Microsoft får många frågor kopplade till molntjänster, säkerhet och regleringar. Det kan vara frågor som rör krypteringar, CLOUD Act eller vem som har tillgång till data i våra molntjänster. Vi har därför samlat ihop många av de frågor vi får in på denna sida. Vi har också samlat vägledningar som är nyligen publicerade kring användande av molntjänster i den offentliga sektorn samt exempel på hur andra organisationer har gjort sina analyser och bedömningar.
Microsofts molntjänster är bland de säkraste IT-tjänsterna i världen. I takt med att nästan hela samhället digitaliserats har det blivit allt viktigare att skydda IT-systemen mot dataintrång. Bara de senaste åren har vi sett många incidenter av varierande omfattning i samhällets IT-system, något som visar hur viktigt hög säkerhet och kvalitetssäkrade processer är för att skydda vår information. Microsoft är ett av världen största IT-företag med över 140 000 anställda, varav 3 500 som på olika sätt arbetar med att skydda molntjänster som idag används av hundratals miljoner människor, banker, sjukhus och myndigheter över hela världen.
Frågor och svar
Vem på Microsoft kan komma åt data som vi lagrar hos er?
Microsoft använder data för ändamålet att erbjuda dig de överenskomna tjänsterna, till exempel för felsökning eller förbättring av funktioner, exempelvis skydd mot skadlig kod.
Microsofts personal och tekniker har inte direkt åtkomst till molnkunders data. De får bara tillgång och behörigheter när det är nödvändigt och då under översikt av högre chefer.
Läs mer här: https://www.microsoft.com/sv-se/trust-center/privacy/data-access
Kan underleverantörer få tillgång till data vi lagrar hos er?
Underleverantörer får åtkomst till data enbart för att kunna leverera de funktioner som stödjer onlinetjänsterna för vilka Microsoft anlitat dem, all annan användning av data är förbjudet. De måste upprätthålla sekretessen för dessa data och är bundna att uppfylla strikta sekretesskrav som är likvärdiga eller hårdare än Microsofts åtaganden gentemot sina kunder i villkoren för onlinetjänsterna.
Läs mer om vilka underleverantörer vi anlitar: https://go.microsoft.com/fwlink/p/?linkid=2096306
Kan svenska polisen begära ut data vid brottsutredningar?
Brottsutredande myndigheter i Sverige kan begära ut data från Microsoft efter åklagarbeslut. Som exempel begärde svenska polisen ut data i 232 olika fall under 2018. Den absoluta majoriteten av fallen berör konsumentkonton som t.ex. Outlook.com och metadata som t.ex. IP-adresser och tidpunkter för skickad epost.
Läs mer här: https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report
Vad är CLOUD Act och vad ger den för möjligheter för USA att få tillgång till data?
Den amerikanska lagen CLOUD Act ger brottsutredande myndigheter i USA möjlighet att begära ut data för att säkra digitala bevis. En sådan begäran måste alltid godkännas av en oberoende domare.
Jag håller på att göra en risk och sårbarhetsanalys – hur kan jag beräkna sannolikheten att data lämnas ut till amerikansk polis i en brottsutredning?
Det är svårt att beräkna en exakt sannolikhet men som exempel så mottog Microsoft under det första halvåret 2018 endast 50 förfrågningar som gällde icke-konsumentkonton. Av dessa avvisades eller omdirigerades 32 ärenden av Microsoft. Enbart ett av de amerikanska ärendena gällde också data utanför landets gränser. Inga gällde Sverige.
För svenska kunder så har det historiskt alltså rört sig om inga ärende alls eller ett fåtal ärenden. Dessa siffror kan ställas i relation till att Microsoft Office 365 har närmare 200 miljoner användare globalt.
Kan man använda teknik som molntjänster, mobiltelefoner och outsourcing för sekretesskyddade data utan att informationen anses som röjd?
Själva användandet av teknik som mobiltelefoner, molntjänster, datorer eller outsourcing innebär att teknikleverantörer som hårdvarutillverkare, internetoperatörer, outsourcingpartners m.fl. får en teoretisk tillgång till information när den passerar inom deras kontroll. Detta tolkas olika av olika jurister kopplat till röjande.
Läs t.ex. hur Danderyds kommun resonerade i sin utredning: https://meetingsplus.danderyd.se/committees/kommunstyrelsen/kommunstyrelsen-2019-09-30 (punkt 6)
Var finns den data som jag lagrar hos Microsoft?
Du väljer själv i vilka geografiska regioner du vill lagra din data. Idag finns det 54 regioner över hela världen. Microsoft expanderar kontinuerligt och just nu byggs ett antal datacenter i Sverige.
Läs mer på: https://www.microsoft.com/sv-se/trust-center/privacy/data-location
https://azure.microsoft.com/sv-se/global-infrastructure/regions/
Är det inte säkrare att bygga ett svenskt datacenter för IT-drift? Regeringen har sagt att man vill starta en utredning som ska titta på detta?
Idag arbetar över 3500 anställda på Microsoft med säkerhetsfrågor och vi investerar runt tio miljarder kronor per år i säkerhetsfrågor och forskning vilket resulterar i en väldigt hög IT-säkerhet. För många organisationer idag har frågan gått ifrån att ställas: ”kan jag använda molntjänster och skydda min data?” till ”kan jag skydda min data utan molntjänster?”.
