Kryptering och svenska servrar - så ska AWS locka myndigheter

2020-10-21 11:14  

Amazons nya molntjänst ska övertyga myndigheter att det är säkert att använda molnet. ”De kan vara trygga med att deras data är krypterad”, säger Joakim Stolpe på AWS.

Frågan om offentlig sektor får använda publika molntjänster har blivit ett hett debattämne i Sverige efter it-skandalen på Transportstyrelsen för tre år sedan.

Det finns inget förbud mot att använda molntjänster, men det ställer krav både på leverantören och den berörda myndigheten. För att göra flytten till molnet både enkel och lagenlig har Amazon Web Services, AWS, nu lanserat en ny tjänst riktat specifikt till offentlig sektor.

Programmet kallas för AWS Clearstart och innehåller både tekniska lösningar och konsulttjänster. Det ska säkerställa att applikationer och data endast körs och förvaras på AWS servrar i Sverige, och att det finns fullgoda säkerhetslösningar.

– Vi har tagit fram ett koncept som omfattar både de tekniska delarna och rådgivning och vägledning för hur man bygger på rätt sätt, säger Joakim Stolpe på AWS.

Det ingår också utbildning till myndigheterna i hur de exempelvis gör riskanalyser och klassificerar sina data.

Rent praktiskt använder sig AWS av två befintliga tjänster som kallas för Cloudformation och Lambda. Bolaget har skapat ett slags mall för hur en molnlösning ska vara konfigurerad för att leva upp till svensk och europeisk lag.

På tjänstesidan samarbetar AWS med flera av Sveriges ledande it-konsultbolag som kan hjälpa till med implementering och utbildning för Clearstart. Däribland Atea, Capgemini, Cybercom och Knowit.

Läs mer: Amazon köper ytterligare 122 MW vindkraft i Sverige

Kryptering av data

En annan viktig del i erbjudandet till offentlig sektor handlar om stark kryptering av data, både när den är i rörelse och när den vilar på disk. Det ska säkerställa att ingen känslig information röjs, även om någon obehörig skulle få åtkomst till servrarna.

– När datan är krypterad är den oanvändbar för någon som skulle få tag på den och vill titta på bitsen och bytsen, menar Joakim Stolpe.

Kunden kan också välja om de vill använda AWS egen krypteringslösning, köpa in en från tredje part eller använda en som utvecklats internt. På samma sätt går det att välja att själv hantera krypteringsnycklarna.

Tanken är att det ska lugna den oro som uppstått efter Cloud Act, en amerikansk lag som infördes 2018. Den ger amerikanska myndigheter möjlighet att begära ut data från inhemska molnbolag oavsett i vilken land den lagras.

Finns det någon typ av data eller applikationer som ni anser att offentlig sektor inte kan använda AWS till?

– Den absolut majoriteten av all data och alla applikationer hos offentlig sektor är inte känsliga. Sedan finns det data som är mer känslig och omfattas specifikt av exempelvis gdpr, men då pekar jag igen på krypteringen. De kan vara trygga med att deras data är krypterad och därför ser jag att molnet går att använda för alla typer av arbetslaster, säger Joakim Stolpe.

Läs mer: Med morgondagens internet blir vår värld aldrig sig lik igen

Inget för data med hög säkerhetsklass

Den bilden delas inte nödvändigtvis av myndigheterna själva. E-sam, ett samverkansprogram bestående av 27 myndigheter och SKR, Sveriges kommuner och regioner, menar att offentliga organisationer måste vara noggranna när de väljer vilken typ av data som läggs i publika moln.

– Nyckeln är vilken information du ska hantera i tjänsten, det är ett grundläggande informationssäkerhetsarbete som du behöver göra på hemmaplan, säger Johnny Carlberg som är säkerhetskoordinator på E-sam.

Han poängterar att han inte kan uttala sig om AWS Clearstart specifikt, men trycker på vikten av att göra en analys av både tjänsten och tillämpningarna.

– Antagligen lägger du inte information som rör rikets säkerhet i en publik molntjänst. Sedan har du en skala från helt öppen och publik data till det som är säkerhetsklassat på hög nivå. Du behöver verkligen ha kontroll över var på skalan den information du ska hantera i molnet befinner sig, säger Johnny Carlberg.

Läs mer: Här är Googles byggplaner i Dalarna

Förutom amerikanska Cloud Act har molnsektorn påverkats av den nya europeiska dataskyddsförordningen gdpr och NIS-direktivet som ställer krav på it-säkerhet i samhällskritisk infrastruktur. Dessutom har EU-domstolen stoppat dataskyddsavtalet Privacy Shield mellan EU och USA. Allt detta har sammantaget gjort att molnbolagen fått anpassa sina tjänster, vilket AWS Clearstart är ett exempel på.

– Vi märker att leverantörerna har börjat röra på sig, inte bara AWS och Microsoft utan hela marknaden. Det är inte bara en svensk fråga utan en europeisk och det är jättebra att marknaden börjar flytta sig i rätt riktning, säger Johnny Carlberg.

Samtidigt pågår en statlig utredning som ska ge klarhet i om och hur offentlig sektor kan använda sig av publika molntjänster. Resultatet ska presenteras först i januari nästa år, men Joakim Stolpe på AWS tror inte att det är någon risk att utredningen skulle komma fram till att en tjänst som Clearstart inte ska leva upp till svensk lag.

– Nej, jag ser inte den risken. Det vi ser är att våra kunder har ett stort behov av att använda publika molntjänster som AWS för att bli mer flexibla, agila, kostnadseffektiva och få tillgång till den senaste tekniken, säger Joakim Stolpe.

Simon Campanello

Mer om: Molntjänst AWS

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt