Säkrare moln för e-förvaltning

0 kommentarer
På EU konferensen om e-förvaltning förra veckan presenterade Mats Odell en ministerdeklaration som medlemsstaterna har skrivit under. Deklarationen bygger på E-delegationens arbete med en nationell e-förvaltningsstrategi som presenterades i oktober.

Deklarationen förespråkar öppna standarder och (om än något försiktigt) öppen programvara. Man vill skapa tjänster som utgår från användarnas behov (user-centric) och bjuder in företag och organisationer att utveckla tjänster i samarbete med myndigheterna. Deklarationen pratar om att myndigheterna ska utforska nya, öppna och flexibla tjänstearkitekturer och IT-paradigmer. Man kan lätt tolka det sistnämnda som SOA och molntjänster.


När jag väcker frågan om myndigheter kan utnyttja molntjänster möts jag oftast av skepsis från kunder och branschkollegor. Det vanligaste argumentet är: "Hur ska vi kunna lägga ut personinformation i molnet när vi inte vet var och hur den lagras?" Nej, det kanske är sant. Men hur skiljer sig den situationen från outsourcing till en driftspartner och varför ska vi som kunder lägga oss i hur leverantören implementerar sina tjänster? Hur informationen får hanteras och vad som gäller vid incidenter kan och ska regleras med avtal!


Det största hindret för att utnyttja molntjänster för myndigheter idag är att det inte går att få sekretesskraven tillgodosedda. Den personliga integriteten för medborgarna står på spel vilket inte är acceptabelt. Dessutom har molnleverantörerna visat en omutlig ovilja att anpassa avtalen för att ge nödvändiga garantier.


Men nya, säkrare moln är på väg! Google lanserar ett separat (?) moln med tjänster för amerikanska myndigheter nästa år och den amerikanska myndigheten GSA (General Services Administration) erbjuder monltjänster för myndigheter genom portalen Apps.gov. Dessutom har flera leverantörer av SOA-produkter under året lanserat säkerhetsprodukter anpassade för molntjänster.


I fredags presenterade ENISA (European Network and Information Security Agency) rapporten
"Cloud Computing: Benefits, risks and recommendations for information security". I rapporten redovisas säkerhetrelaterade för- och nackdelar i molntjänster samt rekommendationer till upphandlande kunder. Den pekar även ut områden där mer forskning och utveckling behövs för att tillgodose kundernas behov fullt ut.

ENISA konstaterar att det faktiskt finns en hel del säkerhetsmässiga fördelar med molntjänster. Exempelvis nämns lägre kostnad per transaktion för säkerhetsinfrastruktur, skalbar kapacitet för säkerhetstjänster, effektivare patchhantering, standardiserade gränssnitt för managed security services (MSS), bättre möjligheter för detaljerad loggning och granskning (virtualisering förenklar t ex forensisk analys utan att avbryta driften). De konstaterar också att säkerhet är en tydlig särskiljande faktor för molnleverantörer och att de därför har en stark drivkraft att förbättra sin säkerhetsfunktionalitet i tjänsterna.


En godkänd leverantör för molntjänster till EU-myndigheter känns därför inte så avlägsen. Det skulle möjliggöra större rationaliseringsvinster för e-förvaltning inom EU och minska myndigheternas behov av dyra investeringar i moderna skalbara IT-miljöer. Det skulle också främja fri konkurrens och större flexibilitet i framtagandet av tjänsterna.


EU-kommissionen har nu möjlighet att skapa en ny standard för hur publika tjänster ska implementeras och driftas så att så många användare som möjligt får så mycket nytta som möjligt för så lite dubbelarbete som möjligt.




Rätt säkerhet – på liv och död?

0 kommentarer
Vad är egentligen riskanalyser bra för? Att analysera sina risker låter lite navelskådande. Möjligen även en smula pessimistiskt.

Vi som arbetar inom säkerhetsområdet, både i linjeroller och som konsulter, arbetar ständigt med att argumentera för vårt eget hjärtebarn, säkerhetens betydelse i verksamheten.

Efter många år inom sjukvårdsektorn har jag sett och till del även börjat uppskatta den krassa prioriteringen. Något tillspetsat: Välj mellan hög säkerhetsnivå (t.ex. högt integritetsskydd) eller rädda livet på patienten?

Jag är övertygad om att svaret på den frågan alltid kommer besvaras med: Livet, såklart! I alla fall om vi befinner oss på armlängds avstånd från den vars liv det handlar om.

Sett på håll kan svaret bli annorlunda, åtminstone i det teoretiska fallet. Vadå, teoretiska fallet? Jo, vad jag menar är att det är mycket lättare att stifta lagar, upprätta regelverk och yrka på strikt efterlevnad om man får sitta på håll och arbeta med statistiska utfall.

Hur många av vårdens patienter dör på grund av att det saknas information om deras tidigare vårdtillfällen och uthämtade läkemedel? Därom tvista de lärde, men siffror i tusental räknat används ofta som slagträ i debatten för bättre informationssystem inom vården. Men säkerhetsaspekterna, då, vad gör vi med dem?

Det är då vi yppar de magiska orden: rätt säkerhet! Med rätt säkerhet kan vi både hålla hög säkerhet i informationshantering, i passagekontroller, i patientvården m.m. och samtidigt ge rätt vård grundat på rätt informationsunderlag.

Det är här det svåra börjar. Vad är rätt och vad är fel?
En mängd olika verksamheter har interna regelverk och lagstiftning att följa. Är att följa dem till varje pris det som är rätt? Att begå lagbrott är inte att rekommendera, så mycket tycker jag mig förstå. Att tulla på interna regelverk då, är det OK?

Det är självfallet omöjligt att svara på i det generella fallet. Enda sättet att komma fram till ett svar som är ”rätt” är att ta hänsyn till alla påverkande faktorer. Lätt, eller hur?
Nej, det är det inte, men det går faktiskt nästan!

Vad som är rätt säkerhet är en komplex fråga och bör hanteras som en sådan. Att få med så många påverkande faktorer som möjligt får man i en kvalificerad riskanalys. Inte den där man gör själv inför valet mellan att ta bussen eller bilen, utan den där så många som möjligt av de som kan förväntas bidra till klarhet i frågan deltar.

Hur ofta utförs en bra riskanalys? Alldeles för sällan, på gränsen till aldrig…
Varför då? När det är så otroligt bra…

Magnus Andersson