Molntjänster har inbyggda risker

2019-12-27   311 visningar

Det finns fler faror med utländska molntjänster som myndigheterna bör beakta, skriver Daniel Nyström på stiftelsen Nordix i Computer Sweden. Han menar att molnjättarnas proprietära teknik skapar såväl säkerhetsrisker som inlåsningseffekter.


Under de senaste veckorna har det diskuterats mycket om riskerna för svensk offentlig sektor med att lagra data i utländska molntjänster. Lagstiftningen i bland annat USA, Ryssland och Kina innebär att deras myndigheter på laglig väg kan begära ut sekretessbelagd och extremt känslig data som lagras av svenska myndigheter utan att svenska myndigheter involveras. eftersom företag i dessa länder omfattas av extraterritoriella lagar och då spelar det ingen roll att de har svenska dotterbolag eller svenska datacenter.

Men den som gräver lite djupare ser ytterligare, minst lika allvarliga utmaningar med många av dessa utländska molntjänster. De flesta av dessa leverantörer använder nämligen proprietär teknik i sina molnlösningar. Proprietär teknik är byggd på stängd och oftast hemlig källkod, som ingen utanför företaget känner till eller har tillgång till vilket innebär att det är mycket svårt att hitta säkerhetshål, eller detektera bakdörrar som kan ha installerats av främmande makt i underrättelsesyfte. Alternativet är att använda öppen källkod, en metod där alla kan granska och använda den källkod som används för att leverera tjänsten oberoende av vem som äger själva källkoden. Lösningar baserade på öppen källkod i svenska datacenter gör det enklare att hitta säkerhetshål och datat kommer också att vara bättre skyddat då man har full kontroll, både fysiskt och virtuellt.

I och med att många av dessa utländska molnleverantörer använder hemlig källkod och proprietära protokoll i sina molnlösningar, skapas också extrema inlåsningseffekter. Om någon utländsk leverantör skulle hamna på ekonomiskt obestånd, kan det bli svårt för svenska myndigheter att få ut sin data, eftersom koden och datan sitter fast i det utländska företaget utom kontroll för svenska myndigheter. Man är då helt utlämnad till det andra landets lagstiftning när det gäller möjligheten att komma åt sina tillgångar. För det mesta går detta förvisso bra och konkursförvaltningen sker under ordnade former, men vid kriser, handelsembargon m.m. kan ingen säga med säkerhet att en utländsk molnleverantör inte kopplas bort från internet på ett ögonblick. Har svenska myndigheter dessutom utvecklat program och tjänster direkt mot det utländska företagets proprietära API blir kostnaden för att skriva om alla dessa program och tjänster enorm. Det kommer på sikt leda till att miljarder av skattebetalarnas kronor kommer att hamna i utlandet istället för att gå till vård, skola och omsorg.

Försäkringskassan och andra har på ett mycket kompetent och framåtblickande sätt lyft fram de allvarliga utmaningar som finns kring att låta utländska molnleverantörer hantera data från det offentliga Sverige. Det är en viktig diskussion där svensk lagstiftning undergrävs av lagstiftningen i dessa molnleverantörers hemländer. Men som vi visar ovan så finns det ännu fler risker kopplat till detta, och därför är det viktigt att vi också diskuterar lämpligheten i att svensk offentlig sektor väljer aktörer som bygger sina lösningar på stängd och hemlig källkod.

Källa:

Computer Sweden

Läs även:

Molntjänster i sammhällsbärande verksamhet (Försäkringskassans Vitbok)

Dela artikeln:

Senaste artiklarna