Idag genomfördes ett seminarium på Internetstiftelsen med rubriken “Kan ett statligt ägt moln säkra svenska folkets data?” Lokalen var till brädden fylld och det var många som inte fick sittplats.
Arrangören hade förberett tio viktiga frågor kopplade till rubriken varav flera hade direkt bäring på totalförsvaret t.ex:
- Hur ska den IT-beroende statens förmåga upprätthållas i kristider?
- Hur ska offentlighets- och sekretesslagen upprätthållas i molntjänster?
- Hur ska hemliga handlingar förbli hemliga i en molntjänst?
På scenen fanns ett flertal experter från så väl offentlig sektor som från näringslivet, t.ex:
- Daniel Melin, utredningssekreterare i Statens servicecenters utredning om en statlig molntjänst
- Anne-Marie Eklund Löwinder, säkerhetschef, Internetstiftelsen i Sverige
- Karl Ekman, Statens inköpscentral vid Kammarkollegiet
Allt mer data från våra liv förvaras i molnet, den typ av tjänster som använder internet och storskaliga datacenter för att lagra och göra vår information tillgänglig. Framstegen inom molnteknik har gjort det enkelt och billigt att förvara snabbt växande mängder data och göra den tillgänglig för oss när vi behöver den.
Men den mycket positiva utvecklingen har också fört med sig allt mer högljudda frågetecken kring säkerhet och integritet. Både experter och vanliga medborgare börjar i allt högre utsträckning kräva svar på hur det påverkar oss att våra företag, myndigheter och medborgare förvarar vår kritiska data på olika platser runt om i världen, långt bortom vår kontroll.
Vi har också sett ett antal skandaler där myndigheter köpt lösningar som inneburit att kritisk och i en del fall sekretessbelagd data förvarats utanför Sveriges gränser av privata företag med anställda som inte genomgått nödvändiga bakgrundskontroller. Efter dessa skandaler börjar allt fler se molntjänster som en del av vårt lands kritiska infrastruktur och som en viktig pusselbit i frågor som rör både rikets och medborgarnas säkerhet.
Med en svensk molntjänst, baserad på öppen källkod, skulle vi kunna hantera vår kritiska data utan att vara beroende av globala storföretag. Nycklarna till molnet skulle då innehas av staten och medborgarna vilket borgar för en hög tillförlitlighet.
En av slutsatserna var att det är långt ifrån säkert att staten kan skydda medborgarnas data bättre än privata sektorn. I så fall bör man plocka ut det allra mest skyddsvärda och utgå från det men låta mindre känslig information fortfarande hanteras i tjänster som levereras av t.ex. utländska leverantörer.
Det konstaterades också att dagens höga interdependens innebär att det inte alls är säkert att vare sig centralisering eller decentralisering är lösningen på skyddsfrågan. Därmed är det lite oroande att inriktningen är att staten skall minska antal datacenter från dagens 200 till ca 20. Den styrningen är inte genomtänkt eftersom den enbart ser till kostnadsrationalitet men inte till helheten. Det kan visa sig att besparingen äts upp av en rad kostnadsdrivande skydds- och redundanslösningar.
Helt klart är att outsourcing och hög exponering mot utländska tjänsteleverantörer är under granskning, något som även berör amerikanska leverantörer med hänvisning till “the Patriot act”.