Drömmen om molnet

08 November 2019

Molnet

Finns det nått hetare än att snacka om molnet inom offentlig sektor just nu? Jag tror alla chefer snackar molnet på kafferasterna (när dom tar en paus från att prata AI). Det händer nämligen saker:

• Regeringen utreder om ett offentligt moln och möjligheterna till att använda privata företagsmoln
• SKL har precis givit ut sin "Vägledningar för molntjänster"

Varför snackas det så mycket om molnet? Jo vi i Sverige har inte något offentligt moln (flera andra länder har) och varje del av offentlig sektor måste antingen själva ha hand om alla servrar och data eller använda privata företag. Och det sägs att det inte finns några klara direktiv om offentlig sektor får använda molnlösningar.

Men vad är det här molnet som alla pratar om? Molnet betyder att ett företag eller organisation kör sina program och läggar sin data på någon annans dator. Varför vill de göra det? Jo, tanken är att din organisation ska slippa ha den tekniska kunskapen själva, utan du köper den tjänsten. Du slipper också köpa in fysiska servrar, du behöver bara betala och vips har du det du behöver.

Men att låta någon utomstående ha tillgång till den data du lagrar innebär också en risk att du inte kan garantera att datat är privat eftersom någon annan har tillgång till den. Det är speciellt problematiskt för den offentliga verksamheten eftersom den ska vakta medborgares rättssäkerhet och värna om rätten till integritet.

Många chefer säger saker som att molntjänster är nödvändiga för fortsatt digitalisering. Molnet kanske är "lösningen" på alla problem?

Min observation är att ju högre upp du kommer i en organisation, desto mindre teknik kan du och desto mer tror du på en quick fix, en lösning som kan fixa allt. Det finns en tro på att lösa sånt som du inte förstår, ett hopp om det heliga landet, himmelriket som vi kan nå, bara genom att använda den rätta tekniken.

Det är fel. Tekniken löser inga problem. En organisation med teknisk kompetens bland medarbetare och fokus på medborgarna är det som behövs inom det offentliga. Vilken teknik som används kommer i andra hand. Tekniker kommer att bytas ut och förändras över tid. Teknisk kompetens och fokus på medborgaren kommer vi alltid behöva inom det offentliga.

Det är klart digitaliseringen skulle kunna fortsätta utan molnet. Men eftersom alla ändå snackar molnet ville jag prata lite om det. Vad är det vi vill spara där egentligen?

Datat är det värdefullaste vi har ™

Vi ska spara data i molnet. Datat som vi i Sverige har om våra medborgare, det är det finaste och mest värdefullaste vi har! Datat är nämligen du. Datat är vad du gör, ditt beteende och hur du tänker. Datat är du.

Det offentliga ska vakta din data, ta hand om det och inte avslöja nånting om dig till andra länder eller företag. Allt du gör ska vara privat, ägas av dig och vaktas av det offentliga.

Vem kan du lita på?

Snabba kast: Det senaste fyra åren har jag jobbat för den amerikanska organisationen Wikimedia som driver Wikipedia. Jag arbetar med att mäta hur snabbt Wikipedia är runt om i världen för användare. Jag jobbar inte med säkerhet men jag berörs av säkerheten för våra användare, det genomsyrar hela organisationen. För mig är det precis på samma sätt som vi ska hantera data inom offentlig sektor i Sverige.

På Wikimedia tillåter vi inga företag hantera någon av vår användardata. Vi har hand om allting själva, vi har ett eget moln för att göra det enkelt för utvecklare att köra sina program. Varför? Jo, så fort det finns en möjlighet för någon att komma åt datan, måste den betraktas som röjd. Men lite röjd användardata spelar väl ingen roll?

Jo, klart det gör. Wikipedia är nerstängt i Turkiet och Kina av deras styrande. Spridning av kunskap är farligt. Totalitära regimer vill veta vem som skriver vad. Och ni vet väl om att Wikimedia i flera år drivit en rätttsprocess mot NSA (USAs Nationella säkerhetsmyndighet) som har försökt komma åt våra användares data? Användares data är det nya guldet, både för stater och företag.

