🇾đŸ‡Ș Datainfrastrukturell realism bör inte leda till alarmism

Vi gĂ„r snart in i ett nytt decennium och det Ă€r tydligt att vĂ„r tids digitaliseringspolitik prĂ€glas av territoriell maktkamp, pĂ„ en rad nivĂ„er frĂ„n den globala till de nationella och sektoriella. Detta blir tydligt i den pĂ„gĂ„ende debatten i förvaltningsvĂ€rlden i kölvattnet av den amerikanska lagen Cloud Act.

TL;DR – jag skriver om utmaningarna nĂ€r myndigheter vill anvĂ€nda sig av digitala tjĂ€nster som tillhandahĂ„lls av företag med sĂ€te i stora lĂ€nder utanför Sveriges grĂ€nser och att kĂ€nsliga data om medborgare och det egna landet dĂ„ kan riskera att bli mindre sĂ€kra Ă€n pĂ„ inrikes datatjĂ€nster. I slutet nĂ€mner jag nĂ„gra praktiska lösningar.

I fredags skrev FörsĂ€kringskassans generaldirektör Nils Öberg pĂ„ DN Debatt om hur den amerikanska lagen Cloud Act innebĂ€r att amerikanska myndigheter ges rĂ€tt att begĂ€ra ut data frĂ„n amerikanska tjĂ€nsteleverantörer, oavsett var i vĂ€rlden informationen lagras. Detta skapar rĂ€ttsosĂ€kert lĂ€ge nĂ€r svenska myndigheter anvĂ€nder amerikanska molntjĂ€nster frĂ„n till exempel Microsoft, Google och Amazon, menar Öberg. 

Jag hĂ„ller med Öberg om behovet av en tydlig myndighetsgemensam strategi och en lĂ„ngsiktig handlingsplan, dĂ„ svensk digitaliseringspolitik lĂ€nge varit slĂ„ende i sin avsaknad av visioner och konkreta mĂ„lbeskrivningar. Oklarheterna kring de digitala tjĂ€nsteföretagens rĂ€ttssĂ€kerhet i skuggan av Cloud Act har skapat en slitning inom svensk offentlig förvaltning. Under mer Ă€n ett Ă„r har olika argument stötts och blötts betrĂ€ffande myndigheters bruk av molntjĂ€nster. Det Ă€r bra att FörsĂ€kringskassan nu publicerar en vitbok, som kan lĂ€ggas jĂ€mte det informationsmaterial som Sveriges Kommuner och Regioner lade ut nyligen, dĂ„ det tidigare var sparsmakat med vĂ€gledning i frĂ„gan och det mĂ„nga skĂ€mtsamt kallar ”kvasi-myndigheten” eSam ensamt tog pĂ„ sig tolkningsföretrĂ€de i frĂ„gan om molntjĂ€nster i det offentlig verksamhet.

Viktigt att tillĂ€gga Ă€r att Öbergs egen myndighet, FörsĂ€kringskassan, ocksĂ„ Ă€r den som fĂ„tt i uppdrag av regeringen att hantera mĂ„nga av de hĂ€r frĂ„gorna. Statens servicecenter, en stödmyndighet för digitala upphandlingar, rapporterade tidigt 2017 om möjligheterna för statliga molntjĂ€nster. Sedan briserade Transportstyrelse- och 1177-skandalerna. Nyligen tillsattes en ny utredning av förutsĂ€ttningarna för en statlig molntjĂ€nst kontra möjligheterna för myndigheter att anvĂ€nda sig av privata tjĂ€nsteleverantörer. Under tiden har just FörsĂ€kringskassan fĂ„tt uppdraget att agera rĂ„dgivande part för myndigheter i dessa frĂ„gor. Kanske Öberg sjĂ€lv tolkar det som att FörsĂ€kringskassan ska fĂ„ huvudansvaret i den nya statliga molninfrastrukturen, Ă€ven om detta Ă€r lĂ„ngt ifrĂ„n sĂ€kert. Kanske besparingar kan göras genom en gemensam statlig molntjĂ€nst för myndigheter, men det tar Ă„ratal att införa en sĂ„dan infrastruktur. 

Digitaliseringen av vÀlfÀrden Àr alltsÄ föremÄl för en rad kraftmÀtningar, inte bara mellan privat och offentlig sektor betrÀffande vem som ska fÄ lov att tillhandahÄlla viktig framtida infrastruktur.

