Premium
Svenska myndigheter ratar Microsofts moln – bygger eget
Svenska myndigheter ratar Microsoft. Nu tar de fram egna lösningar där all data stannar inom EU. “Vi kan inte få ut maximalt värde av amerikanska moln”, säger Peter Nordström på Skatteverket.
Svenska myndigheter har under flera år haft siktet inställt på molnet. Men efter många, långa utredningar och flera beslut på EU-nivå blir det allt mer klart att de dominerande amerikanska tjänsterna som Microsoft 365 och Google Workspace medför problem.
– Det är svårt att använda molntjänsterna som de är tänka att använda om man inte delar personuppgifter. Vi kan helt enkelt inte få ut maximalt värde av de amerikanska molntjänsterna, säger Peter Nordström som är molnstrateg på Skatteverket.
Under förra året beslutade bland annat Kronofogdemyndigheten, Försäkringskassan och just Skatteverket att rata Microsoft Teams. Nyligen kom beskedet att Stockholms stad avbryter en migrering till molnmiljön Microsoft 365.
Men offentlig sektor har tagit saken i egna händer. Just nu arbetar tio offentliga aktörer i ett projekt under Esam, en organisation för digital samverkan mellan myndigheter, med att ta fram alternativa lösningar från europeiska it-företag.
Den 21 juni ska projektgruppen presentera ett fullgott alternativ till Microsoft Teams, med funktioner för videomöten, gruppchat och dokumenthantering i en och samma miljö.
– I de alternativ vi tittar på nu är det självklart att man ska kunna hålla polisförhör, att en läkare ska kunna samtala med en patient eller att en chef ska kunna prata med en anställd som har alkoholproblem, säger Peter Nordström som är Skatteverkets representant i arbetsgruppen.
Projektgruppen håller redan på att upphandla en första testversion från en svensk it-leverantör. De ska både använda den själva under våren, och genomföra pilottester med anställda på Kronofogdemyndigheten och Skatteverket.
Oro för övervakning
Gemensamt för alla beslut att inte migrera till amerikanska molntjänster är en oro och en risk dels för att tjänsterna bryter mot dataskyddsförordningen gdpr, dels att känsliga uppgifter rörande svenska medborgare ska hamna i händerna på amerikansk underrättelsetjänst.
Orsaken är amerikanska lagar som Fisa 702, EO 12333 och Cloud Act som gör det möjligt för landets underrättelsetjänst att begära ut data från amerikanska bolag. Det var dessa lagar som fick EU-domstolen att 2020 ogiltigförklara dataöverföringsavtalet Privacy Shield mellan EU och USA. Det som kallas för Schrems II-domen.
André Catry är en välkänd säkerhetsexpert, som bland annat utvecklat säkerhetslösningar åt Saab och grundat it-säkerhetsföretaget Bitsec, och är tydlig i sin inställning till amerikanska molntjänster. Som de amerikanska lagarna ser ut i dag, är det inte en möjlig väg framåt för offentlig sektor.
– Nej, är mitt korta svar, säger han.
– Jag skulle nog vilja påstå att ingen amerikansk molnleverantör kan tillhandahålla ett moln, även om det är geografiskt avskilt, där personuppgifter inte kan gå till den globala infrastrukturen. I backend finns alltid övervakning, loggsystem och en supportorganisation där personuppgifter flyter runt globalt.
Ny Teknik har ställt frågor om dataöverföring till Microsoft som svarar skriftligt:
”De överföringar som görs handlar till stor del om loggar och diagnostikdata, och dessa skyddas med en kombination av anonymisering, pseudonymisering och aggregering baserat på den europeiska dataskyddsstyrelsens rekommenderade skyddsåtgärder”, skriver Daniel Akenine som är säkerhetschef på Microsoft i Sverige.
Vad gäller risken för övervakning säger Daniel Akenine att det än så länge inte förekommit ett enda fall där Microsoft lämnat ut molndata som tillhör offentlig sektor inom EU.
“Ny och intressant statistik från det legala team som arbetar med frågan på Microsoft påvisar att Microsoft aldrig lämnat ut någon sådan data i våra tjänster inom EU”, skriver Daniel Akenine.
André Catry menar å sin sida att USA är ett av de få länder som vi de facto vet har ägnat sig åt spionage mot Sverige i modern tid. Det framkommer både via de NSA-dokument som visselblåsaren Edward Snowden läckte, och vid flera andra avslöjanden. Så sent som 2020 avslöjade Danmarks Radio att NSA försökt använda danska kablar för att spionera på försvarskoncernen Saab.
