I ungefär samma veva som GDPR började gälla i Sverige, klubbades Cloud Act igenom i USA. Två lagar som ger våra kunder och dess verksamheter både tekniska och juridiska utmaningar att förhålla sig till i sitt digitaliseringsarbete. Vi på Savecore arbetar dagligen med dessa frågeställningar och har nedan samlat relevant information kopplat till vårt ställningstagande.

Gryningen av Cloud Act och dess utmaningar

Cloud Act, 23 mars 2018, innebär att amerikanska leverantörer som lagrar information i molntjänster – vare sig inom eller utom landets gränser – inte längre kan vägra att lämna ut känsliga kunddata när Storebror knackar på. Detta innebär att amerikanska myndigheter kan begära ut kunduppgifter av en amerikansk molnleverantör som arbetar med myndigheter i Sverige, i ett scenario att den svenska myndigheten använder sig av dessa molntjänster. Varken svenska eller europeiska lagar gäller i det fallet. Det blir därmed mer angeläget för svenska organisationer att arbeta proaktivt och analysera vad som är känslig och sekretessbelagd information när de väljer var den ska lagras.

Savecores relation till Cloud Act

Anders Nordlander, informationssäkerhetskonsult på Savecore, informerar om att vi på Savecore är medvetna om Cloud Act och arbetar dagligen med dessa frågor.

– Vi på Savecore är medvetna om dessa utmaningar som vi och våra kunder står inför rent juridiskt utifrån gällande lagstiftningar kring säkerhet, digitalisering och teknik. Med hjälp av standardlösningar som etableras på marknaden – molntjänster – ökar både kvalité och trygghet samtidigt som det uppstår nya möjligheter och utmaningar. Vi har dagliga dialoger i våra uppdrag med såväl kunder som leverantörer kring GDPR och Cloud Act. Främst måste vi förhålla oss till detta i våra paketerade tjänster i vårt egna datacenter och i avtal med kunderna kring exempelvis ”Backup-as-a-Service”.

Juridiska expertgruppen eSams ställningstagande

eSams (eSamverkansprogrammet) skapades 2015 och är ett program som drivs av sina medlemmar. eSams juridiska expertgrupp ser risker i svenska myndigheters användande av molntjänster. De antyder risken att en molnleverantör som går under utländsk lag kan lämna ut sekretessreglerade uppgifter.

– Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger eSam i en artikel.

Tolkningar av eSams uttalande

– Det går inte att använda amerikanska molntjänster för sekretessreglerade data – utan att dessa ska betraktas som röjda. Undantaget är om krypteringen är tillräckligt stark, något som visat sig väldigt svårt att få till, är en tolkning av eSams uttalande som Computer Sweden har gjort i sin artikel.

Andra tolkningar har även gjorts. I en artikel på ST-bloggen uttrycker de sin uppfattning av eSams uttalande.

– Slutsatsen av uttalandet kan knappast vara annan än att det nu sätts stopp för användningen av molntjänster inom statliga myndigheter.

eSams rekommendation

eSam rekommenderar medlemmarna att analysera informationen noggrant innan de lägger den i molntjänsten.

– Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser.

Kritik från fackförbundet ST

I artikeln på ST-Bloggen menar de att det leder till ett ohållbart arbete om man ständigt ska bedöma informationen.

– En myndighet kan i och för sig välja att lagra information som är sekretessreglerad eller innehåller personuppgifter lokalt samt lagra övrig information i en molntjänst. Detta kommer dock kräva att alla som arbetar på en myndighet varje gång de ska spara något måste göra en bedömning av om informationen kan omfattas av sekretess […] Att som anställd ständigt tvingas göra sådana bedömningar, i många fall flera gånger varje arbetsdag, skapar en ohållbar arbetssituation.

Det nya larmet om Microsoft Office 365

I mitten av november i år kungjordes det av nederländska Privacy Company att Microsoft samlar in data via Office 365-paketet, vilket tidigare inte varit känt hos allmänheten. I deras blogginlägg skriver de att “Microsoft samlar och lagrar stor mängd personliga data om anställdas enskilda beteenden, utan offentlig dokumentation”. Datainsamlingen sker främst från Word, PowerPoint, Excel och Outlook. Problemet ligger i att dataströmmen är krypterad och att Microsoft-användarna inte ges möjlighet att acceptera eller stänga av insamlingen, reglera mängden data, och heller inte se vilken data som samlas in.

Amerikanska jättar öppnar i Sverige – möjlighet eller utmaning?

Amazon Web Services öppnar datacenter i Västerås, Katrineholm och Eskilstuna, Facebook utökar sitt datacenter i Luleå och mycket tyder på att Google öppnar datacenter i Dalarna. Amazon Web Services, Google Drive, Microsoft Office 365, OneDrive, SharePoint och så vidare. Vad detta innebär måste man som verksamhet analysera för egen del. Detta ser vi på Savecore som en spännande framtid, och vi kan hjälpa er.

