Digital suveränitet och rådighet, viktigare än någonsin!

Digital suveränitet fokuserar mer på regelverk, medan digital rådighet fokuserar mer på att ha kontroll över data och information. Begreppen överlappar varandra till stor del, personligen tycker jag att rådighet är en lite mer intressant vinkling.

Jag brukar lite förenklat beskriva det som att ha kontroll på sin data genom att säkerställa att den går att lita på och att ingen obehörig har tillgång.

Jag ska försöka skriva upp elefanten och ge praktiska exempel som förhoppningsvis ska hjälpa dig att göra rimliga riskbedömningar och ta beslut som ger bra magkänsla.

Omfattning

Jag tänkte i första hand fokusera på organisationens perspektiv än statens perspektiv som kommer till stor del påverka genom krav och regelverk. Personligen tycker jag att det är självklart att Sverige ska stå på egna ben och inte ha direkta beroenden av andra länder för att tillhandahålla samhällskritiska tjänster.

Risker och motsvarande krav kommer också att skilja sig åt stort, beroende på vilken typ av data som din organisation har. Från publik information där det “bara” är viktigt att den är tillgänglig och inte kan manipuleras, till mycket känslig data där det också är viktigt att endast behöriga har tillgång. Varje organisation måste göra sin egen riskbedömning. En utmaning vi ofta ser är glappet mellan juridik och teknik där det kan vara svårt att mappa rimligt tekniskt skydd mot ett krav.

Förtroende

En stor del i att ha kontroll på din data är att kunna avgöra vilka personer och organisationer som du kan lita på. Att ha din data på egna servrar som hanteras av egen personal jämfört med att du använder en extern molnplattform har helt olika risker som behöver beaktas. Här följer ett antal aspekter på förmågan att hantera data.

Robusthet

Hur robust är infrastrukturen? Finns det redundans på plats som uppfyller de krav som ni ställer på tillgänglighet? Idag brukar det vara standard med redundans på ström, lagring och nätverk samt avbrottsfri kraft men när det blir lite mer avancerade krav med flera tillgänglighetszoner och katastrofsäkring så blir det snabbt dyrt och komplext att bygga själv. För att bygga kluster med persistent data så krävs det normalt tre tillgänglighetszoner med en distribuerad design för att göra det på ett pålitligt sätt.

Finns det kapacitet tillgängligt som gör att ni kan klara belastningstoppar, tillväxt och att ersätta om noder eller en tillgänglighetszon skulle gå ner? Finns det processer eller automation på plats som kan hantera detta? Här finns styrka med att använda sig av containerkluster som Kubernetes och serverlessplattformar som automatiskt kan skala och hantera tillgänglighet.

Ligger tillgänglighetszonerna på katastrofsäkert avstånd eller finns det möjlighet att starta upp tjänsterna från kopior på data i en annan region? En återställningsrutin som denna behöver testas och blir normalt mycket enklare att utföra om man arbetar infrastruktur som kod eller på något annat deklarativt sätt.

Cybersäkerhet

Cybersäkerhet är en viktig del för den digitala suveräniteten då det handlar om att ha kontroll på sin data. Den organiserade cyberbrottsligheten ökar lavinartat och ingen kan längre gömma sig. Har er organisation en exponerad sårbarhet eller inte arbetar aktivt med säkerhetskännedom med era anställda så kommer ni att bli utsatta för en attack förr eller senare.

För att vara motståndskraftig mot cyberattacker så behöver det finnas en god säkerhetskultur i hela organisationen samt att det finns effektiva tekniska skydd på plats.

En hyperscaler har ofta många som arbetar med säkerhet men har också en stor organisation, plattform och ett större antal underleverantörer (sub-processors) som också har tillgång till data. Relativt organisationens storlek så kan en mindre organisation ha flera som arbetar med säkerhet. Det som är viktigt att kontrollera är vilka processer samt vilka tekniska skydd som finns. Marknadsledande säkerhetslösningar finns tillgängliga både för stora och små organisationer men används inte av alla.

De vanligaste attackerna vi ser idag är ransomware samt DDoS attacker. Vid ransomware så krypteras eller stjäls data så att en organisation sedan ska behöva betala lösen för att datan ska avkrypteras eller inte exponeras. Om data krypteras och du har en bra backup som inte kan ändras eller tas bort så ska du kunna återställa din data och dina system. Om data stjäls så är det väldigt svårt att förhindra vidare spridning. Att arbeta riskdrivet och ha bra skydd på plats är avgörande. Har ni koll så att onödiga tjänster och sårbarheter inte exponeras? Har ni möjlighet att detektera avvikelser såsom intrångsförsök eller malware?

