Solklart med datormoln för svenska myndigheter

Myndigheters behov av datorservrar, operativsystem, datornätverk, programvara och lagring av information kan tillgodoses på flera olika sätt – på plats i den egna datorhallen, hos en IT-driftsleverantör, hos en molntjänstleverantör, eller genom en kombination av dessa. Molntjänster har normalt har en högre tillgänglighet och tillförlitlighet än vad myndighetens egna IT-drift kan erbjuda. Detta gör att myndigheter kan minska sina IT-kostnader avsevärt med bibehållen eller högre kvalitet genom att använda molntjänster. Besparingarna skulle kunna uppgå till ett par tusen miljoner kronor. Men tre huvudsakliga skäl hindrar myndigheter från denna kvalitetshöjning och kostnadsminskning.

För det första, leverantörer av molntjänster har historiskt inte kunnat garantera att den information myndigheterna hanterar i datormoln inte lämnar EU eller Sverige. I dag är detta löst – myndigheterna kan själva välja exakt var uppgifterna ska hanteras. Den myndighet som har behov av att endast hantera information inom Sveriges eller unionens gränser kan göra det.

För det andra, skandalen där Transportstyrelsen använde sig av utländska konsulter som hanterade uppgifter med bäring på Sveriges säkerhet, och som inte var granskade av Säkerhetspolisen, har gjort att myndigheter är rädda för att lägga ut sin IT-drift på andra parter. Det faktum att vissa uppgifter inte lämpar sig för molnet är dock inget argument mot molntjänster överlag då den absoluta lejonparten av myndigheternas IT-drift lämpar sig väl för molnet.

För det tredje, tolkningar av den svenska offentlighets- och sekretesslagen har gjort gällande att varje användning av IT-tjänster utanför en myndighet ska ses som en utlämning av all information som är föremål för behandling i den IT-tjänsten, och måste föregås av en sekretessprövning. Eftersom en sådan sekretessprövning inte kan ske enkelt vid omfattande användning av molntjänster, så omöjliggörs användningen enligt denna tolkning. Lösningen på detta stavas kryptering, det vill säga att myndigheterna gör informationen oläsbar för molntjänstleverantören trots att de använder deras tjänster och behandlar information i leverantörens system. Inte heller denna invändning håller alltså för granskning då man på teknisk väg kan hantera problemet.

Är det möjligt för en myndighet att använda molntjänster effektivt helt utan risk att molntjänsteleverantören skulle kunna ta del av informationen? Nej, det kommer alltid att finnas en möjlighet för molntjänsteleverantören att på något sätt snappa upp information. Om man istället frågar; ”Är det möjligt och önskvärt för en myndighet att använda molntjänster för ändamålsenlig, kostnadseffektiv och säker digitalisering?”, är svaret utan tvekan ”Ja!”. Lösningen på den här avvägningen stavas riskanalys.

Det krävs ingen ny lagstiftning, ingen ny utredning, och inga nya regleringsbrev. Det enda som krävs är att myndigheterna avgör vad som är önskvärt att handha i molnet och vilka molntjänster som kan leva upp till deras krav. Låt oss se fram emot en solklar sommar – med massor av moln!

Fredrik Blix, universitetslektor i Cybersäkerhet vid Stockholms universitet och Principal på det Svenska IT-företaget Cybercom i Stockholm