Möller Insights – ”Den stora utmaningen med moln för offentlig sektor”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om de många frågetecken som råder kring molnlagring.

Den stora utmaningen med moln för offentlig sektor

Molnet är ju onekligen framtiden och att ha en gammal skruttig server på kontoret börjar bli omodernt – och för större verksamheter extremt kostsamt. Det finns även en mängd med spännande applikationer som kan drivas, man kan virtualisera sin miljö och trolla fram både det ena och det andra.

Det är med andra ord inte konstigt att många företag har tagit steget ut i molnet, antingen genom egna datacenter eller via någon av de större leverantörerna. Sin vana trogen är inte offentlig sektor blyga att hoppa på en trend och moln är verkligen en trend de bör hoppa på. Här har de möjlighet att säkrare lagra data, få ökad redundans, lägre driftskostnader och ett flexiblare arbetssätt för en mängd olika funktioner.

Trots de klara fördelarna så går det långsamt för offentlig sektor och den främsta anledningen är kraven på var data egentligen lagras. Molnet är som bekant ett nätverk av datacenter där många av de större leverantörerna har datacenter placerade över hela världen och information förflyttas mellan dessa punkter fritt beroende på var data efterfrågas. Med svenska lagar om PuL och en mängd andra integritetslagar så är den här typen av hantering av data inte godkänd. Sverige är i många avseenden unika i detta faktum; samtidigt gäller speciella regler för EU vilket gör att informationen i molnet är godkänt så länge leverantören kan godkänna att data inte lämnar EU:s territorium. Många leverantörer har, för att ta del av den lukrativa svenska marknaden, utvecklat speciella avtal för att just vinna affärer med offentlig sektor.

Nyligen rapporterade Datainspektionen att deras granskning av Ale kommun som avser att upphandla Office 365 för skol-, förskole- och fritidsverksamhet har godkänts. I handlingarna bekräftas att data aldrig kommer lämna EU utan lagras på datacenter på Irland. De har även fått samtliga organisationer som kan hantera data i datacentret att skriva under svenska sekretess avtal. Det enda frågetecknet  från Datainspektionens sida var att det var oklart var dessa organisationer huserade, då inte heller dessa får inte vara verksamma utanför EU. Summan av kardemumman är att det, om man utgår från Ale kommuns exempel, är fritt fram för hela den offentliga sektorn att upphandla molntjänster.

Dagen efter så rapporterade dock BBC att Microsoft krävs på information från en amerikansk domstol i ett husrannsakansärende. Detta krav innefattar även information som specifikt har lagrats utanför USA, i detta fall just på Irland. Microsoft har överklagat ärendet och jämställer det hela med att en amerikansk domstol inte har rätt att kräva tillgång till en bostad utanför landets gränser och därför inte heller bör få tillgång till data utanför landets gränser.

Den amerikanska domaren James Francis menar att en traditionell ”husrannsakan” inte kan jämställas med digitala ting, utan att data i denna form bör hanteras under Stored Communications Act. Francis menar även att en förfrågan om data inte bör ses som en husrannsakan utan snarare som ett utlämningskrav på bevis i ett pågående rättsärende. 

Frågan som ingen idag vet är – vad är det egentligen som gäller för Ale kommun i detta fall, vad gäller för vilken svensk kommun, landssting eller myndighet som helst som väljer att lagra data i molnet på Irland - eller för den delen på annan plats i Europa?

Kan vi idag upphandla molntjänster där data kommer att lagras utanför Sveriges gränser om vi samtidigt ska uppehålla svenska lagar om PuL och informationshantering? Eller är det så att vi måste överväga att bygga fler datacenter i Sverige för att bibehålla informationen inom landets gränser, där endast svensk lag behöver råda?

Jag har frågat jurister, domare och andra sakkunniga och ingen verkar ha ett svar på frågan – vad är det egentligen som gäller? Vet du?

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik