Förlorad i molnet eller björnkoll på läget?
Att vara beslutsfattare inom offentlig sektor har aldrig varit enkelt och det har knappast blivit lättare med allt högre krav och större förväntningar på effektivt ledningsstöd. Så snart du nämner ordet ”molntjänst” så skrynklar din säkerhetschef eller informationssäkerhetssamordnare sin panna, lägger armarna i kort och suckar djupt.
Reaktionen blir totalt omvänd när din CIO eller IT-chef hör samma ord – ett leende som täcker hela ansiktet och lösningsidéer som aldrig verkar upphöra att trilla ut hans/hennes leende mun. När din kalla faktor och ständigt objektiva part, inköpschefen, hör dig nämna ”molntjänst” så möts du av ett kroppsspråk och minspel som direkt får dig att tänka på en fågelholk. Vem kan och ska du lita på? Vem har rätt och har någon helt fel? Hur ska du ta ett hållbart beslut i denna djungel av rekommendationer och kända fallgropar?
Om det är ett beslut i år som du både behöver ha fakta på din sida och ha en bra magkänsla för så är det att lägga ut verksamhetens mest känsliga tjänster och kritiska informationsflöden i det så kallade molnet. Att bli en trygg beslutsfattare är inte svårt, det kräver bara lite systematik, koll på sin verksamhet och vilka krav som ni kan ställa på en tilltänkt leverantör av molntjänster.
Molntjänster inom offentlig sektor är här för att stanna
Som exempel på detta kan nämnas politiska uttalanden som görs i yttrandet från den Europeiska ekonomiska och sociala kommittén och från det Nordiska ministerrådet. I praktiken så har Kammarkollegiet redan ett antal flitigt avropande avtal inom området och fler är att vänta.
Det är viktig att förstå att de rättsliga förutsättningarna för att använda sig av molntjänster kan skilja sig åt beroende på vad det är för molntjänst som ska användas. Molntjänster är ett vitt begrepp och kan innefatta allt från att man köper en leverantörs e-postprogram till att man köper it-infrastrukturella tjänster i nätet såsom exempelvis lagring, nätverk och servrar.
Innan man sätter ner foten så för att använda sig av molntjänster bör en s.k. offentligrättslig verksamhetsbestämning göras. Inte så lätt ordval för andra än jurister att förstå. Med detta menas att den legala ramen för användning av molntjänster måste bestämmas. Vad är det för molnet-applikation som ska användas? För vilken verksamhet ska den användas och vilka aktörer berörs? Vidare måste de avsedda och icke avsedda informationsflödena analyseras eftersom det inverkar på informationens rättsliga status.
Rör det sig till exempel om allmänna handlingar eller förvaltningsbeslut?
Slutligen bör en verksamhetsbaserad dokumenthanteringsstrategi tas fram som anger hur den information som tas fram ska behandlas för en effektiv och lagenlig användning av molntjänster. Har man gjort detta så har man koll på läget, har du koll idag?
Molntjänster är skalbara
Som med allt nytt och oprövat så finns det både för- och nackdelar. Några fördelar med molntjänster är att de är skalbara vilket innebär att de kan byggas ut i all oändlighet. Vidare betalar användaren för förbrukning och ingen onödig resursförbrukning sker. Användandet av en molntjänst kan också ge upphov till lägre energikonsumtion.
Några nackdelar med molntjänster är att standarder saknas. Användaren blir vidare väldigt låst till en viss leverantör. Vidare kan andra typer av säkerhetsproblem uppkomma jämfört med om all it-infrastruktur sköts och hanteras internt. Slutligen finns det rättsliga komplikationer som har att göra med tryckfrihetsförordningen, offentlighets- och sekretesslagen, personuppgiftslagen (PUL), upphovsrättslagen och även avtalsrättsliga komplikationer.
Förlorad kontroll över informationen
En central del i modernt beslutsfattande är risk. När man använder en viss molntjänst för lagring av viss data så förlorar man till viss del kontrollen över informationen. Det är emellertid viktigt att ha i åtanke att det finns risker i alla typer av miljöer och riskerna går ofta att hantera. Några risker som du som beslutsfattare behöver analysera och ta ställning till hur du vill hantera är:
• Exponering mot andra länders rättsordningar
• Vissa svårigheter att följa legala krav såsom t.ex. PUL.
• Inlåsningsrisker (om användaren valt en viss tjänsteleverantör, krävs att användaren måste följa med i leverantörens och tjänstens utveckling).
• Standardiserade avtalsvillkor, som ibland kan ändras ensidigt av leverantören.
• Oklarheter rörande rättigheter till material i tjänsten.
• Avstängning av tjänst (en leverantör kan ha stoppningsrätt enligt allmänna kontraktsrättsliga principer).
Sen givetvis de klassiska informationssäkerhetsrisker, såsom:
– risk för förlust av data
– risk för obehörig åtkomst/användning, som t.ex. risk för avlyssning då data sannolikt hanteras och möjligen även förvaras i it-system i annat land.
– risk för driftsstörningar
– ökat beroende av fungerande kommunikationstjänster (blir utlämnad tillgänglighet av olika externa nätverk om data inte finns lokalt lagrat i verksamhetens egna it-system).
Du är ensam med ansvaret och beslutet
Trots att du har experter och förståsigpåare i din verksamhet så sitter du till sist där ensam med ansvaret och beslutet. Visst vill du att det ska smaka bra i munnen dagen efter, ett halvår senare eller om 3-5 år då du ska skriva av en eventuell investering? Det finns bara ett sätt, skaffa dig BjörnKoll På Läget! BKPL är för övrigt en bra minnesregel för vem du delar din konfidentiella information med, han/hon ska ha Behov av informationen, vara Kunnig om hur den ska hanteras säkert, bedömas som Pålitlig och slutligen vara Lämplig att ta del av informationen just då (till exempel inte via sin Iphone 03.38 en tidig söndagsmorgon eller sittandes på ett Internetcafé i Thailand).
Lycka till med säkerheten och undvik mörka moln!
Fråga Fredrik!
Har du någon fråga gällande IT- och samhällssäkerhet? Ställ din fråga direkt till Fredrik som sitter med Offentliga Affärers Expertpanel.
Klicka här för att ställa din fråga