Strid om säkerhetsriskerna i Office 365

2017-10-19 06:00  

Att myndigheter lägger alltmer av sin information i molnet kan krocka med sekretesslagstiftningen. När anses en uppgift ha lämnats ut? Fokus just nu ligger på Microsoft Office 365.

Det blir allt vanligare att myndigheter lägger ut delar av sin verksamhet i molnet. Ett vanligt exempel är Microsoft Office 365, som bland annat innefattar e-post och dokumentlagring i Onedrive.

Nyligen avbröt en jurist i Göteborgs stad utrullningen av Office 365. Anledningen är tveksamheter kring hur en molnbaserad lösning matchar med sekretessbestämmelserna i Offentlighets- och sekretesslagen, OSL.

Sveriges Kommuner och Landsting uppmanar nu myndigheter att avvakta med att börja använda tjänsten tills läget klarnat.

– Om man redan använder tjänsten får man följa utvecklingen, säger Jeanna Thorslund, jurist på avdelningen för digitalisering på SKL.

Kortfattat hanterar myndigheter tre typer av känslig data: personuppgifter, sekretessuppgifter samt säkerhetsklassade uppgifter som rör rikets säkerhet. Den sistnämnda kategorin har kommit rejält i strålkastarljuset efter händelserna på Transportstyrelsen, då fordonsregistret plötsligt befann sig utomlands.

Lagring av personuppgifter i molnet brukar generellt sett inte utgöra ett problem förutsatt att ett antal kriterier är uppfyllda.

Men vad som gäller för sekretesskyddade uppgifter tycks det ännu inte finnas några klara besked kring.

Olika jurister gör olika bedömningar. Och i Göteborg har nu alltså en av dem dragit i nödbromsen.

När Office 365 införs på en svensk myndighet innebär det att alla berörda mejl och dokument hamnar i ett datacenter i Dublin. Informationen lagras som huvudregel delvis okrypterad. Detta för att möjliggöra en rad funktioner, bland annat indexering, vilket gör det möjligt att söka i exempelvis sin inkorg.

Den lagrade datan skyddas från Microsoft-anställda genom en rad åtgärder, bland annat regelverk, loggning av aktivitet och hot om åtal för dataintrång. Microsoft menar att människor inte hanterar informationen utan bara kod och algoritmer.

– Därmed säger vi att det inte har lämnats ut några dokument till någon Microsoft-anställd och att det löser problemet med OSL, säger Daniel Akenine, säkerhetschef på svenska Microsoft.

Problemet ur Microsofts synvinkel uppstår främst när en supportingenjör kan behöva tillgång till information för att till exempel felsöka. Och i samma ögonblick som supportingenjören får tillgång till en inkorg eller dokumentsamling är uppgifterna röjda.

Som ett svar på detta har Microsoft därför utvecklat en lösning de kallar customer lockbox. Innan supportingenjören får tillgång till informationen måste två saker ske: Först måste en chef på Microsoft ge sitt godkännande och kontrollera att supportingenjörens begäran stämmer. Därefter får kunden som äger datan möjlighet att sekretessgranska den för att avgöra om den kan lämnas ut till supportingenjören.

Det kan i vissa fall röra sig om ganska stora sekretessgranskningar?

– Det skulle det kunna bli. Nu vet jag inte hur många supportärenden som är kopplade till unika e-postmeddelanden eller öppnande av mejlboxen. Det kan också vara dokument som finns i Onedrive. De flesta använder inte e-post för att skicka sekretessklassad information utan vanlig post, säger Daniel Akenine.

Det finns andra lösningar där informationen lagras krypterad, men risken är då att Office 365 tappar i funktionalitet.

Daniel Akenine konstaterar att frågan om hur sekretesskyddad information kan lagras i molnet har diskuterats i juridiska kretsar sedan flera år. Han hade önskat att exempelvis Justitieombudsmannen gav klara direktiv.

– Vi har nu beskrivit hur man kan lösa det underliggande problemet. Men detta gäller all outsourcing och alla molntjänster. Principen att få tillgång till information finns i jättemånga sammanhang. Det här är en större fråga än Office 365, säger han.

Johan Kristensson

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt