Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Molnet hotar sekretessen

Nu rekommenderar Esam att förvaltning och myndigheter noga ser över sin outsourcing av molntjänster. Enligt ett nytt rättsligt uttalande bör sekretessbelagda uppgifter, under vissa omständigheter, anses som röjda om molntjänsten ägs av utländska aktörer. Det gäller även krypterad information.

Text anne hammarskjöld Foto adobestock 12 november 2018 säkerhet

molnet-hotar-sekretessen.jpg

– Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman som leder Esams juridiska expertgrupp om ett nypublicerat rättsligt uttalande om röjande och molntjänster, VER 2018:57.

Esams checklista för molntjänster

Esam rekommenderar att organisationer genomför de olika stegen i checklistan man fattar beslut om och på vilket sätt en molntjänst kan användas för avsedda verksamheter och informationsmängder.

Checklistan är framtagen av Esams expertgrupp för säkerhet och Esams expertgrupp för juridik.

Checklista

  • Har ni analyserat verksamhetens behov? (Verksamhetsanalys)
  • Har ni bedömt rutiner och arbetsinsatser för att hålla sekretessreglerade uppgifter eller uppgifter med hög säkerhetsklass utanför? (Säkerhetsskyddslagen)
  • Har ni analyserat de rättsliga kraven? Finns det rättsliga förutsättningar för att kunna nyttja en molntjänst? (Rättslig analys)
  • Har ni värderat vilken betydelse och vilket värde den information som ska behandlas i molntjänsten har för verksamheten? (Informationsklassning)
  • Vilka risker finns det för verksamheten att nyttja tilltänkt molntjänst, vilka risker finns det kopplat till den informationsbehandling som man tänkt göra i molntjänsten (Riskbedömning1)
  • Vilka funktionella och icke-funktionella krav behöver verksamheten ställa för molntjänsten samt leverantören av molntjänsten utifrån det som framkommit av verksamhetsanalys, rättslig analys, informationsklassning, riskbedömning?
  • Hur ska verksamheten arbeta med uppföljning och leverantörsstyrning kopplat till molntjänsten?
  • Har ni gått igenom avtalet och förstått innebörden av avtalsvillkoren, exempelvis om villkoren ensidigt kan ändras av leverantören?
  • Finns en strategi för att i framtiden kunna lämna tilltänkt molntjänst. (Exitplan)

Källa: Esam

Esam, Esamverkansprogrammet för 23 myndigheter och SKL, har sedan i våras arbetat med frågan om hur det offentliga kan använda sig av molntjänster utifrån säkerhets- och sekretesslagstiftning, och vilka rekommendationer som eSam kan ge sina medlemmar och andra aktörer i offentlig sektor.

Tre år av förändring

Det är tre år sedan som Esams juridiska expertgrupp bedömde att uppgifter inte ska anses röjda i offentlighets- och sekretesslagens mening om tjänsteleverantören enligt avtal inte får ta del av eller vidarebefordra uppgifterna, och det är osannolikt att något sådant sker även givet andra omständigheter.

Sedan dess har mycket hänt. Bland annat har USA infört den så kallade Cloud Act som gör det möjligt för federala myndigheter att ta del av information på servrar i andra länder. Det innebär att sekretessreglerade uppgifter kan lämnas ut även om själva lagringen sker inom EU:s gränser.

En annan faktor bakom Esams nya rekommendationer är att molntjänster erbjuds av företag som har servrar i olika länder. Det innebär att informationen kan finnas sparad, speglad, i flera länder och snabbt kan flyttas mellan olika jurisdiktioner samt vara åtkomlig via nät.

Hot mot nationens intressen

Esam framhåller att det även finns företag som erbjuder molntjänster där ägarförhållandena eller den geografiska placeringen av de tekniska hjälpmedlen ger skäl att ifrågasätta skyddet för mänskliga rättigheter. Bland annat skyddet för privatlivet, eller skyddet för det allmännas intressen och för rikets säkerhet. Expertgruppen skriver att ”ger omständigheterna anledning att befara att mänskliga rättigheter eller nationens intressen inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts får dessa uppgifter anses vara röjda eftersom det inte längre är osannolikt att de lämnas till utomstående.”

Transportstyrelsens outsourcing är ett aktuellt exempel på vad som kan hända när en myndighet väljer en leverantör som i sin tur samarbetar med många olika underleverantörer i flera länder.

