Kan ett statligt ägt moln säkra svenska folkets data?

Idag genomfördes ett seminarium på Internetstiftelsen med rubriken “Kan ett statligt ägt moln säkra svenska folkets data?” Lokalen var till brädden fylld och det var många som inte fick sittplats.

Arrangören hade förberett tio viktiga frågor kopplade till rubriken varav flera hade direkt bäring på totalförsvaret t.ex:

  • Hur ska den IT-beroende statens förmåga upprätthållas i kristider?
  • Hur ska offentlighets- och sekretesslagen upprätthållas i molntjänster?
  • Hur ska hemliga handlingar förbli hemliga i en molntjänst?

På scenen fanns ett flertal experter från så väl offentlig sektor som från näringslivet, t.ex:

  • Daniel Melin, utredningssekreterare i Statens servicecenters utredning om en statlig molntjänst
  • Anne-Marie Eklund Löwinder, säkerhetschef, Internetstiftelsen i Sverige
  • Karl Ekman, Statens inköpscentral vid Kammarkollegiet

Allt mer data från våra liv förvaras i molnet, den typ av tjänster som använder internet och storskaliga datacenter för att lagra och göra vår information tillgänglig. Framstegen inom molnteknik har gjort det enkelt och billigt att förvara snabbt växande mängder data och göra den tillgänglig för oss när vi behöver den.

Men den mycket positiva utvecklingen har också fört med sig allt mer högljudda frågetecken kring säkerhet och integritet. Både experter och vanliga medborgare börjar i allt högre utsträckning kräva svar på hur det påverkar oss att våra företag, myndigheter och medborgare förvarar vår kritiska data på olika platser runt om i världen, långt bortom vår kontroll.

Vi har också sett ett antal skandaler där myndigheter köpt lösningar som inneburit att kritisk och i en del fall sekretessbelagd data förvarats utanför Sveriges gränser av privata företag med anställda som inte genomgått nödvändiga bakgrundskontroller. Efter dessa skandaler börjar allt fler se molntjänster som en del av vårt lands kritiska infrastruktur och som en viktig pusselbit i frågor som rör både rikets och medborgarnas säkerhet.

Med en svensk molntjänst, baserad på öppen källkod, skulle vi kunna hantera vår kritiska data utan att vara beroende av globala storföretag. Nycklarna till molnet skulle då innehas av staten och medborgarna vilket borgar för en hög tillförlitlighet.

En av slutsatserna var att det är långt ifrån säkert att staten kan skydda medborgarnas data bättre än privata sektorn. I så fall bör man plocka ut det allra mest skyddsvärda och utgå från det men låta mindre känslig information fortfarande hanteras i tjänster som levereras av t.ex. utländska leverantörer.

Det konstaterades också att dagens höga interdependens innebär att det inte alls är säkert att vare sig centralisering eller decentralisering är lösningen på skyddsfrågan. Därmed är det lite oroande att inriktningen är att staten skall minska antal datacenter  från dagens 200 till ca 20. Den styrningen är inte genomtänkt eftersom den enbart ser till kostnadsrationalitet men inte till helheten. Det kan visa sig att besparingen äts upp av en rad kostnadsdrivande skydds- och redundanslösningar.

Helt klart är att outsourcing och hög exponering mot utländska tjänsteleverantörer är under granskning, något som även berör amerikanska leverantörer med hänvisning till “the Patriot act”.

 

 

Säkerhetspolisen och Försvarsmakten får rätt att stoppa upphandlingar

Från och med i dag är statliga myndigheter skyldiga att samråda med Säkerhetspolisen och Försvarsmakten inför utkontraktering av viss säkerhetskänslig verksamhet. Det här tillvägagångssättet förstärker skyddet av de mest skyddsvärda verksamheterna i samhället.

De nya bestämmelserna som träder i kraft i dag medför att myndigheter som planerar att inleda en upphandling som innebär krav på säkerhetsskyddsavtal blir skyldiga att samråda med Säkerhetspolisen och Försvarsmakten innan en upphandling påbörjas. Skyldigheten gäller om en framtida leverantör kan få tillgång till eller möjlighet att förvara hemliga uppgifter utanför myndighetens lokaler. Flera hundra upphandlingar per år kommer nu att genomgå en mer rigorös kontroll.

Säkerhetspolisen och Försvarsmakten får förelägga myndigheten som ska utkontraktera verksamhet att vidta åtgärder för att säkerställa säkerhetsskyddet i sådana situationer. Om ett föreläggande inte följs eller om säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får Säkerhetspolisen eller Försvarsmakten besluta att myndigheten inte får genomföra upphandlingen.

De nya bestämmelserna gäller från den 1 april 2018.

Säkerhetspolisens pressmeddelande: http://www.sakerhetspolisen.se/ovrigt/pressrum/aktuellt/aktuellt/2018-03-28-sakerhetspolisen-far-nytt-uppdrag-inom-sakerhetsskydd.html