Liksom det inom privat sektor finns viss konkurrens, finns det i den offentliga förvaltningsapparaten ocksĂ„ en konflikt om vilken myndighet som ska fĂ„ exklusivt ansvar eller mandat att styra. Och oavsett var infrastrukturerna ”bor” nĂ„gonstans i termer av datorhallar och servrar kommer de att behöva förhĂ„lla sig till den globala ordning som upprĂ€ttats dĂ€r en handfull gigantiska företag, nĂ€stan uteslutande av amerikanskt och kinesiskt mĂ€rke, bygger hela ekosystem av sammankopplande infrastrukturer som nĂ€rapĂ„ alla nya digitala tjĂ€nster och produkter pĂ„ olika sĂ€tt ansluter till. Vi samhĂ€llsforskare beskriver det som ett plattformssamhĂ€lle

Digitalisering Ă€r infrastruktur, och en geopolitisk dimension löper genom digitaliseringen. Detta inverkar pĂ„ vad som sker ute i institutioner och verksamheter – och i mĂ€nniskors digitala apparater, i de mest intima, privata sfĂ€rer. Myndighetssveriges krumbuktartade reaktioner pĂ„ amerikanska Cloud Act kan ses som lokala reaktioner pĂ„ de tektoniska rörelserna mellan globala, geopolitiska maktblock.

Och kom ihÄg att Àven EU:s ministerrÄd Àr inbegripna i en polisiÀr kapprustning om möjligheter till uthÀmtning av persondata frÄn digitala plattformar. Risken Àr att lagstiftare tummar pÄ rÀttsliga principer som Europa historiskt stÄtt upp för, i syfte att komma Ät individer som riskerar att utföra kriminella eller andra samhÀllsomstörtande handlingar. Detta skrev jag nyligen om, hÀr pÄ bloggen och pÄ Svenska Dagbladets debattsidor.

Vadan dessa ofta rĂ€tt drastiska reaktioner bland lagstiftare, politiker och myndighetschefer – nu, i jĂ€mförelse med tidigare? Det Ă€r nĂ€stan som att förvaltningsapparaten i olika lĂ€nder lagt i en högre vĂ€xel, kanske eftersom de potentiellt dystopiska effekterna av vĂ„r tids befintliga digitala infrastrukturer börjat bli tydliga för sĂ„ mĂ„nga. Det kan vara som informationssĂ€kerhetsexperten Fia Ewald konstaterade tidigare i vintras, i antologin PlattformssamhĂ€llet som jag var redaktör för:

Ostadigheten i digitaliseringsutvecklingen ger en förklaring till hur staten förhÄllit sig till outsourcing inom IT-omrÄdet och den omogenhet som finns nÀr det gÀller att hantera den ökade anvÀndningen av externa leverantörer. Detta pÄverkar inte minst sÀkerhetsomrÄdet dÀr bristen pÄ nationell infrastruktur Àven gett en brist pÄ gemensam sÀkerhetsarkitektur.

Ewald i PlattformssamhÀllet, s. 156

DĂ€rför idkas idog kritik av plattformskapitalismen Ă€ven pĂ„ Göteborgspostens ledarsida, noterar jag. Ledarskribenterna dĂ€r, med Adam Cwejman i spetsen, rasar mot Göteborgs stad för att de upphandlat Microsoft Office 365 och kritiserar att digitaliseringspolitikens svĂ€ngdörrar mellan nĂ€ringsliv och stat Ă€r för öppna. (Jag undrar om Göteborgsposten Ă€r lika stringenta i denna kritik Ă€ven vad gĂ€ller frĂ„gor som privatiseringen av skola, vĂ„rd och andra samhĂ€llsbĂ€rande och offentligt finansierade verksamheter… Äsch, det Ă€r ett sidospĂ„r.)

FrÄgan Àr bara om den idealism Cwejman hÀr anför trumfas av realpolitikens pragmatism: Vissa typer av digitala tjÀnster kan vi i nuvarande stund inte producera i Sverige utan att göra en blek kopia. Till och med den riktigt pÄlÀsta och seriösa Amelia Andersdotter, som ocksÄ Àr en av de som pÄtalat riskerna med att svenska myndigheter begagnar sig av utlÀndska molntjÀnster, har ju i samma antologi jag citerade ovan samtidigt bekrÀftat att sÀkerheten i IT-produkter generellt sett tenderar vara högre i vissa konsumentinriktade amerikanska företags produkter Àn i europeiska konsumentinriktade produkter, mycket eftersom de amerikanska stora, etablerade tjÀnsterna vÀxt fram i en miljö dÀr aktörer som inte beter sig stÀlls inför direkt ansvarsutkrÀvande i form av stÀmningar och sÄ vidare (PlattformssamhÀllet, s. 158).