Att digitalisera utan att använda molntjänster är ett stort hinder då moderna innovationer kring samarbete, kommunikation, AI, dataanalys och sakernas internet idag görs på molnplattformarna och ofta inte finns tillgängliga på lokala plattformar.
Regeringen har därför startat en utredning som både kommer titta på kostnader och säkerhet för privata moln och analysera de rättsliga förutsättningarna att med bibehållen säkerhet använda kommersiella aktörer och molntjänster.
Läs mer på: https://www.microsoft.com/sv-se/security/operations
Kan vi inte bara kryptera all känslig information i molnet för att öka säkerheten?
Kryptering är standard i många tjänster och det finns många olika typer av krypteringslösningar som man kan använda för att ytterligare öka säkerheten. Man kan t.ex. lagra krypteringsnycklar i skyddad hårdvara i molnet eller i sin egen organisation. Det man ska tänka på är att kryptering i vissa fall kan påverka tjänsten så det är viktigt att förstå vad man har för behov och förutsättningar.
Du kan läsa mer om hur du kan klassificera och skydda känslig information med teknik här: https://www.microsoft.com/sv-se/security/technology/information-protection
SKR – Sveriges Kommuner och Regioner
SKR – Vägledning för molntjänster
SKR publicerade i november 2019 en ny vägledning för molntjänster som kan användas vid riskbedömning av molntjänster. Den innehåller dels en vägledning för de som är verksamhetsansvariga, dels processer som kan användas för en konfidentialitetsbedömning samt ett PM om hur CLOUD Act fungerar.
Ladda ner dokumenten i vägledningen här: https://skr.se/naringslivarbetedigitalisering/digitalisering/arkitektursakerhet/molntjanster/vagledningarmolntjanster.29885.html
Några av frågorna som berörs i vägledningen är:
Användning av molntjänster idag
”Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.”
Molntjänster och säkerhet
”Molntjänster kan med rätt kravställning och införande ge en betydligt högre nivå av it-säkerhet än vad it-drift i egen regi kan åstadkomma.”
”All informationshantering innebär risk och den vedertagna metoden för att minska risker är att arbeta med flera olika typer av analyser för att identifiera vilka säkerhetshöjande och riskreducerande åtgärder som behöver vidtas.”
Strategifrågor
”Molntjänster ska generellt inte undvikas – tvärtom – de kan ofta vara den mest effektiva lösningen. Däremot bör verksamheten säkerställa att analys av säkerhet och rättsliga frågor genomförs för att identifiera vilket behov av skydd som behövs för olika typer av information så att konfidentiell eller känslig information inte hanteras fel. ”
Notera att Sveriges Kommuner och Regioner inte delar alla rekommendationer som finns i vägledningen om molntjänster från det så kallade eSamverkansprogrammet utan hänvisar till ovan vägledning istället.
Ett kundcase
Exempel på riskbedömning av Office 365 hos Danderyd kommun
Danderyds kommun har under 2019 gjort en detaljerad utredning av Office 365 och gjort en sammanvägd bedömning av risker och nyttor kopplade till:
- Juridik
- Dataskydd
- Informationssäkerhet
- IT-säkerhet
Syftet har varit att utreda om och i så fall hur molntjänsten Office 365 kan och får nyttjas för sekretessreglerad och sekretessbelagd information och personuppgifter. Man landar i en samlad bedömning att tjänsten går att använda (exklusive för information som rör Sveriges säkerhet och som lyder under säkerhetsskyddslagen) baserat på Danderyds förutsättningar och behov.
Några av frågorna som berörs i utredningen är:
Röjer kommunen sekretessbelagda uppgifter när kommunen använder Office 365?
”Det måste bedömas vara nödvändigt att lämna ut sekretessbelagda uppgifter till Office 365 och Microsoft för att kommunen ska kunna fullgöra sin verksamhet, enligt 10 kap. 2 § offentlighets- och sekretesslagen, för att grund för utlämnandet av uppgifterna ska finnas. Utredningen har funnit att denna problematik även uppstår vid egen serverdrift (som i princip alltid kräver extern support) utan att en molntjänst används, och att det i vart fall måste vara nödvändigt för kommunen att välja något av de kontorsstödssystem som finns till hands. ”
CLOUD Act och röjande
”CLOUD Act och liknande regelverk kan medföra att utlämnandet utgör ett röjande av sekretessbelagda uppgifter, om uppgifterna lämnas ut av Microsoft till tredje part. Sannolikheten att uppgifterna lämnas ut av Microsoft till tredje part bedöms i dagsläget med viss försiktighet som låg.”
Slutsats: ”Sammanfattningsvis: Med utgångspunkt att Danderyds kommun redan använder Office 365, och utifrån de alternativa kontorsstödssystem som finns till hands, lämnar utredningen rekommendationen att Office 365 kan fortsätta användas, exklusive för sekretess som rör Sveriges säkerhet (så kallad säkerhetsskyddsklassificerad information). Utredningen har identifierat och listat riskreducerande åtgärder och andra åtgärder som måste vidtas för att kommunen ska kunna fortsätta använda Office 365.”
Läs hela Danderyds analys och utredning på (under punkt 6): https://meetingsplus.danderyd.se/committees/kommunstyrelsen/kommunstyrelsen-2019-09-30
