Limbo i molnet – nu behövs krisinsikt hos myndigheterna
Många offentliga organisationer, och då främst kommuner, har en it-verksamhet som inte uppfyller kraven i lagstiftningen, men låtsas som det regnar. Medarbetare mer eller mindre manas att inte ta upp ämnet. Samtidigt är den konkreta vägledningen från myndigheterna skral. Krafttag måste till, skriver Fia Ewald i en gästkrönika.
Fia Ewald
InformationssäkerhetsexpertFör närvarande sliter de kommunala it-cheferna sig mer i håret än vanligt. Det är molnet som skapar problem.
Molntjänster utgör en allt större del av it-försörjningen i svenska företag och förvaltning. De kommersiella molntjänsterna, främst från amerikanska leverantörer, har många fördelar. Under ideala omständigheter kan de leverera driftsäkra lösningar till bra pris och dessutom kompensera för den brist på spetskompetens som de flesta små och medelstora organisationer dras med.
För att ytterligare sockra dealen passar molntjänster det distribuerade arbetssätt som vi alltmer kommit in och kan ofta erbjuda bättre säkerhet än samma typ av lösningar i egen drift.
Hur man än gör blir det inte bra: antingen bryter man mot lagen eller så får man lösningar som man inte tycker fungerar.
Beroende av molntjänsterna
De många fördelarna har även lett till en starkt positiv inställning i utredningar, strategier och inte minst hos kommunernas it-chefer. I dag har många (de flesta?) kommuner ett mycket starkt beroende till tjänster som MS365 som även integrerats tätt med verksamhetssystemen som används för till exempel skola och omsorg.
Sedan några år har den molnfria molnhimlen dock drabbats av ett antal rejäla motgångar, så rejäla att den väg man slagit in på nu tillfälligt eller permanent blockerats. Ett grundskott för åtminstone statliga myndigheters användande av amerikanska molntjänster kom när eSam, ett myndighetssamarbete med tyngd, gjorde ett uttalande 2018. Där slogs fast att om man använder amerikanska molntjänster för sekretessreglerade data ska de anses röjda. Därefter tillkom Schrems II-domen i Europadomstolen som i dagsläget i princip omöjliggör användandet av amerikanska molntjänster för hantering där personuppgifter ingår.
Kommunerna låtsas som det regnar
Detta var en skamligt kort sammanfattning av ett mycket komplext område. Jag vill dock forcera mig fram till dagens situation där kontentan är att många offentliga organisationer, och då främst kommuner, har en it-verksamhet som inte uppfyller kraven i lagstiftningen. Hur hanterar man då den uppkomna situationen?
Jag har hört mig för hos kommunala företrädare och det tycks som en vanlig attityd är att helt enkelt låtsas som det regnar och fortsätta som förut. Några meddelar att det blivit dålig stämning och att medarbetare mer eller mindre uppfordrande manas att inte ta upp ämnet för diskussion. Istället inväntar man en lösning från ovan även om de flesta inser att en sådan inte kommer att dyka upp i närtid.
Avslöjanden om spionage
Att amerikanska myndigheter skulle avsäga sig rätten att under vissa omständigheter ta del av information som hanteras hos molnleverantörerna förefaller än mer osannolik efter den senaste tidens avslöjanden om spionage.
Snowdens avslöjande om amerikanska myndigheters omfattande insamling av europeiska medborgares personuppgifter ledde 2013 till omfattande åtgärder. Bland annat upphävdes dåvarande regelverk för transatlantistiska dataflöden och arbetet med ett europeiskt dataskyddsdirektiv inleddes. Om det går att dra slutsatser av historien så kommer kraven i relationen med amerikanska leverantörer knappast att minskas, snarare öka.
Nu behövs krisinsikt hos myndigheterna
Det finns tankar om både nationella och europeiska moln men det är inget som slängs upp i funktionsdugligt skick på ett halvår. Och slutligen skulle en migreringsprocess från en molntjänstleverantör i dag vara en tämligen avancerad övning, särskilt med tanke på de inbyggda inlåsningseffekter som finns i både avtal och teknik.
Fia Ewald är informationssäkerhetsexpert, konsult, tidigare tidigare chef för MSB:s enhet för systematisk informationssäkerhet samt fristående gästkrönikör i Altinget.
Tidigare krönikor
- Röj bort grogrunden för korruption inom SKR
Hur man än gör blir det inte bra: antingen bryter man mot lagen eller så får man lösningar som man inte tycker fungerar. Många kommuner kan varken gå framåt eller bakåt utan det som synes vara det enda alternativet är att bygga fast sig ännu mer i beroendet.
Vad ska vi då göra? Ett första steg är att få krisinsikt. Den rådande situationen är en risk på nationell nivå som inte kommer att elimineras eller ens nämnvärt reduceras på ett par års sikt. Den risken ska inte de kommunala it-cheferna ensamma behöva hantera utan myndigheter som DIGG, IMY och MSB måste samordna sig och ge konkret vägledning.
Mödosamt arbete, inte luftiga strategier
I ett längre perspektiv måste mycket mer tyngd läggas på att skapa en gemensam basstruktur för svensk offentlig it, inte minst för att innovation förutsätter en fungerande basstruktur. Den går inte att trolla fram utan det behövs ett mödosamt arkitekturarbete snarare än luftiga strategier.
I byggandet måste också hänsyn tas olika inlåsningsrisker så att även alternativa lösningar finns i beredskap. Myndigheten DIGG ”utvecklar byggblock, principer och tjänster som hjälper offentliga aktörer i deras digitalisering” men vad detta konkret gett hittills är svårt att se. Krafttag av en helt annan dimension behöver tas och det snarast.