Microsofts molntjänster och säkerhet

cloud

Microsoft får många frågor kopplade till molntjänster, säkerhet och regleringar. Det kan vara frågor som rör kryptering, CLOUD Act, GDPR, Schrems II eller regleringar inom sjukvården och finanssektorn. Vi har därför samlat ihop många av de frågor vi får in på denna sida. Vi har också samlat vägledningar kring användande av molntjänster i den offentliga sektorn samt exempel på hur andra organisationer har gjort sina analyser och bedömningar.

Det här är en uppdatering av inlägget ”Microsofts molntjänster” som vi publicerade den 18 november 2019.

Microsofts molntjänster är bland de säkraste IT-tjänsterna i världen. I takt med att stora delar av samhället digitaliserats har det blivit allt viktigare att skydda IT-systemen mot dataintrång. De senaste åren har vi sett många incidenter av varierande omfattning i samhällets IT-system, något som visar hur viktigt hög säkerhet och kvalitetssäkrade processer är för att skydda vår information. Microsoft är ett av världen största IT-företag med 3.500 dedikerade säkerhetsexperter som arbetar med att skydda våra tjänster så att de kan användas tryggt av flera hundra miljoner människor, banker, sjukhus och myndigheter över hela världen.

Frågor och svar

Var finns min data när den lagras i Microsofts molntjänster?
Du väljer själv i vilket geografiskt område du vill lagra din data. Idag finns det fler än 60 s.k. Data Center Geos över hela världen.

Under 2021 kommer Microsoft öppna ett helt nytt datacenterområde i Sverige. Datacenterområdet kommer vara bland de mest avancerade och hållbara i världen och drivas med 100 procent förnybar energi. En rapport från WSP visar att Microsofts molntjänster är upp till 98 procent mer koldioxideffektiva än traditionella serverlösningar.

Öppnandet av Microsofts datacenterområde i Sverige innebär att våra kunder kommer kunna lagra sin data i Sverige.

Läs mer här: https://www.microsoft.com/en-us/trust-center/privacy/data-location  

Vem på Microsoft kan komma åt data som vi lagrar hos er?
Microsoft använder data för ändamålet att erbjuda dig de överenskomna tjänsterna, till exempel för felsökning eller förbättring av funktioner, exempelvis skydd mot skadlig kod.

Microsofts personal och tekniker har inte någon direktåtkomst till molnkunders data. De får bara tillgång och behörigheter om det är nödvändigt och då under översikt av högre chefer.

Läs mer här: https://www.microsoft.com/sv-se/trust-center/privacy/data-access

Kan underleverantörer få tillgång till data vi lagrar hos er?
Underleverantörer får åtkomst till data enbart för att kunna leverera de funktioner som stödjer onlinetjänsterna för vilka Microsoft anlitat dem, all annan användning av data är förbjudet. De måste upprätthålla sekretessen för dessa data och är bundna att uppfylla strikta sekretesskrav som är likvärdiga eller hårdare än Microsofts åtaganden gentemot sina kunder i villkoren för onlinetjänsterna.

Läs mer om vilka underleverantörer vi anlitar: https://go.microsoft.com/fwlink/p/?linkid=2096306

Får polis begära ut data vid brottsutredningar?
Digitala bevis har blivit en allt viktigare del i att kunna bekämpa brott. Det kan röra sig om hot, bedrägerier eller cyberkriminalitet. EU bedömer att ungefär 85% av alla brottsutredningar behöver digitala bevis och ofta är dessa bevis lagrade i andra länder än där polisen befinner sig. Brottsutredande myndigheter i Sverige kan begära ut data från Microsoft efter åklagarbeslut. Som exempel begärde svenska polisen ut data i 210 olika brottsutredningar under första halvåret 2020. Den absoluta majoriteten av fallen berör konsumentkonton som t.ex. Outlook.com och metadata som t.ex. IP-adresser och tidpunkter för skickad epost.

Vad är CLOUD Act ?
Av samma skäl som den svenska polisen behöver begära ut data i svenska brottsutredningar kan den amerikanska polisen behöva begära ut data vid amerikanska brottsutredningar. Den amerikanska lagen CLOUD Act är en del av regelverket kring hur en sådan begäran ska göras och hanteras. En begäran om att få ut kunddata måste alltid godkännas av en oberoende domare och berör i de allra flesta fall konsumentkonton. Det är väldigt ovanligt att en begäran görs mot icke-konsumentkonton (se frågan kring risk och sårbarhetsanalys).

Skulle det gälla en begäran av data från svensk kund så kommer Microsoft utmana varje begäran om utlämnande av kunddata från kommersiella kunder inom såväl privat som offentlig sektor om ett utlämnande strider mot GDPR eller annan svensk rätt såsom offentlighets- och sekretesslagen.