DĂ„liga inhemska produkter kanske visar sig hjĂ€lpa Ă€nnu mindre mot utlĂ€ndska försök att attackera eller missbruka. Är det rimligt att kommuner eller myndigheter sjĂ€lva ska bygga egna datacenter dĂ€r kommuninvĂ„narnas kĂ€nsliga information ska bo? En höggradigt effektiv serverhall i Åtvidaberg dĂ€r Åtvidabergsbornas data hĂ„lls sĂ€ker inom lĂ„s och bom. Ska varje sjukhus och vĂ„rdcentral ha varsin fullstĂ€ndigt autonom serverinfrastruktur? SjĂ€lvklart finns en skala av rimlighet hĂ€r som vi behöver förhĂ„lla oss till.

LĂ„t oss Ă„terkomma till bristen pĂ„ koll inom det höga svenska garnityret av lagstiftare, politiker, myndighetschefer och andra beslutsfattare. Det Ă€r nĂ„got som betyder att kompetensen att svara pĂ„ mĂ„nga av frĂ„gorna idag – vare sig du gillar det eller inte – i vĂ€ldigt hög grad Ă„terfinns inom nĂ€ringslivet. Nu, inför 2020, tycks det som att svenska beslutsfattare pĂ„ olika nivĂ„er Ă€ntligen har börjat röra pĂ„ sig, och utvecklingen gĂ„r snabbt. Uppdrag delas ut hit och dit för att utreda det mesta. Men att vi Ă€r dĂ€r vi Ă€r nu – med en, lĂ„t oss sĂ€ga, mer aktivistisk förvaltningskĂ„r – Ă€r inte sĂ„ mycket pĂ„ grund av nĂ€ringslivet, det Ă€r pĂ„ mĂ„nga sĂ€tt ocksĂ„ tack vare nĂ€ringslivet. Visst mĂ„ det vara sĂ„ att vissa nĂ€ringslivsrepresentanter dĂ€rigenom hamnat nĂ€ra politiken i de hĂ€r frĂ„gorna, men det avspeglar mer Ă€n nĂ„gonting annat ett 2010-talets tillstĂ„nd av att ha haft stor passivitet inom statsapparaten i dessa frĂ„gor under en lĂ€ngre tid, vilket gjort att de fĂ„ som haft koll i regel varit nĂ€ringslivsnĂ€ra individer.

HÀr Àr grejen: Svensk digitaliseringspolitik utspelar sig mot bakgrund av ett stort globalt maktspel. Men att identifiera detta fÄr inte leda till alarmism.

Risken finns att inlÀgg som de hos Göteborgsposten förstÀrker en sorts polarisering av digitaliseringsdebatten innan den ens kommit igÄng tillrÀckligt brett.

Samtidigt Ă€r huvudpoĂ€ngen att digitaliseringspolitiken Ă„r 2020 ser ut att pĂ„ mĂ„nga sĂ€tt ha blivit en bricka i ett större globalt geopolitiskt spel. Den första ut att replikera Öbergs originalartikel var ju till exempel en representant för American Chamber of Commerce som förklarar att det Ă€r orimligt med denna nya europeiska beröringsskrĂ€ck betrĂ€ffande amerikanska molntjĂ€nster. Det sĂ€ger nĂ„got.

Det hela knyter an till den europeiska digitaliseringspolitikens kanske just nu viktigaste enskilda aktör: Den österrikiska juristen och rÀttsliga aktivisten Max Schrems, som hÀromdagen besökte Stockholm och under sin keynote pÄ Internetdagarna anförde att vi genom att faktiskt tillÀmpa europeisk lagstiftning kan stÀlla tydligare krav pÄ grÀnsdragningen mellan EU och USA. Som Andersdotter nÀmner:

Problemen med dataöverföringar till USA har varit kĂ€nda sedan mitten av 1990-talet. Redan pĂ„ 1970-talet pĂ„talades att ökat beroende av amerikanska hĂ„rd- och mjukvaror försatte Sverige i en svĂ„rfrĂ„nkomlig beroendestĂ€llning. [
] I oktober 2015 faststĂ€llde EU-domstolen det som borde ha varit kĂ€nt sedan 2004: att USA inte ger tillrĂ€ckliga garantier för europeiska medborgares dataskydd.

Max Schrems keynote pÄ Internetdagarna i Stockholm, mÄn 25 nov 2019

Antiterrorlagstiftningen och de mandat som gavs till National Security Agency under Bush och Obama betyder att vi vet att bakdörrar redan finns – oaktat Cloud Act! Att, som Schrems gör, adressera detta Ă€r att adressera strukturella skillnader pĂ„ en högre nivĂ„ Ă€n enkom Sverige, och det görs i skrivande stund genom en rad olika pĂ„gĂ„ende rĂ€ttsfall som testar EU-lagarnas tillĂ€mpbarhet i en geopolisk kontext. (Mer information om detta kommer – bland annat via tankesmedjan Fores som jag samarbetar med.)

