Molntjänster har funnits i ett decennium nu. Kombinationen av pris och den tekniska utvecklingen kring hårdvara, mjukvara och bandbredd visade sig vara helt rätt. Under dessa tio år har användningen av molntjänster vuxit explosionsartat och idag använder nästan alla privatpersoner och organisationer någon slags molntjänst. Samtidigt finns det frågor, både hur molntjänster kan skydda mot obehörig åtkomst av känsliga data och hur processerna ser ut för behörig åtkomst vid brottsutredningar – något som kan vara av intresse att förtydliga.
Molntjänster och obehörig åtkomst
”Är det säkert att använda molnet?” är en berättigad och återkommande fråga, och samtidigt den typ av fråga som ofta måste bevisas genom att tiden går och man kan visa historiska resultat. Så hur ser arbetet ut för att skydda molntjänster idag?
Varje månad söker Microsoft igenom 400 miljarder epostmeddelanden efter skadlig kod. Över 3 000 säkerhetsexperter och forskare arbetar heltid med att skydda molntjänsterna och varje dag upptäcker man och avvärjer 1,5 miljoner attacker. Alla dessa attacker och data samlas i Microsoft Security Graph som används för att upptäcka bedrägerier, intrångsförsök eller tidiga överbelastningsattacker. I samma stund som ett säkerhetshot upptäcks är denna information tillgänglig i alla molntjänster som körs i Microsofts plattform och ger samma cyberskydd åt både stora som små företag. Cyberhoten idag är komplicerade och omfattande men går att bekämpa genom avancerad dataanalys, AI system, processer och samarbeten mellan olika aktörer.
Inga system kan garantera 100% säkerhet men de senaste åren har många banker, myndigheter och sjukhus efter noggrann analys ofta valt molntjänster just för de stora resurser i personal och teknik som används för att skydda dem.
Frågan ”kan jag använda molntjänster och skydda min data?” har idag allt oftare ändrats till ”kan jag skydda min data utan molntjänster?”
Molntjänster och behörig åtkomst
Ett fungerande samhälle förutsätter att polisen kan utreda och förhindra brott. Microsoft har sedan många år en process för att hjälpa svensk polis och åklagare i brottsutredningar av grövre natur, allt enligt noggranna riktlinjer för att säkerställa rättssäkerhet och transparens. Varje förfrågan behöver matcha ett kontonamn och handlar normalt om kringliggande information som IP-adresser eller annan metadata och mycket sällan om innehåll i kommunikation. Processen i Sverige hanteras av en svensk advokatbyrå och tillser att vi kan vara behjälpliga i allt från varningar om skolbomber till jakten på förrymda och för allmänheten farliga brottslingar. På samma sätt som vi hjälper svensk polis, hjälper vi också polisära insatser i andra länder i världen.
Hur ser då omfattningen ut av den behöriga åtkomsten? Halvårsvis ger vi ut en rapport som i detalj visar samtliga ärenden i världen uppdelat på land, förfrågningar, konton och nivå av åtkomst. Rapporterna som går mer än fem år bakåt i tiden ger en tydlig bild. Under det första halvåret 2018 mottogs strax över 23 000 förfrågningar av vilka endast 50 rörde icke-konsumentkonton. Av dessa avvisades eller omdirigerades 32 ärenden av Microsoft och av de kvarvarande gällde 10 ärenden innehåll. Enbart ett av de amerikanska ärendena gällde också data utanför landets gränser. Inga gällde Sverige.
”Hur påverkar amerikanska CLOUD Act hanteringen?”
I takt med digitaliseringen ökar också behovet av att kunna göra undersökningar på distans och tvångsmedel som editionsföreläggande och husrannsakan behöver anpassas till en global och på många håll digital värld. Lagstiftningsarbete pågår i Sverige och i andra länder för att på liknande sätt se över reglerna.
I USA antogs tidigare i år Clarifying Lawful Overseas Use of Data (CLOUD) Act med just det syftet. Lagen tydliggör och sätter samtidigt gränser för amerikanska polismyndigheters möjligheter att begära ut data från leverantörer i samband med brottsutredningar. Bland annat begränsas krav på utlämnande i situationer när kopplingen till USA är svag. Dessutom ges leverantörerna en tydlig rätt att begära domstolsprövning när ett utlämnande begärs. Enligt prövningen (så kallad comity analysis) bedöms om det föreligger legala hinder enligt det utländska landets lag.
På Microsoft ser vi lagen som ett steg i rätt riktning och en kodifiering av den rättspraxis vi har varit med att skapa genom de rättsfall vi fört mot den amerikanska staten. För det första ska vi fortsätta måna om våra kunders data och alltid säkerställa att rätt processer följs. För det andra ska vi gå till domstol i de fall vi ser ett behov av att försvara våra kunder i enskilda ärenden där data utkrävs från oss. För det tredje så ska vi fortsätta trycka på behovet av fler bilaterala samarbetsavtal för att tillse bättre processer internationellt.
Missförstånd och överdrivna farhågor kring den amerikanska lagen är vanliga. Microsoft ger inte direkt åtkomst till kunddata. Precis som i polisärenden från svensk polis handlar det om enskilda förfrågningar kring konton och aldrig generella sökningar. Microsoft ger inte ut krypteringsnycklar eller möjligheter att bryta kryptering eller på annat sätt gå in bakvägen för att komma åt kunddata.
