Amerikanska molntjänster har varit omtvistade, men problemet är löst mellan EU och USA. Tyvärr finns det dock aktörer som försöker hålla lågan brinnande, även om sakfrågan om säkerheten helt har förlorat sitt syfte. När man nu inom vår bransch fortsätter att försöka driva frågan vidare, avslöjar man dessvärre bristerna i den egna plattformens tekniska säkerhet.

Det gamla talesättet “sopa rent framför egen dörr innan du kritiserar andra” har väl aldrig varit så aktuellt. Säkerhet skapas inte av trender eller magkänsla, utan genom organisatoriska prioriteringar och reella tekniska insatser.

Alla vet att amerikanska molntjänster är stora, komplexa och professionella. Microsoft, Amazon AWS och Google kontrollerar dock marknaden på fler sätt än att de bara är stora och amerikanska. Den tekniskt kunnige vet också att de är ledande inom säkerhetsutvecklingen och har resurser att satsa långt mycket mer på säkerhet än vad någon annan molntjänstleverantör har möjlighet till. Tieto Evry incidenten under den gångna vintern 2024 är ett tydligt exempel som illustrerar vad som händer när man inte har tillräckliga resurser och/eller tydliga prioriteringar och kompetens för att upprätthålla säkerheten. De danska leverantörerna för molntjänster, Cloudnordic och Azerocloud som hackades 2023 med katastrofalt resultat, är andra som drabbats. Listan kan göras mycket längre och europeisk lagring löste ingenting i dessa fall.

Avseende överenskommelsen mellan EU och USA; den är på plats och har idag tillämpningen legal status i relation till GDPR. Att påstå att amerikanska myndigheter har rätt att inhämta data utan någon misstanke om brott är en lögn eller okunskap. Så fungerar inte världen förutom i Agent X9. Tekniska åtgärder skyddar mot olaglig datainhämtning och vår fråga är varför man inte har implementerat sådan i så fall. En glitch? Vad som händer i framtiden med vår lagstiftning vet ingen, även EU bereder intern lagändring för dataaccess som till exempel “Chat Control”. Men att fokusera på eventuella lagändringar i framtiden, istället för att syna det som levereras här och nu och vad som är den tillgängliga säkerheten, är ett betydligt sämre förhållningssätt för den egna tryggheten.

Det som är lite mer iögonfallande med inlägget, som vår “kollega” skriver, är att vid en närmare kontroll så visar det sig att de själva använder amerikanska lösningar. Kanske inte för lagring men dock för olika integrationer, och utan dessa är lagringen tämligen meningslös. Jag utgår från att kunder också vill använda datan, inte bara lagra den. Även i egna annonser informerar de om att de använder Azure, vilket är Microsoft som har amerikanska ägare. Alla med teknisk kompetens vet att det är i stort sett omöjligt att undvika de amerikanska aktörerna eftersom de är ledande på marknaden. Säkerhet handlar om kundens vinning, inte ekonomisk sådan för säljaren. Då blir man en månglare.

Fråga din leverantör  – “Är du certifierad i enlighet med säkerhetscertifikatet ISO 27001:2022, och lever du upp till den nya DORA-lagstiftningen?”. Dessa certifikat visar att leverantören uppfyller specifika krav och regelbundet granskas av oberoende instanser. Att inneha dessa certifikat är dock inte en garanti i sig, men de utgör en viktig pusselbit i hela verksamhetens säkerhetstänk. Om svaret är “njae” eller på något annat sätt undvikande så har du ett eventuellt framtida problem som inte blir löst av europeisk lagring. Hur tror du att svensk datalagring löste problemet för de svenska företag och kommuner som förlorade hundratals miljoner i Tieto Evry incidenten?

Man kan förstås ställa andra frågor än de om certifikat, men då måste man ha teknisk kunskap och förstå att “crypto shredding” och andra rosa dunster är nonsensord i sammanhanget.

Verksamhetens säkerhet avgörs inte av huruvida ägaren av en molntjänst är europeisk eller amerikansk. Den avgörs i första hand av ditt eget säkerhetstänk och hur du organisatoriskt driver det. I andra hand avgörs den av hur din leverantör hanterar säkerhet och hur den tydligt visar att de tar den på allvar istället för att peka på andra.

Om du har frågor kring molntjänster i allmänhet och säkerhet i synnerhet är du välkommen att kontakta oss så berättar vi mer än gärna i detalj hur allt hänger ihop. Självklart svarar vi också “ja” på frågan om vi är certifierade. Vi lagrar all data i Europa och vår underleverantör, Amazon AWS, som är världsledande inom molntjänster, har alla på marknaden relevanta säkerhetscertifikat och alla de resurser som krävs för att hålla vår leverans till våra kunder säkra och trygga. 

Henrik Dannert, VD och grundare, Heartpace