En praktisk lösning jag har hört diskuteras Àr att olika nivÄer av kryptering kan erbjuda en teknisk workaround: Genom att sjÀlva kryptera det som lÀggs pÄ de amerikanska centraliserade tjÀnsterna kan svenska tjÀnstemÀn försvÄra för eventuella utlÀndska rÀttsvÀsenden som vill lÀgga tassarna pÄ svenska medborgares personuppgifter.

Detta riskerar dock att bli vĂ€ldigt svĂ„rjobbat, och medför dessutom ett otroligt stort ansvar om myndigheten tĂ€nker anvĂ€nda den starkaste, mest omfattande graden av kryptering. Var ska de lagra nycklarna, och vem ska fĂ„ ansvar för dessa, till exempel? En topphemlig bunker i Åtvidaberg, dĂ€r den enda nyckeln till hela den svenska skatteinfrastrukturen ligger i byxfickan pĂ„ en vaktmĂ€stare som heter Örjan.

En mindre dramatisk lösning Àr att skapa silos, alltsÄ separata uppsÀttningar molntjÀnster för olika typer av data. Somliga data brukar vara oerhört kryptiska pÄ egen hand, och man kan bygga system sÄ att tjÀnstemÀn vid varje enskild avlÀsning och analys i respektive medborgares fall behöver sÀtta samman data frÄn minst tvÄ olika kÀllor. En silo kan bo hos en amerikanskÀgd IT-tjÀnsteleverantör och en annan kan bo hos en annan leverantör. Detta skulle försvÄra den praktiska uthÀmtningen av tolkningsbar information om enskilda pÄ ganska kostnadseffektivt sÀtt.

Slutligen bör man dessutom beakta svenska myndigheters möjlighet till snabb migrering av data till annan leverantör i hÀndelse av att en begÀran skulle göras frÄn en amerikansk domstol. Förmodligen bör det finnas en riskanalys och en handlingsplan dÀr sÄdan snabb migrering kan vara en metod för att föregripa domstolsÀrenden, som ju brukar bli offentliga i samband med att en domare i tredje land utfÀrdar en order om husrannsakan som Àr det som ger mandatet för det landets polismyndigheter att begÀra ut data.

En av de publicerade replikerna till Öberg anför ett liknande argument. IT-experten Peter Waher, som bl.a. jobbar med IEEE, pĂ„pekar att kĂ€nsliga uppgifter inte alls alltid kommer att behöva lagras i molnet, dĂ„ det redan idag finns lösningar som innebĂ€r att kĂ€nsliga data kan lagras decentraliserat. SĂ„dana lagringslösningar kan bidra till att minimera hoten mot Sveriges digitala suverĂ€nitet och den personliga integriteten.

Detta argument liknar de lösningar som man i USA och Storbritannien faktiskt implementerat, dĂ€r olika typer av data skyddsklassas pĂ„ olika sĂ€tt och man i Storbritannien har inrikes sĂ„ kallade ”Crown Hosting Data Centres” och Ă€ven USA har speciella inrikes kategorier av molnlösningar specialanpassade för kĂ€nsliga data. SĂ„ Ă€ven om dessa lĂ€nder pĂ„ det stora hela förmodligen inte har en lika hög svansföring vad betrĂ€ffar autonoma digitala myndighetstjĂ€nster som exempelvis Tyskland (vars statliga molntjĂ€nst Bundescloud, baserad pĂ„ lokalt framtagen mjukvara, hĂ„lls fram av Cwejman som en förebild) sĂ„ Ă€r en pragmatisk hĂ„llning att till syvende och sist skilja pĂ„ data och data.

Viss data kan fĂ„ fortsĂ€tta bo pĂ„ kommersiellt drivna plattformar – givet att lagstiftare stĂ€ller adekvata och rĂ€ttvisa samhĂ€lleliga krav pĂ„ dessa tjĂ€nsteleverantörer – medan andra data rimligtvis inte bör bo pĂ„ sĂ„dana plattformar, och ytterligare en kategori av data förmodligen kan bo pĂ„ sĂ„dana plattformar men bör sĂ€kras ytterligare, till exempel genom olika former av decentralisering och kryptering.

One thought on “🇾đŸ‡Ș Datainfrastrukturell realism bör inte leda till alarmism

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s