Men kan vi inte lita på att amerikanska företag vill det bästa för våra svenska medborgare?

I Sverige är vi väldigt naiva när det gäller hantering av data för våra medborgare. Vi säljer inte datan. Vi ger bort den.

Många offentliga webbsidor inkluderar innehåll från Google/Facebook och andra tredjeparts leverantörer. Genom att göra det läcker vi data om vem som surfar på de här sidorna. Läcker till de amerikanska företagen vars affärsdé är att samla på sig data om användare.

Det finns också kommuner där vi ger bort elevers data/texter och privat epost till Google och till amerikanska myndigheter genom att låta skolor använda G Suite (Googles epost, kalender, videochat med mera). Läs tex Ljusdals kommun förklaring med hur de använder G Suite för skolor. Kolla in den andra meningen:

I G Suite sparar vi inga integritetskänsliga uppgifter ...

Men det är faktiskt så att Datainspektion klassar data som som rör någons privata sfär som integritetskänsliga personuppgifter.

Att säga att inga integritetskänsliga uppgifter spars i G Suite skulle jag säga är ett tecken på att de inte har förstått nånting.

Freedom of the Press Foundation har skrivit om vilken data som är tillgänglig för Google och för amerikanska myndigheter när någon använder G Suite. Den som skrivit är före detta Google-anställd. Han vet. Läs det om du inte gjort det förut.

Anonym och privat data

Men kan vi inte bara lägga anonymiserad data i molnet? Se till att den är privat. Ingen behöver veta att det är våra medborgare som gör ditt eller datt?

If you hear people telling you they are using anonymous data ... be very skeptic and specially if they tell you it's absolutely fine, then I know they have absolutely no idea of what they are talking about.

Så säger Claudia Diaz - Professor från "Computer Security and Industrial Cryptography group" på universitetet KU Leuven i Belgien. Hon är expert på anonym och privat data. Kolla in hennes föreläsning på Chalmers från förra året om problemen med att vara anonym på nätet.

Hon berättar att det är näst intill omöjligt att vara anonym och privat på nätet. Vad dina uppgifter kommer att länkas samman med och hur det kommer att användas, kan du ej veta. Därför är det enda sättet att se till att den är privat, att inte ge dom till andra länder eller företag.

Men Google, Amazon och Microsoft säger att det inte är farligt?

Jag förstår att alla chefer inom kommun/landsting och offentlig sektor vill väl. Ni vill att vi i Sverige inte ska ligga efter, ni hör varje dag från företag att om vi "bara" använder molnet så kommer ni spara pengar och vi blir effektivare. Men ni får inte vara naiva.

För någon månad sen sprang jag på ett inlägg på LinkedIn där en CTO för en kommun i Sverige varit hos Google.

Teknisk chef/CTO för en kommun på besök hos Google.

Jag har sett liknande inlägg förut, då om från folk på Arbetsförmedlingen som varit "stolta" över att få arbeta tillsammans med Google. Vi måste förstå de här företagens agenda. De vill samla på sig data om alla användare i hela världen och tjäna pengar på det.

Därför blev jag väldigt besviken på SKLs vägledning. De vågar inte ta ställning för oss medborgare och vågar inte säga nej till att ge bort våra medborgares data till amerikanska molntjänster. Att lägga data från svenska medborgare hos utländska företag borde vara en ickefråga för det är så självklart att vi inte ska göra det!

Men vad är lösningen?

Vad ska vi göra då? Vi ska göra följande:

• Vi ska ej använda utländska moltnjänster inom det offentliga.
• Vi ska ha ett offentligt moln som drivs av en offentlig verksamhet. Eventuellt skulle det kunna stödjas av svenska privata företag men jag har inte tänkt klart hur det skulle funka.
• Vi måste ha teknisk kompetens och erfarenhet högt upp inom det offentliga. Vi måste ha chefer som gjort sånt här förut, som lärt sig av sina misstag. De måste kunna ge stöd till resten av de offentliga som inte har den här kunskapen. Och de måste sätta medborgarna i fokus och jobba för det som är bra för oss alla.

Skrivet av: Peter Hedenskog