Expertgruppen skriver i det rättsliga uttalandet att en annan bedömning kan vara möjlig vid kryptering av tillräcklig och godkänd kvalitet eller andra, motsvarande åtgärder. Men även här höjs ett varningens finger eftersom det visat sig vara svårt att såväl verifiera att sådana överenskomna åtgärder verkligen har genomförts, som att de krypteringsmekanismer som används ger tillräckligt skydd.

Nödvändiga risk- och konsekvensanalyser

Esams juridiska expertgrupp bedömer alltså att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan komma åt sekretessreglerade uppgifter.

– Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser, säger Gunnar Wennerholm från Tillväxtverket som leder eSams expertgrupp för säkerhet.

Gemensamma offentliga moln

I rådande rättsläge har eSam under en tid diskuterat behovet av alternativ till molntjänster med utländskt ägande. Ett alternativ är att skapa gemensamma offentliga moln för att kunna hantera flera myndigheters behov av molntjänster. Detta har utretts av flera myndigheter och frågan är komplex och behöver hanteras på nationell nivå.

I nuläget har Esam tagit fram en checklista som stöd för den organisation som står inför ett beslut om att använda molntjänster.

En annan möjlighet är att hitta en lösning för att kunna avropa webbaserade kontorstjänster som följer svensk lagstiftning. Statens inköpscentral vid Kammarkollegiet har under hösten påbörjat en förstudie om ett ramavtal för detta. Förstudien beräknas vara klar i början på februari 2019.

Rekommenderad läsning

Server Kabel Attack

Nya serverhot

7 sep 2020 säkerhet

Servrar, både egna och molnbaserade, attackeras, utnyttjas och hyrs ut på den svarta marknaden. Dessutom bör säkerhetsteam vara extra uppmärksamma efter tecken på utvinning av kryptovaluta. Det menar Trend Micro i en ny rapport.

Lyftkran Mot Gul Molnbakgrund
video
Ett samarbete mellan Trend Micro och Voister

Full koll på arbetsmängden

4 jun 2020 säkerhet

Trend Micros Cloud Conformity ger dig full överblick och säker kontroll över koden i dina arbetsmängder. Oavsett i vilket moln de befinner sig och är oberonde av molnleverantör.

kvinna står nere vid havet i röd jacka och mössa.jpg

Nyheter från Red Hat Summit

4 maj 2020 digit

Openshift virtualization innebär en ännu mer öppen och hybridvänlig it-hantering. Det framhöll Paul Cormier, CEO Red Hat, under Red Hat Summit, som i år lockade 80 000 deltagare.

skalet på en apelsin i en snurra.jpg

Skala smidigt med IBM

1 apr 2020 digit

Ett smidigt sätt att skala upp och tillgång till en kraftfull AI. IBM:s senaste lagringslösning är anpassad till multicloud och passar alla, oavsett verksamhet och storlek.

stor stor maskin som gräver i stenbrott.jpg
video

Ciscos nya ögon

17 mar 2020 digit

För att tekniker, oavsett om de jobbar med it eller OT, ska kunna samarbeta krävs en gemensam plattform som ger full synlighet. Cisco har utvecklat en lösning med hög säkerhet och kontroll. Prashanth Shenoy förklarar nyttan med Cyber Vision.

barn-tjej-960640.jpg

SKR trotsar Esam

16 dec 2019 digit

SKR stödjer inte Esams nya handledning Outsourcing 2.0 som menar att inget utrymme för riskanalys finns vad gäller molntjänster. SKR anser att kommuner och regioner bör få göra egna självständiga riskbedömningar.

försäkringskassan på en husfasad.jpg

Cloud act-bolag ratas

2 dec 2019 säkerhet

Försäkringskassan kommer inte samarbeta med molnleverantörer som omfattas av Cloud Act för lagring av verksamhetskritisk data. Istället är målet en it-drift i statlig regi. Det visar myndighetens vitbok om publika molntjänster i offentlig verksamhet.

flygplan flyger på blå himmel.jpg (1)

SKL:s guide till molnet

6 nov 2019 säkerhet

För att lättare kunna fatta rätt beslut om molntjänster har SKL tagit fram en vägledning för kommuner och regioner. Guiden omfattar både säkerhetsmässiga och juridiska avvägningar.

satya-nadella.jpg

Azure knappar in

1 nov 2019 digit

Den globala molnmarknaden ökade med 37 procent under årets tredje kvartal, jämfört med samma period 2018. Amazon leder fortsatt racet men Microsoft knappar in en aning, enligt analysföretaget Canalys.