Den 28 november 2019 fick jag en ping på Twitter av Jonas Andersson Schwartz om att han publicerat en artikel om svenska myndigheters nuvarande, framtida eller eventuella användning av molntjänster som tillhandahålls av icke-svenska företag och hur detta riskerar att äventyra svenska medborgares känsliga personuppgifter. Ja, eller typ något i den stilen.
Jag tolkade pingen som en uppmuntran till att tycka till, kanske reflektera lite innan. Twitter känns inte lämpligt för något annat än enklare frågor och svar, mer komplicerade frågor gör sig bättre i mer fria artiklar. Hur som helst. Detta är en sådan “fri” artikel…
Bara så vi är överens…
Detta är en sjukt komplicerad frågeställning som inte kan reduceras till huruvida svenska medborgares uppgifter ska eller inte ska hanteras utanför Sveriges gränser i molntjänster. Jag har inte direkt följt eller egentligen överhuvudtaget intresserat mig för att följa debatten men gör följande initiala observation.
Kritiker till kritikerna tystas…
Cloud Act betraktas omedelbart som av fullständig ondo. Massa tyckare… tycker och så brakar det loss. Amerikanska myndigheter vill ha åtkomst till data om andra nationers medborgare. Det kommer missbrukas. Oh my god, my rights are being violated… Det är alltid antingen helt fasansfullt eller så är det… nej, det är aldrig lite dåligt… utan det är alltid fullständigt katastrofalt dåligt för våra rättigheter.
Men diskussionen balanseras aldrig mot vad effekterna är av denna “möjlighet” för myndigheterna. Varför antogs Cloud Act? Vad är det man kämpar med för problem?
Kritikerna är snabba med att kritisera men låter sig sällan förklara vilka alternativ som finns. Och det dyker upp ett gäng härskartekniker här också. Om jag nu t.ex. skulle föreslå att det kanske inte är så farligt med Cloud Act (jag har ingen aning) så skulle jag direkt få höra att jag minsann står på myndigheternas sida. Och så jobbar jag ju för en polismyndighet, klart som fan att jag tycker som jag gör. Och så dödade men den kritikern till kritikerna.
Vad är syftet med Cloud Act?
Vad mer exakt är det vi ser framför oss att Amerikanska myndigheter skulle begära ut? Eftersom det, vad jag tror mig förstå, handlar om något slags juridiskt förfarande med papper, domstolar osv är det med andra ord en process som kommer ta tid och vara tämligen obekväm att utnyttja. Och vidare förstår jag att det ska finnas relativt goda möjligheter för företagen att vägra utlämnandet om det bryter mot en nations lagar kring personuppgifter.
Men… nu är vi inne på det här med juridik. Jag inte en jurist och har ingen som helst bakgrund i Cloud Act eller vilka juridiska tveksamheter som finns i den här frågeställningen. Detta kommer att bli ingenting annat än en kaskad av åsikter och tyckande, med en troligen vagt underbyggd argumentation. Nå väl.
Ska svenska myndigheter outsourca svenska medborgares information?
Någonstans existerar myndigheterna som en del av ett större maskineri för att tjäna medborgarna och Sverige som nation. Det är deras yttersta och egentligen enda uppgift. Staten och hela maskineriet ska stödja Sverige, inte Norge eller Tyskland, inte heller USA. Med detta som en “enkel” princip bör våra medborgares personuppgifter förvaras innanför Sveriges gränser om det inte uppenbart skulle ligga i medborgarnas intresse att flytta dessa utanför gränserna.
Statliga moln, privata moln eller hybridmoln
Ideologiskt skulle jag vilja ställa mig bakom idén om att staten i huvudsak ska prioritera användning av öppen källkod framför proprietära lösningar. Jag skulle vilja dra det så långt att jag anser att staten egentligen skulle vara en av de största producenterna av öppen källkod eftersom det inte borde finnas några intressen att finansiera privata bolag med statliga medel. Men detta är ytterligare en sån där komplicerad fråga som inte enkelt kan diskuteras på något rimligt sätt.
Men med samma resonemang anser jag att staten först och främst skulle använda molntjänster som uteslutande bygger på öppen källkod. Jag skulle nog gärna se att den är statlig men kanske i någon slags hybrid-kombination. Jag är inte för användandet av privata och proprietära molntjänster där pengar flyttas från staten (Sverige) till företag i utlandet. Det går emot principen att staten ska sätta nationen främst.
Dock uppstår frågan om vad som ska omfattas av definitionen molntjänst. Pratar vi Azure, AWS eller Google Cloud? Eller menar vi alla former av webbapplikationer som råkar snurra på en skalbar resursdelningsplattform? Jag tror att de flesta menar någon form av dynamiskt skalbar infrastrukturplattform som kan anpassas efter resursbehov. CPU, minne och disk på kran typ.
Jag vill se:
- Ett statligt moln baserat på öppen källkod med fullständiga möjligheter att flytta last mellan olika leverantörer. Alltså möjliggöra upphandling av den fysiska infrastrukturen (datahallarna) men med kravet att all mjukvara som utvecklas eller används ska vara baserad på öppen källkod.
- Svenska företag och tjänster ska prioriteras över utländska. Principen om att stödja nationen väger tyngre än att “spara” skattepengar.
- … det var nog allt, ville bara ha en numrerad lista.
Praktiska skydd
Schwartz nämner ett antal “praktiska” skyddsåtgärder och givet nivån på diskussionen tycker jag det känns lite meningslöst att diskutera lösningar. Det talas ju om Office365 som en molntjänst och där är ju möjligheterna att påverka tjänsten kodmässigt i princip noll. Där är det inte ens nödvändigt att börja prata om olika typer av kryptering.
Det är däremot en helt annan femma om det handlar om att fixa lite Amazon S3-lagring. Då finns det goda möjligheter att kryptera information innan den lagras på S3. Men det förutsätter att operativsystemet som använder S3-lagringen i backend är under organisationens kontroll. (För er nördar ser jag framför mig ett krypterat filsystem som håller dekrypterat data i minnet men så fort ett block ska skrivas till disk går det genom filsystemet och sedan ner till S3-bucketen.)
Men som sagt… att diskutera praktiska lösningar nu känns lite … äsch, I don’t know, meningslöst. Frågeställningen är på tok för bred och omfattande för att kunna kokas ner till praktiska lösningar.
TL;DR
Data och information som staten hanterar (oaktat om det är personuppgifter eller ej) ska hållas innanför Sveriges gränser. Vidare anser jag att ett statligt moln baserat på öppen källkod med möjligheter till lastförflyttning är rätt väg att gå för staten. Upphandling av datahaller och fysisk infrastruktur från den svenska marknaden ska ske. Egna datahallar för de myndigheter som vill ha det men som sagt med möjlighet att flytta ut sådan last som skulle kunna hanteras på det statliga molnet.
Jag anser INTE att privata moln ska användas för statliga data och information.