Da en «tung», offentlig ekspertgruppe la fram sin rapport om sky-tjenester gikk alarmen i svenske offentlig innkjøpsmiljø. Uttalelsene fra gruppen slo ned som en bombe i offentlig sektor. Gruppen slo fast at ved bruk av utenlandske, f.eks. amerikanske, skytjenester, er det ingen garanti for at sikkerhetsbelagte opplysninger ikke havner i hendene på uvedkommende. Ja, selv en intern epost til it-avdelingen for å sjekke tekniske krav i forkant av en anskaffelse kan bli skjebnesvanger – om man bruker en eposttjeneste med utenlandsk opphav.
Det var en rapport fra eSam for noen uker siden som vekket offentlige oppdragsgivere i Sverige, melder upphandling24.se. eSam er et samarbeid mellom 23 myndigheter og Sveriges Kommuner och Landsting med formål å fremme og påskynde digitaliseringen av det offentlige Sverige.
eSam har hatt en juridisk ekspertgruppe til å se på hvorledes sikkerhetsregulerte opplysninger bør behandles i forbindelse med bruk av sky-tjenester. Det går ikke, heter det, å bruke amerikanske sky-tjenester i forbindelse med slike data, med mindre krypteringen er tilstrekkelig solid. Det er veldig vanskelig å få til, mener ekspertgruppen.
Amerikansk lov
Dette spørsmålet ble aktualisert av den amerikanske loven Cloud Act, som innebærer at amerikanske myndigheter skal gis tilgang til og med til data som lagres utenlands – og at amerikanske leverandører av den grunn ikke kan hindre utlevering av sikkerhetsbelagte data.
eSam har også sett på alternativ til sky-tjenester med utenlandsk opphav. Et slikt er å skape felles offentlige sky-tjenester for å kunne håndtere flere myndigheters behov av slike tjenester. Dette er utredet flere ganger i Sverige, heter det, og spørsmålet er komplekst og trengs håndteres på nasjonalt nivå.
Forstudie om alternativer
Et annet alternativ er å finne en løsning for å kunne avrope webbaserte tjenester som følger svensk lovgivning. Her er Statens inköpscentral i Kammarkollegiet i gang med en forstudie om en rammeavtale. Forstudien skal være klar i løpet av februar i år.
Som følge av rapporten fra eSam har SKL Kommentus sendt ut en forespørsel til leverandørene før de setter i gang sin anskaffelse av trygghetsbaserte systemer. De ønsker å vite hvorledes leverandørene arbeider med bestemte spørsmål: Hvor lagres informasjonen, om de benytter utenlandske underleverandører for lagring av informasjon, om de har egne servere, hvorledes informasjonen beskyttes osv.
Kan gi verdifull innsikt
I den planlagte anskaffelsen inngår håndtering av personopplysninger. SKL Kommentus vil se nøye gjennomsvarene de får inn, for å se om de kan gi verdifull innsikt i hvorledes kravene i anskaffelsen skal utformes.
Statens inköpscentral peker på at vanskelige spørsmål oppstår allerede dersom innkjøperne i virksomhetens sender planlagt anbud internt til IT-avdelingen for at de skal kunne gjennomgå de tekniske kravene. Ettersom det er absolutt sikkerhet som gjelder, så er spørsmålet om informasjonen på denne måten er kommet på avveie dersom man benytter en epost-tjeneste med utenlandsk opphav.
Bli den første til å kommentere på "Sjokk for svenske innkjøpere – ikke trygt å bruke utenlandske sky-tjenester"