Säkerhetsexperter: Sveriges politiker sitter i knät på stora techbolag

Digital suveränitet var det övergripande temat när Högskolan i Skövde i slutet av april anordnade konferensen Konkurrens bland molnen. Dagen inleddes med att författaren och säkerhetsexperten André Catry pratade om amerikanska molntjänster, kryptering och extraterritoriella lagar.  

Han menar att när amerikanska leverantörer kallar sina molntjänster för suveräna handlar detta främst om marknadsföring. Budskapet från de stora leverantörerna för att få till digital suveränitet är att man som kund kan lagra sin data inom EU, kryptera sin data och äga sin krypteringsnyckel. Men detta är enligt Catry ”en falsk trygghet”. 

– Organisationer tror att genom att äga och hantera sina egna krypteringsnycklar uppnås total kryptografisk suveränitet, men nyckelhantering via molnens krypto-API:er exponerar datanycklar i klartext. Datasäkerhet i molnet är inte ett kryptografiskt matematiskt skydd, utan styrs helt av leverantörens kontrollplan för Identity and Access Management (IAM). Kontrollplanet övertrumfar alltid kryptografin, så den som kontrollerar IAM, kontrollerar datan.

FISA och Cloud Act 

Samtidigt påpekar André Catry att de två amerikanska lagarna Cloud Act och Foreign Intelligence Surveillance Act (FISA), gäller. Lagarna gör att amerikanska myndigheter kan kräva tillgång till data hos amerikanska molnleverantörer och båda är så kallat extraterritoriella, vilket innebär att de kan tillämpas på data som hanteras av amerikanska företag utanför landets gränser.  

– Så att amerikanska molnleverantörer lägger ett bolag eller placerar ett moln i Europa, spelar ingen roll. Exempelvis har AWS placerat ett bolag i Tyskland och påstår att det lyder under tysk lagstiftning, men det är ett dotterbolag till amerikanska AWS, därför anser USA att deras lagstiftning gäller. Dessutom befinner vi oss i en molnkontext, där det per definition inte finns några gränser.  

Därför blir det snarare en fråga om tillit till leverantören det handlar om, menar André Catry.  

– Om en molnleverantör kan låsa upp din data åt dig, kan de även tvingas göra det av en domstol. Du måste helt enkelt lita på din leverantör, i det fallet.  

Grönland satte ljus på suveränitetsfrågan 

På plats under konferensen för att diskutera ämnet var även Erik Enocksson, säkerhetssamordnare inom Esam, ett medlemsdrivet samverkansprogram för svenska myndigheter och SKR. Han upptäckte en förändring inom offentlig förvaltning i inställning till digital suveränitet under 2025.  

– Egentligen borde vi ha fokuserat på suveränitet tidigare, men det blev högaktuellt under konflikten om Grönland. Nu är kravet från våra samtliga 42 medlemsmyndigheter att hitta alternativa lösningar. Tidigare har tilliten till leverantörer varit självklar, och vi har inte haft anledning att ifrågasätta den. Nu är vi inne i en jobbig övergångsperiod, där vi nog måste ifrågasätta den, säger han under ett panelsamtal. 

André Catry tycker också att vi måste sluta se på digital suveränitet som något självständigt – i stället är vår digitala suveränitet egentligen en del av vår nationella suveränitet. Han exemplifierar med Ukraina.  

– För Ukraina har det kostat människoliv att inte vara digitalt suveränt, eftersom amerikanerna stängde av vissa tjänster när Donald Trump ville ha en fredsuppgörelse. Ukrainarna är fullt medvetna att de sitter i en rävsax, och det är även danskarna, medan vi inte är medvetna om det. Jag ser inte Sverige som en suverän nation längre, på grund av att all vår data ligger i amerikanska molntjänster.

”Politiker i knät på techbolagen” 

En av många anledningar till att situationen ser ut som den gör är vår politiska ledning, menar André Catry.  

– Våra politiker sitter i knät på techbolagen. Det ser man också när de subventionerar techbolagens utbyggnad av datacenter i Sverige. De enda som tjänar pengar på det är techbolagen. Samma bolag är också bra på att kidnappa våra svenska intresseorganisationer, såsom Techsverige, AI Sweden och så vidare.  

Även Fia Ewald, informationssäkerhetsexpert och tidigare chef för systematisk informationssäkerhet på dåvarande MSB, deltog i samtalet. Hon håller med om att vår politiska ledning har visst ansvar för situationen, och ger regeringen en känga angående vilka som får sitta i dess olika råd, såsom AI-rådet och digitaliseringsrådet.  

– Vilka är med där? Är det myndigheternas experter? Nej. Är det fackföreningsrörelser? Nej. Det är tydligt att man lyssnar mer på amerikanska techbolag, än vad man lyssnar på svenska intressen.  

”Vinglig” inställning till suveränitet 

Därutöver finner Fia Ewald det märkligt hur den svenska regeringen prioriterar suveränitet högt på vissa områden – som energi – men samtidigt går in i det USA-ledda samarbetsinitiativet Pax Silica, gällande bland annat AI, mjukvaruproduktion och kisel.  

– Regeringen agerar vingligt på suveränitetsområdet. Pax Silica-avtalet var ett stort åtagande med bland annat USA, Israel och Sydkorea som inte föregicks av någon politisk diskussion alls. Vi var första EU-land att gå med i avtalet, säger hon, medan Erik Enocksson fyller i: 

– EU har sagt att de ska ha en omröstning om Pax Silica, men Sverige struntade i omröstningen och skrev på avtalet direkt. Värt att notera här är att Vita huset tagit fram ett nytt regelverk som säger att AI bara får gynna det egna landet. Vet svenska regeringen ens om att de klivit in i ett avtal med de förutsättningarna?