Hur ska vi förlita oss på molntjänster?

I en artikel på Voister menar Sveriges Kommuner och Landsting (SKL) att man ständigt måste göra en riskbedömning. De uttrycker att det inte finns någon anledning att sluta använda molntjänster, utan snarare att de är viktiga för digitaliseringen.

– Oavsett vilket alternativ man använder för att lagra information är det helt avgörande att göra en omfattande riskbedömning enligt verksamhetens och invånarnas behov och gällande säkerhetsklassning. Det gäller även mot befintliga molntjänster. Den nuvarande rättsliga osäkerheten kan innebära att utvecklingen är på väg mot ett nytt håll och det bör alla vara medvetna om och utgå från i sitt säkerhetsarbete.

SKL fortsätter med att berätta att en utbildning för offentlig sektor om strukturerat säkerhetsarbete gemensamt med MSB, Myndigheten för samhällsskydd och beredskap, samt Försvarshögskolan kommer att tas fram. SKL ska gå vidare med vad Cloud Act innebär för deras medlemmar och vad amerikanska molnleverantörer måste göra för att inte behöva lämna ut uppgifter till deras myndigheter.

Savecores ställningstagande

Anders berättar att Savecore står inför varierande kravbilder beroende på kunduppdrag och rådande lagar.

– I de konsekvensbedömningar vi gör på våra kunders data, måste vi för varje kunduppdrag hantera allt från ”känsliga personuppgifter” till ”företagshemlig information” i våra egna och våra kunders digitala miljöer. Det ger oss även varierande kravbilder att förhålla oss till vad gäller lagar och förutsättningar både i Sverige och globalt.

Vidare menar Anders att man ska se möjligheterna först.

– Med det perspektivet strävar vi efter att öka förtroendet för molntjänster och möjligheter kring digitalisering och utveckling. Genom att aktivt arbeta med informations- och riskanalyser och dessa säkerhetsfrågor tillsammans med våra kunder och leverantörer ser vi ljust på framtidens möjligheter, med Artificiell Intelligens (AI) och fortsatt digitalisering.

Avslutningsvis uppmanar Anders dig som kund att göra en informationssäkerhetsstrategi.

– Drivkrafter som ökad tillgänglighet och ökad automatisering behöver vägas mot hotbilder. Eftersom det är upp till varje kund och verksamhet att se möjligheterna i relation till risker så uppmanar vi till att skapa en handlingsplan för informationssäkerhet. Vi på Savecore står redo att hjälpa er på den resan. Kontakta oss på savecore.se.

Läs mer:

3 steg för säker förvaring av data
https://savecore.se/3-steg-saker-forvaring-av-data/

Välj rätt molntjänst
https://savecore.se/valj-ratt-molntjanst/

Den IT du behöver – när du behöver den
https://savecore.se/den-it-du-behover-nar-du-behover-den/

Källor:

Di Digital, 2017-04-04.
https://digital.di.se/artikel/amazon-oppnar-tre-datacenter-i-sverige (hämtad 2018-11-22 kl. 16.17)

Ny Teknik, 2018-05-08.
https://www.nyteknik.se/digitalisering/facebook-storsatsar-i-lulea-dubblar-storleken-pa-datacenter-6913318 (hämtad 2018-11-22 kl. 16.20)

eSam, 2018-11-12.
http://www.esamverka.se/nyheter/nyheter/2018-11-12-esam-ser-risker-med-molntjanster-i-offentlig-sektor.html (hämtad 2018-11-20 kl. 08.42).

Privacy Company, 2018-11-13.
https://www.privacycompany.eu/en/impact-assessment-shows-privacy-risks-microsoft-office-proplus-enterprise/ (hämtad 2018-11-20 kl. 09.32).

Voister, 2018-11-14.
https://www.voister.se/artikel/2018/11/skl-litar-pa-molnet/?fbclid=IwAR0htAqR4sdbSiEpJo1DMG_zrOYwYhbTNP36TdRKcl1RL-18AuwMcDd9QTs (hämtad 2018-11-20 kl. 10.51).

ST-bloggen, 2018-11-14.
https://stbloggen.se/en-molnfri-framtid-i-staten/ (hämtad 2018-11-20 kl. 16.05).

Computersweden, 2018-11-16.
https://computersweden.idg.se/2.2683/1.710293/utlandska-moln-data (hämtad 2018-11-20 kl. 10.14).

Computersweden, 2018-11-16.
https://computersweden.idg.se/2.2683/1.710433/microsoft-spionerar-office-365 (hämtad 2018-11-20 kl. 16.05).

eSam.
http://www.esamverka.se/om-esam.html (hämtad 2018-11-20 kl. 16.07).