Molntjänster och röjande
”Men hur är det med data under sekretess? Kan jag lagra sekretessbelagd information i molntjänster utan att automatiskt anses ha röjt sekretessen?”
Frågan om sekretess och vad som ses som ett röjande av uppgifter har varit på tapeten de senaste åren. Åsikterna har gått isär och flera myndigheter känner sig osäkra på rättsläget när det gäller sekretessbelagda uppgifter.[1]
E-delegationens förstudie och resonemang kring outsourcing från 2015[2] pekade på att det inte bör betraktas som ett röjande i offentlighets- och sekretesslagens mening om en hemlig uppgift har gjorts tillgänglig för en utomstående på ett sådant sätt att det förefaller osannolikt att mottagaren tar del av uppgifterna. Tekniska och organisatoriska rutiner som skyddar uppgifterna skulle på så sätt påverka röjandebedömningen. Resonemanget fördes vidare av samverkansgruppen eSam och dess juridiska expertgrupp bedömde att uppgifter inte ska anses röjda trots teknisk tillgång om tjänsteleverantören enligt avtal inte får ta del av eller vidarebefordra uppgifterna och omständigheterna i övrigt medför att det är osannolikt att detta ändå sker.[3] Uttalandet tog inte sikte på molntjänster och i ett nyligen publicerat uttalande konstaterar gruppen istället att för vissa typer av molntjänster är det inte längre osannolikt att uppgifterna kan komma att lämnas till utomstående.[4] Enligt uttalandet är det utländskt ägande och regleringar som the CLOUD Act som får gruppen att ta en motsatt ståndpunkt.
Vi delar inte eSam:s ståndpunkt utan anser att det som en följd av the CLOUD Act finns ännu tydligare argument för att hävda osannolikhet och att ett automatiskt röjande inte sker. Vi menar också att det inte enbart kan vara det utländska ägandet som styr utan en mer nyanserad bedömning behöver göras. Här kan det skilja sig mellan leverantörerna och faktorer som avtalsåtaganden, historik och teknisk arkitektur spelar roll.
Så länge det inte handlar om uppgifter som är sekretessbelagda med hänsyn till rikets säkerhet (då skalskyddet i Säkerhetsskyddslagen blir aktuellt) så är det relevant att se till:
- Helhetsbilden – hur ser riskexponeringen ut idag när det kommer till obehörig och behörig åtkomst och hur mycket kan molntjänsten stärka skyddet genom ökad kontroll och upptäckt av obehörig åtkomst och minska hotbilden från cyberbrott som begås av individer, syndikat och stater?
- Den faktiska exponeringen mot främmande rätt – Microsofts transparensrapporter talar sitt tydliga språk kring vilka faktiska utlämnanden av uppgifter det handlar om och omfattningen av dessa. Microsofts avtal innehåller strikta regleringar som stipulerar att ärenden ska hänvisas till kunden och rapporterna visar att det inte finns exempel på exponering från ett svenskt myndighetsperspektiv, vare sig innan införandet av the CLOUD Act eller därefter.
- Vikten av att ha en samarbetspartner som bygger sin existens på att erbjuda säkra verktyg till företag, myndigheter, organisationer och individer världen över och som har – och kommer att framgent behöva – ta striden för sina kunder i en fullt ut global värld. Microsofts engagemang, bl. a. i de fyra domstolsprocesserna mot den amerikanska staten och de internationella samtalen om en s.k. digital genevekonvention, ger stöd för argumenten att de noggrant utformade rättsmedlen och skydden som the CLOUD Act inför också kommer att användas. Exponeringen mot främmande rätt är en realitet för alla som vill använda telefoni, internet och digitala verktyg och det är vår fasta övertygelse att isolationism och murar i denna del enbart kommer leda till en eftersatt säkerhet.
På Microsoft tar vi frågan om våra kunders behov av regelefterlevnad på högsta allvar. Genom att vara betrodd med kundinformation från allt från europeiska storbanker till europeiska myndigheter har vi utvecklat en robust säkerhetsstruktur där vår globala styrka och investeringar gagnar även den minsta kunden. Vi har full förståelse för att frågan om sekretess är viktig och vi har erfarenhet av att hjälpa svenska kunder med att förklara tekniska och organisatoriska rutiner för risk- och sårbarhetsanalyser och rättsprövningar. Genom att samarbeta för att säkerställa mänskliga rättigheter som integritet och rättssäkerhet så kan vi åstadkomma långt mer än om vi isolerar oss.
Tveka därför inte att ta upp frågan med din Microsoft-representant. Vi skyr inte en rak diskussion om säkerhet och sekretess.
Länkar
- https://en.wikipedia.org/wiki/Cloud_computing#Early_history
- https://news.microsoft.com/bythenumbers/en/cyber-attacks
- https://news.microsoft.com/stories/cloud-security/
- https://www.microsoft.com/en-us/trustcenter/privacy/govt-requests-for-data
- https://www.microsoft.com/en-us/corporate-responsibility/lerr
- https://www.microsoft.com/en-us/trustcenter/security/cybercrime
[1] Se SOU 2018:25, där Digitaliseringsrättsutredningen inte gör en egen tolkning men argumenterar för att det oklara rättsläget i sig talar för en ny lagstiftning.
[2] Fi 2009:01/2015/4, Sekretess vid outsourcing – en förstudie.
[3] eSam VER 2015:190.
[4] eSam VER 2018:57.
