Luftgropar i molntjänster

Datainspektionen fattade i slutet av september tre beslut som rörde tillsynsärenden enligt personuppgiftslagen. Dessa beslut rörde Brevo AB, Enköpings kommun samt Salems kommun.

Datainspektionens granskning pekar på att organisationer som anlitar molntjänster tycks ha alltför stor tillit till hur molnleverantören hanterar personuppgifter och för dålig kunskap om hur uppgifterna i själva verket hanteras. Det går att lägga ut hanteringen av personuppgifter på ett annat företag, men det går inte att avsäga sig ansvaret för hur de hanteras.

Det är givetvis så att molntjänster många gånger är en bra lösning i många verksamheter, där man exempelvis saknar kompetens för att hålla i driften av sina system på egen hand.

Samtidigt ställer användningen av molntjänster krav av en karaktär som vi inte kan bortse från. Du måste veta vad du gör. Även om du skapar aldrig så många vägar till din disk med sitt filsystem som håller den kritiska informationen, så hjälper det inte den dagen filsystemet blir korrupt. Du är ändå kopplad till ett trasigt filsystem, och tjänsten är oanvändbar tills det åtgärdats.

Trots det så kommer de allra flesta att välja att inte bygga separat redundans för att hantera riskerna, utan väljer att chansa på att det klarar sig för det mesta, och att det regleras genom avtal.

För Tieto kan det dock kvitta just nu vad som står i avtalen. Media bryr sig sällan om den typen av nyanser. Efter en veckas driftavbrott är informationen om vad som har inträffat mycket knapphändig.

Avtal är ett sätt att fördela och sprida risker mellan parter.

Allt fler kommuner, myndigheter, företag och organisationer väljer att använda sig av publika molntjänster levererade av tredje part. Många gånger använder sig dessa leverantörer av standardavtal, det vill säga ett avtal för alla parter där alla villkor är klappade och klara.

Standardavtalen kan förstås variera mellan leverantörer. Riskbilden för integritet och konfidentialitet svänger därmed också rejält beroende på leverantörens leveransvillkor och integritetspolicy.

Möjligheten för kunden att påverka villkoren hos leverantören framstår som begränsade, vilket egentligen går stick i stäv med det som bestämmelserna i till exempel personuppgiftslagen säger.

Låt oss säga att du har information som du väljer att hantera via en molntjänst. Vad vet du om hur den hanteras? Några saker som man kan behöva fundera på är:

• Finns det andra kunder hos leverantören som du inte vill förknippas med eller som har verksamhet som lockar till sig problem i form av överbelastningsattacker eller liknande?
• Vem äger eller har nyttjanderätten till den information som skickas upp till molnet?
• Vem äger metadata eller information som skapas i molnet som en del i nyttjandet av tjänsten (statistik, loggar m.m.)?
• Lagras informationen i något format som enkelt kan förflyttas den dagen du väljer att byta leverantör?
• Vad som händer när molnleverantören köps upp, går i konkurs, får allvarliga driftsproblem eller inte sköter sig?
• Vilka rättsliga regler som ska följas – vilket lands lagar gäller om leverantören har verksamhet utanför Sverige?
• Vilka underleverantörer använder leverantören i sin tur?
• Vilka villkor för ersättning lämnar leverantören om ett avbrott, intrång eller motsvarande sker?
• Hur ser leverantören till att känslig information försvinner från lagringsenheter efter avslutat avtal? Vad har leverantören för policy för datasanering när gamla lagringsenheter och maskiner ska pensioneras?

Om du tror att din verksamhet har behov av att lägga ut information för lagring och hantering i en molntjänst, glöm inte att göra förarbetet.

• Börja i liten skala med information som inte är känslig och någon tjänst som inte är kritisk för verksamheten.
• Gör en risk- och sårbarhetsanalys för att bedöma leverantörens lämplighet.
• Avtala om att det är svensk lagstiftning som ska tillämpas och avtala om att leverantören är skyldig att vidta lämpliga säkerhetsåtgärder.
• Ta reda på vilka underleverantörer som anlitas och som också kan komma att behandla din information.
• Följ upp att säkerhetsåtgärderna har vidtagits genom att i avtalet kräva möjlighet att genomföra tredjepartsgranskning.
• Se till att det finns praktiska och tekniska förutsättningar att utreda misstankar om någon hos leverantören eller dennes underleverantörer obehörigen haft tillgång till informationen (läs spårbarhet och loggning).
• Se till att avtalet reglerar vad som händer med din information när avtalet upphör!

Det finns säkert mer att tänka på, men det här är i alla fall en bra början. Även om det inte handlar om personuppgifter kan du ha hjälp av de råd som Datainspektionen ger om molntjänster.

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon har många uppdrag inom området och är bland annat ledamot i MSB:s Informationssäkerhetsråd, utvald av ICANN/IANA att vara Trusted Community Representative och Crypto Officer för hantering av DNSSEC i rotzonen samt ledamot i styrelsen för SNUS, Swedish Network Users' Society.

Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.

Ser du någon kommentar som du tycker är kränkande eller olaglig? Då kan du anmäla den här >>