Gapet mellan dikt och verklighet

Under en period har användningen av amerikanska molntjänster varit ett konfliktfyllt område i offentlig sektor. Det är förståeligt eftersom flertalet myndigheter, kommuner och regioner investerat både resurser och känslor i de molnlösningar som, med hänsyn tagen både till dataskydd och OSL, blivit allt svårare att kunna använda.

Dessa förhållanden har lett till en allians mellan leverantörer/återförsäljare av dessa amerikanska tjänster och företrädare för framför allt kommuner där den gemensamma linjen är att det visst går att använda tjänsterna bara man gör på rätt sätt.

En kommun som jag ofta ser figurera i detta sammanhang är Örebro.
Ett exempel är ett reklaminslag med Atea här. Atea har ingått ett ömsesidigt strategisk partnerskap med Microsoft och är en av de största återförsäljarna av det amerikanska bolagets molntjänster. Den kommunala digitaliseringschefen tycks inte ha några problem att agera som marknadsförare utan det är ett mycket samstämt samtal mellan leverantör och kund. Rörande enighet råder om att underlåtenhet att använda Microsofts utmärkta molntjänster leder till sämre säkerhet och ökade kostnader. Det är till och med så att det inte går att sluta använda dessa tjänster.
Atea: Går det över huvud taget att backa från molntjänster?
Örebro kommuns digitaliseringschef: Nej.
En betald skådespelare i en reklamfilm skulle inte kunna göra det bättre.

I filmen återkommer det mystiska argumentet att det faktiska problemet med att använda molntjänster inte "handlar om den faktiska säkerheten utan juridik". Den som seriöst arbetat med informationssäkerhet vet naturligtvis att ett centralt syfte med detta arbete är att uppfylla externa krav som lagstiftning. Ovanstående formulering vill på ett manipulativt sätt göra gällande att en organisation skulle kunna ha väldigt "bra" säkerhet samtidigt som man negligerar gällande lagstiftning. Jag skulle vilja hävda med bestämdhet att denna attityd inte är förenlig med praxis inom informationssäkerhetsområdet och inte heller med tillämpade standarder. Gissningsvis är denna argumentationslinje ett sätt att avsiktligt eller oavsiktligt sprida rökridåer och osäkerhet hos mindre insatta.

Nåväl, filmen avslutas med en kommentar från Atea om att det är "väldigt viktigt att göra jobbet med informationssäkerhet" och där representanten också betonar vikten av informationsklassningen.
I en replik på LinkedIn skriver digitaliseringschefen dessutom:

Systematiska riskbedömningar är helt avgörande för att ens kunna bedöma om en molntjänst (oavsett fysisk placering) kan användas, och det är ju verkligen inget nytt fenomen för oss inom kommunal sektor. Ser också fram emot ett förhoppningsvis tydligare rättsligt läge på sikt.

Jag kan göra listan längre men låt oss gå vidare med utsagan som kommunen själv (och Atea) går ut med, nämligen att informationssäkerhet generellt och informationsklassningar och systematisk riskhantering i synnerhet är nödvändiga förutsättningar för att kunna använda molntjänster. Ett tillägg som jag vill göra även om det inte nämns är att konsekvensbedömningar enligt dataskyddsförordningen bör göras om personuppgifter ska hanteras i tjänsten.

För att se hur Örebro kommun arbetar med de nödvändiga förutsättningarna för den användning av molntjänster som man så starkt propagerar för ställde jag några frågor till kommunen. Vill man vara ett flaggskepp i "den digitala utvecklingen" som man hävdar bygger på användningen av molntjänster som i sin tur bygger på god informationssäkerhet och systematiska riskbedömningar bör man rimligen vara ett flaggskepp även inom detta område.

Tyvärr hade inte digitaliseringen sträckt sig så lång i kommunen att det fanns någon enkel sökväg till diarium eller registratur på webbplatsen så jag valde att skicka mina frågor till kommunens servicecenter:

Hej!
Hittade inte registratur eller motsvarande på er webbplats så jag försöker den här vägen. Jag skulle vilja få tillgång till analys av hur kommun använder molntjänster idag samt informationsklassningar av informationen i tjänsterna och konsekvensbedömningar enligt dataskyddsförordningen som gjorts av denna användning.

Mitt mejl utlöste en kedjereaktion inom kommun och jag vill här be om ursäkt för det arbete jag åsamkat verksamheten. Frågorna har på ett mycket serviceinriktat sätt skickats ut till samtliga nämnder i kommunen och de svar jag hittills fått in ser i sammanfattning ut så här:

Gymnasienämnden skickar riskanalyser för Office 365 upprättade 2015 samt så kallade PUL-bedömningar från samma år.

