Under de senaste veckorna har det diskuterats mycket om riskerna för svensk offentlig sektor med att lagra data i utländska molntjänster. Lagstiftningen i bland annat USA, Ryssland och Kina innebär att deras myndigheter på laglig väg kan begära ut sekretessbelagd och extremt känslig data som lagras av svenska myndigheter utan att svenska myndigheter involveras. eftersom företag i dessa länder omfattas av extraterritoriella lagar och då spelar det ingen roll att de har svenska dotterbolag eller svenska datacenter.
Men den som gräver lite djupare ser ytterligare, minst lika allvarliga utmaningar med många av dessa utländska molntjänster. De flesta av dessa leverantörer använder nämligen proprietär teknik i sina molnlösningar. Proprietär teknik är byggd på stängd och oftast hemlig källkod, som ingen utanför företaget känner till eller har tillgång till vilket innebär att det är mycket svårt att hitta säkerhetshål, eller detektera bakdörrar som kan ha installerats av främmande makt i underrättelsesyfte. Alternativet är att använda öppen källkod, en metod där alla kan granska och använda den källkod som används för att leverera tjänsten oberoende av vem som äger själva källkoden. Lösningar baserade på öppen källkod i svenska datacenter gör det enklare att hitta säkerhetshål och datat kommer också att vara bättre skyddat då man har full kontroll, både fysiskt och virtuellt.
I och med att många av dessa utländska molnleverantörer använder hemlig källkod och proprietära protokoll i sina molnlösningar, skapas också extrema inlåsningseffekter. Om någon utländsk leverantör skulle hamna på ekonomiskt obestånd, kan det bli svårt för svenska myndigheter att få ut sin data, eftersom koden och datan sitter fast i det utländska företaget utom kontroll för svenska myndigheter. Man är då helt utlämnad till det andra landets lagstiftning när det gäller möjligheten att komma åt sina tillgångar. För det mesta går detta förvisso bra och konkursförvaltningen sker under ordnade former, men vid kriser, handelsembargon m.m. kan ingen säga med säkerhet att en utländsk molnleverantör inte kopplas bort från internet på ett ögonblick. Har svenska myndigheter dessutom utvecklat program och tjänster direkt mot det utländska företagets proprietära API blir kostnaden för att skriva om alla dessa program och tjänster enorm. Det kommer på sikt leda till att miljarder av skattebetalarnas kronor kommer att hamna i utlandet istället för att gå till vård, skola och omsorg.
Försäkringskassan och andra har på ett mycket kompetent och framåtblickande sätt lyft fram de allvarliga utmaningar som finns kring att låta utländska molnleverantörer hantera data från det offentliga Sverige. Det är en viktig diskussion där svensk lagstiftning undergrävs av lagstiftningen i dessa molnleverantörers hemländer. Men som vi visar ovan så finns det ännu fler risker kopplat till detta, och därför är det viktigt att vi också diskuterar lämpligheten i att svensk offentlig sektor väljer aktörer som bygger sina lösningar på stängd och hemlig källkod.
Därför räcker det alltså inte att svensk offentlig sektor framöver väljer enbart europeiska eller svenska molnleverantörer för att komma runt utmaningen med problematisk utomeuropeisk lagstiftning, om det som alternativen erbjuder är byggt på stängd källkod. Det är minst lika viktigt att de väljer leverantörer som bygger sina lösningar på öppen källkod, och det måste nu också belysas i debatten. Annars kommer säkerhets- och inlåsningseffekter med den tillhörande riskexponeringen att fortfarande vara orimligt hög för svenskarnas data.
Öppen källkod är teknikens direkta svar på den demokratiska processen där varje individ kan vara med och bidra till vårt gemensamma bästa. Därför bör slagropet och direktivet för alla offentliga verksamheter i framtiden vara ”open first” då våra offentliga tjänster, liksom vår öppna källkod är allas vår egendom.
Daniel Byström, ansvarig för stiftelsen Nordix
Läs även:
”Onödigt polariserat” – nu utreder regeringen offentlig sektors molnstrid
Myndigheterna fast i molnlimbo. Hur ska de nu ta sig vidare?
