e‑mail dækker kun én del af
infrastrukturen, og en organisation kan have filer, dokumenter og fagsystemer
på andre platforme end selve mailtjenesten, oplyser man.
Da e-mail i 2025 er et nøgleværktøj for de fleste
organisationer, og fordi oplysninger om mailservere som nævnt ofte – men ikke
altid – afslører, hvilke udbydere og servere en organisation er afhængig af,
kan en analyse af mailservere fungere som et værdifuldt pejlemærke for graden
af digital suverænitet i Grønland.
Analysen bygger på offentligt tilgængelige DNS-data for som
nævnt 52 grønlandske domæner. De repræsenterer Grønlands kommuner,
centraladministration, selvstyreejede virksomheder og rigsmyndigheder.
Ved at undersøge, hvilke servere domænerne peger på i
deres konfiguration, kan man få en indledende forståelse af, hvilke udbydere og
hvilke lande der reelt håndterer e-mails for de grønlandske institutioner,
fremgår det af undersøgelsen.
