2021-05-06

Grönt ljus för molntjänster

Har vi eller kommer vi nånsin få grönt ljus för molntjänster och i så fall hur? Läs detta inlägg och se vad jag tror och tycker.

Carl-Johan Ekelund
Carl-Johan Ekelund
Concept Manager

Moln och molntjänster. Plattform, infrastruktur och mjukvara som tjänst i moln. Privata moln, hybrida moln och publika moln. Svenska moln, moln inom EU/EES, moln utanför EU/EES i länder med adekvat skyddsnivå och moln utanför det.

Det finns många olika slags moln med olika förutsättningar och innehåll, juridik respektive vad de kan ge för nytta skiljer sig åt. Ett moln kan också, rent fysiskt, finnas i ett land och stå under ett annat lands lagstiftning.

Det är inte helt lätt det här med moln, förutom att använda dem!

Det vi kan konstatera är att molnen finns där av en anledning och det är nytta för den som konsumerar i dem. Nyttan ger att konsumenten/kunden får tid över till sin kärnverksamhet och blir effektivare. Behovet av denna nytta kan komma från olika håll men ökad konkurrenskraft på en globaliserad marknad är en. En annan, högst aktuell för offentlig sektor, är att nyttja budgeten mer effektivt och göra mer för mindre eller samma pengar.

Ett av de hetare samtalsämnena under det senaste året sen Schrems II-domen föll sommaren 2020, är om och hur amerikanska molntjänster med svenska personuppgifter i är juridiskt möjliga att konsumera. Många kastar ju lystna blickar mot Microsofts, Amazons och Googles tjänster för att hänga med i digitaliseringen. Gissningsvis står andra företag från andra delar av världen snart i receptionen och knackar på.

I början av året kom den svenska IT-driftutredningen med ett delbetänkande som juridiskt förtydligade vad som gäller för moln och speciellt för offentlig sektor. Nu i dagarna kom Skatteverkets besluts-PM och Addas (fd SKL Kommentus) vägval som styr bort från Microsofts molntjänster. Allt detta sammantaget gör att det finns en osäkerhet kring huruvida det är möjligt att använda molntjänster.

Rubriken - Grönt ljus för molntjänster - vad är den, en fråga eller ett påstående?

Det beror på, som juristen skulle ha sagt. Utan frågetecken blir det ett påstående, med ett utropstecken kanske en provokation för vissa. Låt oss hålla det till en retorisk frågeställning så länge och samtidigt komma ihåg att ett moln i grund och botten är ”någon annans dator”.

Som en företrädare för informationssäkerhetsskrået så vill jag gärna prata risk där även sannolikhet får speltid och då blir det mer en diskussion i gråskala – hur sannolikt är det att något inträffar och vad får det för konsekvens? Ja, det beror ju på många olika saker, till exempel hur skyddsvärd information och system är, exponering av dessa och hur effektiva befintliga säkerhetsåtgärder är. Tar vi sen hänsyn till befintlig riskexponering så kan en molnflytt ses som riskhantering där den totala riskenbilden minskar.

Kort sagt, jag anser att vi ska ta välgrundade beslut baserade på risk och vi ska självfallet vara rädda om våra guldägg men allt är inte Fabergé. Tar vi personuppgifter så finns det ju rätt mycket svenska sådana publikt tillgängliga på diverse sidor på nätet, en hel del går dessutom att begära ut från offentlig verksamhet. Låt oss kalla dessa "kataloguppgifter". 

Det som är viktigt är att just du som äger och ansvarar för informationen tar ett medvetet och välgrundat beslut om hur din information lagras och behandlas samt vilka risker du tar. Det finns inget som är riskfritt.

Apropå risker, ta även med i beslutet den riskexponering ni har idag och jämför med det ni kan få. Den nya exponeringen kan vara annorlunda men mer tilltalande än den ni har idag och det är din riskaptit som ska styra.

Så, som återkoppling till rubriken, kommer vi då få ett grönt ljus till molntjänster? Min åsikt och starka tro är att vi aldrig kommer få det och att vi inte ska få det. Vi ska alltid tänka först och göra sen med hjälp av förarbeten med arkitektur, nyttoanalyser, informationssäkerhetsanalyser osv., för att hitta ”sweetspoten” mellan teknik, juridik, verksamhetsnytta, verklighet, ekonomi och allt annat. Det ska vara grått, oavsett molntjänst, även de svenska i Sverige.

 

Slutsats - ska du konsumera molntjänster så gör det med koll, strutsa inte med huvudet i sanden utan tänk först och gör sen så får du fram färgkoden i gråskalan.