– Det finns någon typ av rädsla för att säga att USA spionerar på Sverige, det ser man aldrig i Säpos årsredovisning. De nämner aldrig USA, utan bara Kina, Ryssland och Iran. De gör oss en björntjänst genom att inte säga att det förekommer amerikanskt spionage för då tar inte offentlig sektor med det i sin riskanalys, menar André Catry.
Men frågan har under det senaste året till sist hamnat i rampljuset.
Jakten på ett europeiskt alternativ
Våren 2020 satt flera svenska myndigheter med ett dilemma. De använde Skype for Business för videokommunikation, en tjänst där kunderna själva kan drifta servrarna. Men Microsoft had bestämt sig för att lägga ner Skype och slussa över kunderna till Teams. Där ligger alla servrar i Microsofts moln.
Så under Esam sjösatte åtta myndigheter en projektgrupp som fick i uppdrag att titta på vad det skulle innebära att flytta kommunikationen från egna servrar till molnet.
I januari 2021 publicerade gruppen sin rapport, ett PM med den minst sagt byråkratiska titeln Molngruppens redovisning – Teknik, produkter och säkerhetslösningar. I Myndighetssverige kallas den kort och gott för Teams PM:t, och det har satt tonen för hela den efterföljande debatten.
– Fram till att vi skrev Teams PM:t tror jag inte att någon myndighet skulle få skit för att välja Microsofts moln. Men sedan vi publicerade det har vi inte hört någon som har börjat använda Microsoft, däremot många som hör av sig och vill vara försökskaniner för en migrering bort från Microsoft till de alternativ vi tittar på, säger Peter Nordström.
Rapporten i sig fokuserade inte på brister i Teams, men i den långa listan på säkerhetskrav och regelefterlevnad finns flera punkter som gör att amerikanska molntjänster blir mycket problematiska att använda. Något som senare låg till grund för att de inblandade myndigheterna ratade Teams som ersättare till Skype.
”Om Teams skulle användas på samma sätt som Skype används i dag, skulle det exponera stora informationsmängder för Microsoft”, skriver projektgruppen i en uppföljande rapport.
Problemet är bara, vad ska de välja i stället?
– Det finns inget färdigt alternativ till Teams eller Google Workspace på marknaden. Vi skrev att vi ser att lösningen är att flera myndigheter går samman och hittar ett alternativ, säger Peter Nordström.
En väg framåt
Sagt och gjort. I november 2021 landade en ny rapport från projektgruppen, Digital samarbetsplattform för offentlig sektor, där det bland annat ryms en lista över ett 30-tal europeiska alternativ – där amerikanarna Microsoft och Google lyser med sin frånvaro.
Nästa steg är att utvärdera lösningarna, och faktiskt hitta ett fungerande alternativ till Teams.
Arbetsgruppen har redan satt upp en egen testmiljö hos Tillväxtanalys, och håller för fullt på att upphandla en testlösning från ett svenskt it-företag som de ska använda i sitt eget arbete.
Den första lösningen som används kommer att vara en så kallad federerad it-miljö där man bakar ihop tre öppen källkod-program till ett: Jitsi för videomöten, Rocket.chat för gruppchat och Nextcloud för dokumentdelning.
Under våren kommer projektgruppen att testa att bygga flera liknande miljöer fast med andra program. De funktionsdugliga lösningarna ska presenteras för Esams styrgrupp på en mässa i juni, och förhoppningen är sedan att de ska kunna upphandlas av svenska eller europeiska molnleverantörer.
Det kanske inte kommer att vara lika finslipat som tjänster som Microsoft Teams och Google Workspace, men ambitionen är att de ska vara betydligt mer funktionella för myndigheterna.
”Vi väljer bort en sportbil som saknar tillstånd att användas utanför inhägnat område i Sverige, till förmån för ett enklare och mer robust fordon som får färdas fritt på vägarna”, skriver projektgruppen i sin rapport.
– Med amerikanska molntjänster är vi inlåsta från start. Det problemet har vi inte med en helt europeisk leverans. Så klart kan vi inte lägga vad som helst i molnet, men säg att vi kan lägga 10 procent av våra dokument i ett amerikanskt moln. Då kan vi lägga 95 procent i ett europeiskt, säger Peter Nordström.