Den ryska staten och militära säkerhetstjänsten GRU utpekas allt oftare som hackare. Intrång från stormaktar och från kriminella nätverk över hela klotet är händelser som skulle kunna vara tagna rakt ur en modern spionthriller.
Risken med utländska molntjänster är komplex – kryptering löser inte problemet
Det är naivt att påstå att Esams jurister inte förstår hur kryptering fungerar när de avråder myndigheter från utländska molntjänster. Det skriver säkerhetsexperterna Fredrik Ljunggren och André Catry i ett svar på Alexander Viks debattartikel i december 2018..
Denna artikel var först publicerad på IDG.se och är skriven av André Catry från Nixu och Fredrik Ljunggren från Kirei.
Det är bra att det nu förs en mer saklig debatt kring de faktiska riskerna med molntjänster, för såväl enskilda verksamheter som för myndigheter. Esams rättsliga uttalande är i detta ett välkommet inslag och reflekterar en ökad medvetenhet från myndigheternas sida om de hot som riktas mot vårt samhälle som följd av den ökade digitaliseringen. Det är naivt att som Basefarms försäljningsdirektör Alexander Vik tro att Esams jurister handlar i ett it-säkerhetsmässigt kunskapsvacuum.
Hoten från elektroniskt drivna angrepp och underrättelseverksamhet i molntjänster har under lång tid blundats för. De nyttor molntjänster av olika slag medför är betydande, och ska naturligtvis omhändertas i möjligaste mån. Men dessa molntjänster lämpar sig knappast för alla typer av verksamheter.
Esam pekar i detta på verksamheter som behandlar uppgifter som omfattas av sekretess enligt Offentlighets- och Sekretesslagen (2009:400), och uttalar att sådana uppgifter i lagens mening röjs redan genom att uppgifter görs tillgängliga för leverantören. Det är en logisk följd av att det alltid kommer finnas personal vid leverantören som har möjlighet att ta del av uppgifterna. Att som Vik skriver inrätta system för att klassificera uppgifter och märka upp dem gör det som bäst enklare för leverantörens personal att finna de uppgifter som ska lämnas ut vid en begäran från den utländska myndigheten. Det är inga åtgärder som påverkar säkerheten i förhållande till dessa hot.
Inte heller är sådana krypteringsåtgärder som Vik pekar på effektiva. Att uppgifter är krypterade i vilande tillstånd förändrar inte tjänsteleverantörens förmåga att komma åt dem, då de per definition och med automatik måste behandlas i klartext i den aktuella tjänsten. Den ökade koncentrationen till ett fåtal företag som tillhandahåller molntjänster till såväl myndigheter som enskilda är också problematisk. Det leder till stora ansamlingar av såväl nyttoinformation som drift- och säkerhetsrelaterad information, och möjliggör helt nya sammanställningar av tämligen känslig art.
Utöver frågan om sekretess finns även frågor om samhällets sårbarhet när många viktiga verksamheter använder samma hårt centraliserade tjänster. Den 1 april 2019 träder den nya säkerhetsskyddslagen (2018:585) i kraft. I den nya lagstiftningen vidgas tillämpningsområdet till att omfatta alla former av säkerhetskänslig verksamhet, även sådana som inte behöver skydd från ett sekretessperspektiv. Riskerna med molntjänster kan därför inte viftas bort på det sätt som Vik försöker göra. Istället måste Vik och hans branschkollegor fundera över hur de ska kunna erbjuda sina tjänster även till säkerhetskänslig verksamhet och verksamheter som behandlar uppgifter som omfattas av sekretess, samtidigt som behovet av informationssäkerhetsskydd tillgodoses.