Byggnadsnämnden skriver:

Jag svarar dig nu för Byggnadsnämndens räkning. Byggnadsnämnden har ännu inte någon analys för användningen av molntjänster eller andra dokument som du efterfrågar.Det vi lutar oss mot är att vi inte ska ha någon känslig information i ”molnet”.Vårt arbete utgår från Riktlinje för informationssäkerhet, Riktlinjer för informationssäkerhet (orebro.se)

Programnämnden för Social välfärd:

Jag har nu stämt av med berörda personer inom Programnämnd Social välfärd som meddelat att vi inte har dokumenten du efterfrågar på en programövergripande nivå. Men din fråga har som sagt tagits vidare till driftsnämnderna så du kan invänta svar från dem (Hemvårdsnämnden, Socialnämnden, Funktionsstödsnämnden och Vårdboendenämnden).

Socialnämnden:

Hej!
Du har inkommit med en begäran till Örebro kommun.
Eftersom det är respektive nämnd som är personuppgiftsansvarig så kommer härmed svar från Individ-och familjeomsorgen i Örebro, Socialnämnden.
Socialnämnden har inte de handlingar som du efterfrågar. Har även fått till mig att det inte finns någon kommungemensam analys av kommunens användning av just molntjänster.

Miljökontoret:

Hej!
Miljökontoret använder Teams, Outlook och var pilot inom Örebro kommun att införa SharePoint. Det var innan man började prata om att det inte var säkert att använda molntjänster och vi hade inte heller börjat att jobba med informationssäkerhet. Vi har ännu inte klassat den informationen men det är på gång. Vi har ingen sekretess eller känsliga personuppgifter i vår molnlagring, bara intern och öppen information.

Tekniska förvaltningen har lovat återkomma med svar.

Detta är de svar som jag fått efter en vecka (lovar att inte ta ut konsultarvode för den sammanställning som kommunen själva uppenbarligen inte har tagit fram). Örebro kommun är säkert inte sämre än andra kommuner, kanske till och med bättre, men det underlag som jag fått bland annat tyder på:

  • att det inte finns en gemensam analys eller genrellt ställningstagande för kommunen gällande hur amerikanska molntjänster kan användas i verksamheten
  • att det stöd för användning av molntjänster som utlovas i kommunens riktlinjer för informationssäkerhet inte finns eller inte är kända i verksamheten. I riktlinjen står "Endast godkända molntjänster är tillåtna att användas. Kontrollera vilka molntjänster som är tillåtna inom din verksamhet." vilket jag tolkar som någon slags lista över godkända molntjänster.
  • att inte ens verksamheter som med tanke personuppgiftshanteringen borde vara prioriterade som vård och skola har aktuella klassningar eller riskanalyser som skulle kunna utgöra stöd för beslut om molntjänster

Det vore önskvärt om gapet mellan dikt och verklighet minskade på det här området. Om man offentligt vill hävda att det är fullt möjligt att använda molntjänster bara man bedriver ett systematiskt informationssäkerhetsarbete så är det rimligt att man då först städar sitt eget hus och visar hur detta ska gå till. Det känns som Örebro kommun har en hemläxa att göra här och att en viss ödmjukhet vore på sin plats.

Tillägg 2022-11-03

På ett föredömligt sätt har Tekniska förvaltningen sammanställt relevanta dokument från sin verksamhet utifrån min förfrågan. Förutom kommunens policy och riktlinje för informationssäkerhet har protokoll från tre klassningar samt rapporter från tre riskanalyser utlämnats. Samtliga dessa aktiviteter är genomförda 2021 och gäller tre områden:

  • Anställningsavtal  
  • Parkeringsövervakning
  • Trafiksignalsystem

Det väcker en fråga om prioritering då den verksamhet som faller under NIS-direktivet (vattenförsörjning) och som ligger under Tekniska förvaltningens ansvar inte tagits upp.

Tekniska förvaltningen har även lämnat ut sin registerförteckning.

Tillägg 2022-11-08

Nu har ett svar inkommit gällande analysen om användning av molntjänster i Örebro kommun:

Hej Fia,
Jag har blivit ombedd att svara dig angående din begäran av allmän handling per den 26 oktober. Den analys som du efterfrågar (kring hur Örebro kommun använder molnbaserade tjänster idag) pågår sedan augusti och kommer att finnas klar i december.
/ Per Brogevik, Digitaliseringsdirektör Örebro kommun

Bättre sent än aldrig men det känns som att analysen med eventuella vägval kanske borde ha föregått alla offentliga utspel om molntjänster. Det är ju inte direkt någon ny fråga.