Esams rapport om myndigheters sekretess och det utländska molnet har slagit ner som en bomb bland våra upphandlande myndigheter. Att lägga sekretessbelagd information i fel moln kan i sig vara ett sekretessbrott, enligt Esams experter. Räcker det inte med att kryptera allting så att det förblir hemligt? Självklart är det bättre om uppgifterna är krypterade, men så fort de används i en applikation kan de dekrypteras och avlyssnas av främmande makt.
Personalen är det största hotet
Det största hotet mot sekretessen är varken hackare eller laglig och olaglig spaning från främmande makt. Det största hotet är den egna personalen. I en undersökning stod personalen för runt 80 procent av sekretessbrotten. Oftast män och oftast i samband med att en anställning tog slut. Det innebär att det inte finns några genvägar, som exempelvis att undvika utländska moln, för att uppnå säkerhet och sekretess hos en myndighet.
Informationssäkerhet är inget som går att bygga på i efterhand. Det enda sättet att uppnå fullgod säkerhet är att bygga in den från början. Sedan måste den fortsätta att utvecklas i takt med att hoten utvecklas.
Oavsett hur väl du har skyddat dig så kommer du att bli hackad. Du kommer att läcka data. Eller faktiskt, du är redan hackad och du läcker redan data. Det går inte att bygga en säkerhetslösning baserad på tanken att den inte kan forceras, överlistas eller kringgås.
Tillitsfri säkerhet
Applikationer måste vara byggda för att fungera robust även i en opålitlig miljö. Bitcoin bygger på en ”okänd” infrastruktur med erkänt opålitliga användare – ofta kriminella, sägs det – men fungerar ändå.
Uppgifter som aldrig har samlats in kan inte heller läcka. Visst kan man tänka sig att någon uppgift är bra att ha i framtiden. Kanske går det att använda big data och AI för att analysera och komma fram till slutsatser. Men ofta är det minst lika bra att använda statistiska metoder och stickprover för att hitta nya samband.
It-säkerhetsproblemet med Transportstyrelsens omtalade outsourcing av it-driften var begränsat till en mycket liten del av datat som var sekretessbelagt. Det mesta datat är tillgängligt online via API:er. Om man hade haft en modernare applikationsarkitektur hade man skiljt ut hemliga uppgifter och lagrat och behandlat dem separat. Då hade outsourcingen aldrig behövt bli ett problem.
Jag skulle kunna fortsätta att räkna upp sätt att göra verksamheter och applikationer säkra. Men sanningen är att det inte finns och aldrig kommer att finnas en uttömmande lista på hur man ska göra för att skydda sig.
Inbyggd säkerhet
Säkerhet får aldrig vara baserad enbart på att någon uppgift ska hållas hemlig. Så kan man använda det utländska molnet då? Svaret är att det beror på. Ett välskött system behöver ha säkerheten inbyggd från början baserat på insikten att vi lever i en osäker värld. Bara för att det är lagligt för myndigheterna i andra länder att avlyssna vissa servrar så betyder det inte att andra servrar inte är avlyssnade.
Läs också:
Digitaliseringen förändrar konsultinköpen – det krävs av dig som köpare
Digitalt ska vara snabbt – tre tips för bättre interna processer
Befattning: Chefsarkitekt
Linkedin: Greger Wikstrand
Twitter: @gregerwikstrand
E-post: g.wikstrand@cgi.com
Hemsida: www.gregerwikstrand.com
Företag: CGI
Expertområden: Molnet, lösningsarkitektur, e-/m-hälsa, telekommunikation, digital transformation och agil mjukvaruutveckling.
Certifieringar: TOGAF 9
Bakgrund: Teknologie doktor i datavetenskap, har forskat om prestanda, applikationer, den mänskliga faktorn, trådlösa nätverk och deras samspel samt publicerat ett 20-tal vetenskapliga artiklar. Mer än tio års erfarenhet inom it-branschen, främst som lösningsarkitekt.
