Det är bra att det nu förs en mer saklig debatt kring de faktiska riskerna med molntjänster, för såväl enskilda verksamheter som för myndigheter. Esams rättsliga uttalande är i detta ett välkommet inslag och reflekterar en ökad medvetenhet från myndigheternas sida om de hot som riktas mot vårt samhälle som följd av den ökade digitaliseringen. Det är naivt att som Basefarms försäljningsdirektör Alexander Vik tro att Esams jurister handlar i ett it-säkerhetsmässigt kunskapsvacuum.
Hoten från elektroniskt drivna angrepp och underrättelseverksamhet i molntjänster har under lång tid blundats för. De nyttor molntjänster av olika slag medför är betydande, och ska naturligtvis omhändertas i möjligaste mån. Men dessa molntjänster lämpar sig knappast för alla typer av verksamheter.
Esam pekar i detta på verksamheter som behandlar uppgifter som omfattas av sekretess enligt Offentlighets- och Sekretesslagen (2009:400), och uttalar att sådana uppgifter i lagens mening röjs redan genom att uppgifter görs tillgängliga för leverantören. Det är en logisk följd av att det alltid kommer finnas personal vid leverantören som har möjlighet att ta del av uppgifterna. Att som Vik skriver inrätta system för att klassificera uppgifter och märka upp dem gör det som bäst enklare för leverantörens personal att finna de uppgifter som ska lämnas ut vid en begäran från den utländska myndigheten. Det är inga åtgärder som påverkar säkerheten i förhållande till dessa hot.
Inte heller är sådana krypteringsåtgärder som Vik pekar på effektiva. Att uppgifter är krypterade i vilande tillstånd förändrar inte tjänsteleverantörens förmåga att komma åt dem, då de per definition och med automatik måste behandlas i klartext i den aktuella tjänsten.
Den ökade koncentrationen till ett fåtal företag som tillhandahåller molntjänster till såväl myndigheter som enskilda är också problematisk. Det leder till stora ansamlingar av såväl nyttoinformation som drift- och säkerhetsrelaterad information, och möjliggör helt nya sammanställningar av tämligen känslig art.
Utöver frågan om sekretess finns även frågor om samhällets sårbarhet när många viktiga verksamheter använder samma hårt centraliserade tjänster. Den 1 april 2019 träder den nya säkerhetsskyddslagen (2018:585) i kraft. I den nya lagstiftningen vidgas tillämpningsområdet till att omfatta alla former av säkerhetskänslig verksamhet, även sådana som inte behöver skydd från ett sekretessperspektiv.
Riskerna med molntjänster kan därför inte viftas bort på det sätt som Vik försöker göra. Istället måste Vik och hans branschkollegor fundera över hur de ska kunna erbjuda sina tjänster även till säkerhetskänslig verksamhet och verksamheter som behandlar uppgifter som omfattas av sekretess, samtidigt som behovet av informationssäkerhetsskydd tillgodoses.
Sveriges största event inom digitala affärer är tillbaka! Webbdagarna Stockholm 19-20 mars. Boka nu!
Det omfattar att ge kunden såväl fysisk kontroll som fullständig kontroll över bland annat kommunikationsströmmarna och behörighetsstyrningen i de aktuella systemen. Det kan innebära myndighetsgemensamma moln, där utrustningen installeras i myndigheternas driftanläggningar, där plattforms- och tillämpningssystem istället licensieras ut till kunden och där leverantörens möjligheter att kringgå säkerhetskontrollerna elimineras. Detta medför förstås stora men nödvändiga förändringar för de företag som framgent ska vara relevanta inom detta område.
Inte bara Cloud Act
Cloud Act och Foreign Intelligence Surveillance Act (FISA) är bara två av många lagar som gör att problemet med röjande i molntjänster är komplext. Här kan också nämnas ett förslag till EU-förordning om tillgång till e-bevisning inom EU och den genomgång som görs i SOU 2017:100 av regler i andra länder enligt vilka undersökning kan ske på distans. Ny lagstiftning i Australien är också av intresse enligt vilken företag som tillhandahåller tjänster i molnet blir skyldiga att bygga in funktioner för att myndigheter ska få tillgång till krypterade meddelanden.
Listan kan göras längre, men är här tillräcklig eftersom en svensk myndighet enligt 8 kap. 3 § offentlighets- och sekretesslagen får röja en sekretesskyddad uppgift för en utländsk myndighet endast om uppgifterna i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten. Används här diskuterade molntjänster skulle den svenska myndigheten inte ens känna till att en fråga om utlämnande har aktualiserats.
Fredrik Ljunggren, informationssäkerhetskonsult på Kirei
André Catry, Lead Principal Security Consultant på Nixu