Läs mer här:

Jag håller på att göra en risk och sårbarhetsanalys – kan jag beräkna sannolikheten att data lämnas ut till amerikanska rättssystemet i en brottsutredning?
Som exempel mottog Microsoft under det första halvåret 2018 endast 50 förfrågningar som gällde icke-konsumentkonton. Av dessa avvisades eller omdirigerades 32 ärenden av Microsoft. Enbart ett av de amerikanska ärendena gällde också data utanför landets gränser. Inga gällde Sverige.

Under första halvåret 2020 mottog Microsoft 74 förfrågningar från brottsbekämpande myndigheter i USA för företagskunder (fler än 50 användare). Av dessa var två relaterade till icke-amerikanska företagskunder. Dessa siffror kan ställas i relation till att Microsoft 365 har närmare 200 miljoner användare globalt.

Vad är Schrems II och hur påverkar den molntjänster?
Vid dataöverföring mellan länder kan det finnas behov av olika typer av avtal för hur data ska hanteras och skyddas. Under sommaren 2020 upphävde den s.k. Schrems II domen det existerande Privacy Shield avtalet mellan USA och EU. Det innebär att man behöver ersätta de tjänster som använder Privacy Shield med EU:s standardavtalsklausuler. USA och EU har annonserat att de inlett en dialog om en förstärkt ersättare till det tidigare Privacy Shield avtalet.

Man kan välja att lagra kunddata i Microsoft molntjänster som Azure eller M365 endast inom EU vilket minimerar behovet av dataöverföringar till USA.  För dataöverföringar som kan bli nödvändiga, t.ex. vid felsökningar eller användning av tjänster som inte finns i det datacenter man valt, använder sig Microsoft tjänster av EU’s standardavtalsklausuler och det nyligen gjorda tillägget där Microsoft åtar sig att utmana dataförfrågningar som strider mot svensk rätt samt att även ersätta datasubjekt vars rättigheter åsidosatts enligt GDPR.

Vid behov av extra skydd kan man använda funktioner i Azure och M365 för att kryptera information så att den inte är tillgänglig för Microsoft.

För det extra kontraktuella skyddet se: https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/

För andra tekniska skyddsåtgärder så kan med fördel Microsoft Molndesign (MSMD) användas som bas.

Jag använder kryptering med hjälp av standardnycklar i Microsofts plattformar. Vilka andra har tillgång till dessa nyckar?
Vi ger inte någon myndighet tillgång till våra krypteringsnycklar eller möjlighet att bryta vår kryptering.

Kan man använda molntjänster, mobiltelefoner och outsourcing för sekretesskyddade data ?
Nästan all teknik som mobiltelefoner, molntjänster, datorer och outsourcing innebär att teknikleverantörer som hårdvarutillverkare, internetoperatörer, outsourcingpartners m.fl. får en teoretisk tillgång till information. Den s.k. IT-driftutredningen har utrett denna fråga och föreslog i januari 2021 ett nytt tillägg till sekretesslagstiftningen som skulle tydliggöra möjligheten att bearbeta sekretesskyddad data i t.ex. molntjänster.

Hur kan jag bäst skydda min information från olika cyberhot?
Idag arbetar över 3500 specialister på Microsoft med säkerhetsfrågor och vi investerar runt tio miljarder kronor per år i säkerhet och forskning vilket resulterar i en nivå av IT-säkerhet som få eller inga andra kan nå. För många organisationer idag har frågan därför gått ifrån: ”kan jag använda molntjänster och skydda min data?” till ”kan jag skydda min data utan molntjänster?

Läs mer på: https://www.microsoft.com/sv-se/security/operations

Kan vi inte bara kryptera all känslig information i molnet för att öka säkerheten?
Kryptering är standard i många tjänster och det finns många olika typer av krypteringslösningar som man kan använda för att ytterligare öka säkerheten. Man kan t.ex. lagra krypteringsnycklar i skyddad hårdvara i molnet eller i sin egen organisation. Det man ska tänka på är att kryptering i vissa fall kan påverka tjänsten så det är viktigt att förstå vad man har för behov och förutsättningar.

Du kan läsa mer om hur du kan klassificera och skydda känslig information med teknik här: https://www.microsoft.com/sv-se/security/technology/information-protection

Vad är Microsoft Molndesign: Offentlig Sektor?
Genom vår molndesign, i molnplattformen Azure, har vi gjort det enklare för offentlig sektor att börja använda våra molntjänster. Paketet innehåller verktyg, mallar, policyer, rapporter och utbildningar som underlättar för en flytt till molnet. Utformningen av paketet är särskilt utvecklad och riktad till er som behöver uppfylla de regleringar, krav och lagar som gäller för offentlig sektor i Sverige.

Microsoft Molndesign är framtagen för att skapa en molnmiljö i Azure för IT-tjänster med mycket hög IT-säkerhet och innehåller ett antal verktyg som förenklar uppfyllnad av regleringar och lagar som GDPR och OSL.

Lär dig mer på: https://pulse.microsoft.com/sv-se/sustainable-futures-sv-se/na/fa1-offentlig-sektor-till-molnet-med-microsofts-nya-molndesign/

Relaterade inlägg