Myndighetssamarbetet Esam gjorde relativt nyligen ett uttalande som kan tolkas som att myndigheter, inklusive kommuner, bör undvika molntjänster med utländskt ägande på grund av att andra länder kan ha regler som tvingar tjänsteleverantören ifråga att överlämna information till det landets myndigheter. Och enligt Esam finns idag inget sätt att garantera att så inte sker. Visst finns det risker, men att påstå att det inte går att göra något åt riskerna är helt enkelt fel.
Felet är allvarligt då det helt i onödan kan bidra till att digitaliseringen av offentlig sektor försvåras eller helt stannar upp, vilket är precis motsatsen till vad Esam-programmet sägs vara till för. Jag har arbetat med molnsäkerhetsfrågor i många år och förstår att frågan kan vara komplex. Men när Esams jurister avråder från att använda utlandsägda molntjänster blottlägger de en häpnadsväckande brist på kunskap kring hur samhället och tekniken av idag ser ut. De allra flesta organisationer har redan en stor del anställda som använder utlandsägda molntjänster i form av lagring, samverkan, e-post, med mera. Fler förbud resulterar troligen i ännu större utbredning av fenomenet skugg-it. Därför vore det ett stort slöseri med allas tid att försöka vinna ett slag som sedan länge är över.
För det andra verkar Esam helt ha missat att det redan finns sätt att kontrollera och säkra information och data, även om den ligger i en molntjänst som ägs av en utländsk leverantör. Företaget eller myndigheten ifråga måste bara se till att göra sin hemläxa, låt mig förklara:
Alla seriösa molntjänstleverantörer krypterar den data som användare lägger där. Dessa molntjänstleverantörer har en masternyckel med vilken de skulle kunna dekryptera data. I sina avtal förbinder sig leverantörerna att skydda data från andra aktörer, men trots det finns alltså en risk, precis som Esam säger. Men även det går att förhindra genom att svenska myndigheter ser till att själva kryptera data så att de är de som kontrollerar masternyckeln.
Hur ska man då tänka med den data som redan finns i alla mejl-, lagrings- och samverkanssystem? Även här finns lösningen i form av system för att hitta data, dataklassificering, märkning av data och dataskydd. När myndigheten gjort detta en första gång och sedan ser till att följa den processen framåt, har man säkrat data genom hela livscykeln. Så myndigheter kan absolut fortsätta att utveckla sina digitaliseringsstrategier med de bästa molntjänsterna och de bästa verktygen som finns.
Sverige har ambitiösa mål för digitaliseringspolitiken – vi ska vara bäst i världen. Om svenska myndigheter följer Esams råd riskerar vi dock att bli sämst eftersom det skulle vara omöjligt att själva bygga all hårdvara, alla tjänster och tillhandahålla all den drift- lagrings- och beräkningskapacitet som andra aktörer redan har byggt upp och gjort tillgänglig. Esams jurister borde därför sätta sig in i tekniken och omformulera sina råd. De viktigaste faktorerna när det gäller molntjänster och tillgänglighet/säkerhet/
1. Vet du var din data finns?
2. Vet du vem som har åtkomst till den?
3. Kan du bevisa det och göra något åt det?
Även om svaret inledningsvis skulle vara ”nej” på samtliga frågor, finns alla möjligheter att förändra situationen. På så sätt kan svenska myndigheter se till att fortsätta kunna använda de bästa de bästa verktygen som finns och fortsätta att gå i bräschen för digitaliseringen. Som rådgivare behöver även Esam ta till sig detta. Annars kommer de att utgöra ett hinder som bidrar till att Sverige riskerar att hamna rejält på efterkälken.
Alexander Vik, ansvarig för företagstjänster i Sverige på Basefarm.
Läs också:
Expertgrupp varnar: Stora risker med känsliga data i molntjänster
Så hanterar du it-risk – utan att döda innovationen
