I förra veckan uttalade sig Försvarets Radioanstalt, FRA, kritiska till att allt fler myndigheter väljer molntjänster. Säkerhet, utarmning av kompetens på IT-området inom staten och risken för att förlora kontrollen över, och tillgången till, datan var tre starka argument från FRA:s sida. Lösningen som FRA presenterade är att ett stort statligt moln skapas, dit svenska offentliga organ och myndigheter kan lägga ut sin it-drift.
Läs också: ”Sänk elskatten så kan datacenter bli en svensk miljardindustri”
Jag håller delvis med FRA och Cecilia Laurén om problemställningen. Men däremot inte om förslaget till lösning. Ett statligt moln skulle aldrig kunna mäta sig vare sig tekniskt eller säkerhetsmässigt med den utveckling som privata aktörer på den globala molntjänstmarknaden driver. Säkerhetsmässigt kan det bli mycket sårbart om staten har en stor del data samlad på ett och samma ställe. Dessutom skulle det sannolikt bli väsentligen mycket dyrare för staten att driva ett eget moln, än att köpa in motsvarande tjänster.
Den svenska staten har alltid legat långt fram i att adoptera lösningar som förenklat tjänsteanvändningen för medborgarna. Och i många fall skulle jag påstå att man är världsledande vad gäller olika så kallade e-tjänster, vilket också bekräftas av nyligen publicerade EU-rapporten Digital Economy and Society index där Sverige placerar sig bland de högsta i Europa. Så för att kunna bibehålla både innovationsgraden och säkerhetsnivån så är lösningen i stället att i större utsträckning använda molntjänster från flera olika leverantörer.
Vad man däremot borde göra från statligt håll är att skapa ett tydligt och transparent ramverk för hur relationen mellan statliga verksamheter och molntjänstleverantörer ska se ut. Då skulle staten kunna säkerställa att leverantörerna uppfyller statens krav på säkerhet och tillgänglighet. Det viktiga är att riktlinjerna är tydliga och transparenta och inte ger föremål för olika tolkningar. Det kan gälla saker som loggar, audits och inte minst administrativa frågor som var datan är lagrad och varifrån och av vem den administreras. Här är det amerikanska initiativet FedRAMP ett bra exempel på att vägleda och standardisera upphandlingsförfarandet av molntjänster.
Läs också: ”Dags för myndigheterna att sluta utreda och ta klivet in i molnet”
Utöver säkerhet och kontroll uttryckte FRA också en oro över att IT-kompetensen urholkas inom staten om stora delar outsourcas. Den oron är obefogad och istället måste staten göra som stora delar av det privata näringslivet gör, där man inom en rad områden har satsat på ett bygga upp en riktigt professionell och duktig beställarorganisation. För statens del kunde man också tänka sig att det fanns en kontrollinstans som har möjligheten att granska att avtalens efterlevs.
Så mitt budskap till FRA och övriga berörda organ och myndigheter, är att omgående initiera arbetet med att sätta upp ett ramverk för hur relationerna mellan staten och oss molntjänstleverantörer ska se ut. Det skulle vara välkommet inte bara för att säkerställa att Sverige inte halkar efter i innovationskraft, utan också för att underlätta för oss leverantörer att veta att vi gör rätt. Egna, slutna och statligt ägda lösningar är knappast en modell i tiden för Sverige 2016!
Johan Christenson
vd och grundare, City Network
