Flickus flackus flum

Jacobs tankar om och med kvalitet

Varför man inte kan outsourca känsliga data

written by jacob, on Aug 7, 2017 7:59:39 PM.

I Transportstyrelseskandalens efterdyningar är det många som aningslöst har uttalat sig om att det inte är något fel med att outsourca känsliga data. Värst av alla är nog Ann Kindberg-Batra, som har sagt att Det spelar väl ingen roll var servern står. Det är så naivt och okunnigt att man baxnar.

Det finns olika nivåer av känsliga data. Den högsta nivån är rena statshemligheter, av vilka Transportstyrelsens databas innehöll en del. Därunder finns persondata av känslig natur och affärshemligheter - både egna och andras. I den genomgång jag gör nu kommer jag att fokusera på statshemligheter, men det jag säger har bäring på andra känsliga data, även om man med de senare ibland kan acceptera kompromisser, där faktorer som kostnad och kompetens kan vägas in i beslutet om outsourcing.

Vi kan dela in hanteringen av en myndighets IT-tjänster i 3 olika fall. I det första har myndigheten alla datorer i en egen datahall, i det andra har myndigheten köpt tjänsten från en i Sverige lokaliserad leverantör. Data finns i en svensk datahall. I det tredje fallet har myndigheten köpt tjänsten från en leverantör som förvarar data i en datahall i utlandet.

Om vi börjar med det tredje fallet så uppstår genast några svårigheter:

  • Personalen som ska befatta sig med data måste säkerhetsklassas. Om det ska ske enligt svensk lag och svenska regler, hur får vi tillgång till information om personen i det land där vederbörande bor? En säkerhetsklassning använder sig av icke publik information. Om säkerhetsklassningen ska ske i samarbete med landets myndigheter, hur vet vi att deras klassning görs på ett ur svenskt perspektiv rimligt sätt?
  • Om det sker ett intrång, eller någon bryter mot avtalade säkerhetsbestämmelser, så ska brottet lagföras i det land där data lagras. Det innebär att det ska utredas av polis i det landet. Dessa personer saknar behörighet att befatta sig med svenska statshemligheter och är därför helt olämpade att genomföra utredningen. De utreder dessutom enligt en rättstradition som kan vara väldigt olik den svenska. I vissa länder är dessutom korruptionsnivån betydligt högre än i Sverige.
  • Svenska staten har inte kontroll över den lagstiftning som gäller i utlandet, och lagstiftning förändras över tid. Outsourcingavtal gäller ofta i tiotals år, och det som gällde vid avtalets början kan vara helt förändrat efter bara några år. Till exempel kan ett främmande land tvinga en leverantör att i hemlighet tillhandahålla trafik och data till landets underrättelsetjänst. Vi vet att USA redan idag har ett sådant regelverk på plats. Att svenska myndigheter skulle övervaka den utländska lagstiftningen kring outsourcing vore extremt dyrt och därför helt orealistiskt.

All outsourcing, oavsett om den är inhemsk eller utländsk, är förenad med ett antal infrastrukturproblem.

  • I min datahall styr jag vem som har access - oavsett om det är egen personal eller konsulter. I din datahall styr du över vem som har access. Förr eller senare kommer du att släppa in någon i strid med gällande avtal. Hur troligt är det att du berättar för mig när du har gjort bort dig?
  • I min datahall har jag kontroll över infrastruktur, som nätverk, routers och brandväggar. Jag kan gå in och följa kablar, jag kan koppla in diagnostikverktyg och jag kan köra levande tester på systemet. I din datahall gör du det arbetet och väljer vad du berättar för mig. Vad du ska berätta för mig styrs av ett Service Level Agreement, och jag har ingen möjlighet att förutse allt jag någon gång vill att du ska tala om för mig. Det som inte finns med får jag aldrig reda på.
  • Om det sker en incident i min datahall så bestämmer jag hur den ska utredas, och med vilka resurser. Jag kan löpande kontrollera och styra utredningsarbete och skyddsåtgärder. I din datahall är det du som väljer hur en incident utreds. Om incidenten direkt rör mig kanske jag får rapporter, men du har alltid möjligheten att mörka. Risken att tappa kontraktet i förtid finns alltid. Ju värre incident, dess större anledning att mörka.
  • I min datahall kan jag alltid strukturera om, lägga till nya tjänster och optimera för aktuell användning. I din datahall är jag styrd till det kontraktet säger. Vill jag göra förändringar måste avtalet förhandlas om. Vill jag lägga till omfattande tjänster måste jag gå ut i ny upphandling, och kanske få ytterligare en leverantör.
  • I min datahall gäller statsförvaltningens regelverk. Det innehåller redan bestämmelser om hantering av sekretessbelagda uppgifter, och kan enkelt utvidgas på området IT-säkerhet. I din datahall har jag allmän lagstiftning, vårt avtal, och dina interna bestämmelser som skydd. Om du är en kommersiell aktör så är dina interna bestämmelser en kompromiss - tillräckligt säkert för att locka kunder, men inte så säkert att det kostar en massa pengar.
  • I min datahall har jag kontroll över alla systemaspekter. Version av operativsystem, säkerhetsuppgraderingar och prioriteringar mellan olika arbetsuppgifter. I din datorhall bestämmer du prioriteringarna. Du har säkert fler kunder, och det är långt ifrån säkert att jag är högst prioriterad.

Så, Ann Kindberg-Batra, det spelar enormt stor roll var servern står. Rent tekniskt, för åtkomst till tjänsterna, så är det ingen skillnad, men under vems jurisdiktion systemen och tjänsterna tillhandahålls, och under vems kontroll arbetet på systemen utförs spelar all roll i världen.

Om vi inte får in kompetenta personer som förstår det här både på hög nivå i statsförvaltningen och på det politiska planet kommer Sverige att ha enorma IT-problem under överskådlig tid.

Leave a Reply