”Risken är betydande”

1. Berörs svenska teknik- och forskningsbolag av NSA-skandalen?

2. Bör de sluta anlita molnföretagen i USA – som Amazon, Microsoft, Google och Salesforce – som ju samarbetar med NSA?

3. Hur stor är risken för industrispionage – att FoU-hemligheter faktiskt läcker till underrättelsetjänster eller konkurrenter – om man använder sig av molntjänster?

Fredrik Ljunggren, It-säkerhetsspecialist på it-företaget Kirei:

1. Ja, alla som använder den här typen av molntjänster med amerikanska ägarintressen löper risk att avlyssnas av NSA.

2. Det går naturligtvis bra att använda tjänster från dessa leverantörer, förutsatt att man är medveten om riskerna och har vidtagit de åtgärder som krävs för att skyddsvärda företagshemligheter inte ska röjas.

3. Det går inte att blunda för att risken existerar. Hur stor den är beror på verksamhetens art, hur konkurrenssituationen ser ut och värdet på de företagshemligheter man hanterar. För amerikansk del finns svårigheter i att läcka sådana uppgifter till egna industrin utan att snedvrida den inhemska konkurrensen. Det finns dock ett antal dokumenterade fall där amerikanska underrättelsetjänsten avslöjat bestickning och andra oegentligheter, samt offentliggjort bevisen, vilket lett till att den egna industrin gynnats.

Tommy Svensson, Säkerhetsexpert på Svenskt Näringsliv:

1. Ja – det är ett tydligt exempel på att information på nätet är åtkomlig på många sätt.

2. Nej, inte generellt, affärsmässigt sett. Företagen som äger informationen måste göra en egen avvägning (riskanalys).

3. Ja, risken är betydande för den som har intressant information, oavsett om NSA finns med i bilden eller inte.

Anne-Marie Eklund-Löwinder, Säkerhetschef på Stiftelsen för internetinfrastruktur (.SE):

1. Ja, det vore väl egentligen konstigt annars om man ser till omfattningen av den extrema avlyssningen. Även om man hittills bara sägs röra vid 1,6 procent av informationen som finns på internet, handlar det i faktiska tal om väldigt mycket information. Så visst berörs de.

2. Om det är så att man ska använda en molntjänst, bör man se till att den egna informationen är krypterad både under transport och lagring. Sedan kan man bara hålla tummarna för att molnföretaget inte har en överenskommelse med någon signalspaningsmyndighet om nyckeldelning.Att upphandla en molntjänst kräver att man ställer väldigt mycket frågor kring säkerheten och frågar molnföretaget vilka krav de har på sig från myndigheternas sida.

3. Oavsett om företagen använder en molntjänst eller driver egna servrar så måste man skydda sig eftersom trafiken går via internet. Risken kan variera mycket beroende på vilka tjänster det handlar om, exempelvis e-posttjänster eller datalagring. Viktigt är att ta reda på vem man delar servrar med, och om dessa kan dra på sig attacker, om hur molnföretaget hanterar sin egen, interna personal. Det är lättare att ha koll på vilka regler som gäller för molntjänster i EU, än för USA.