• Finns det spårbarhet som gör att händelser kan utredas?
• Finns det skydd mot attacker, DDoS skydd (L3-L7), WAF, WAAP?
• Lagras backup och loggar så att dessa inte kan tas bort eller ändras?
• Är det fysiska skalskyddet och övervakningen tillräcklig?

Dataobfuskation

Ett sätt att minska risken är att göra data mindre känsligt. På så sätt skulle du även kunna använda tjänster hos en organisation som du inte behöver lita på fullt ut. Med dataobfuskation så kan du skydda känslig data genom:

• Kryptering, viktigt är dock att förstå var kryptering sker och vilken typ av kryptering som används. Om du inte äger och har koll på krypteringsnyckeln så kommer skyddet vara begränsat.
• Tokenization, då byter du ut känsligt data mot en token som du sedan kan ersätta på nytt när du väl behöver det. Exempelvis att personnummer byts ut så att data blir anonymiserat men fortfarande fullt användbart då du har koll på vilket token som motsvarar vilket personnummer.
• Maskning, då tvättar du data från känslig information men har inget sätt att återställa det. Mer begränsat användningsområde men kan vara bra för att skicka data till system för statistik eller liknande.

Människor

En av de största riskerna är vi människor. En stor andel av de intrång eller dataläckor som sker gör det på grund av att en person blir lurad, gör ett misstag eller agerar trolöst utifrån egen vinning. De processer och den säkerhetskultur som finns i en organisation är avgörande. Att arbeta riskdrivet och säkerhetsmedvetet i hela organisationen är ett måste för att kunna vara motståndskraftig mot cyberkriminalitet.

• Görs bakgrundskontroller vid anställning och löpande kontroller för att se avvikelser.
• Utförs löpande utbildning i säkerhetsmedvetenhet
• Finns processer för att arbeta riskdrivet och är dessa förankrade i hela organisationen

Regelverk

Det finns många regelverk som en organisation måste efterleva och om man vill använda en tjänst från en annan organisation så underlättar det att den organisationen också måste efterleva samma regelverk. Om inte så måste ni utreda vilka avvikelser som finns. Som ett exempel finns CLOUD Act och FISA 702 som gäller för US baserade och ägda organisationer där staten kan beordra en organisation att lämna ut data från sina kunder. Detta gör det svårt med digital suveränitet då tredje part kan få laglig tillgång till data.

Ur ett GDPR perspektiv så finns det ett avtal, EU-U.S. Data Privacy Framework mellan EU och US, ett avtal som organisationer ska kunna luta sig emot. Detta avtal är dock inte prövat rättsligt än och de två tidigare försöken höll inte. Beroende på data så finns andra lagar såsom NIS2, Dora, OSL eller säkerhetsskyddslagen som man också måste ta hänsyn till.

Det är upp till dig att göra riskbedömningen och vilken kontroll på data du har baserat på hur känslig data är, vilken organisation det är och vilka tekniska skydd som finns.

Beroenden

En viktig del i att ha kontroll över data är att kunna flytta data om behov uppstår. Med pandemin, kriget i Ukraina och Trump administrationen så har vi lärt oss att förutsättningarna kan förändras snabbt.

• Finns det tekniska beroenden till proprietära system som gör att det blir svårt att flytta.
• Finns det kommersiella inlåsningar som gör att det blir svårt att flytta En stor fördel med open source är att det kan förebygga teknisk inlåsning. Linux, Kubernetes och andra starka open source projekt gör att du själv kan välja om du vill köra en tjänst on-prem eller som en molntjänst hos ett flertal leverantörer. En kommersiell inlåsning kan vara motiverat ekonomiskt vilket är ok så länge man även gör en riskbedömning på att eventuellt behöva flytta.

Elastx

För oss på Elastx så är digital suveränitet väldigt viktigt. Vi tycker att Sverige ska kunna stå på egna ben och för att vi ska kunna göra det så behövs det lokala molnplattformar. Vi har byggt vår plattform för affärskritiska tjänster och känslig data. Det som körs mest på Elastx Cloud Platform (ECP) är SaaS tjänster med känslig data.

Vi har en robust plattform där en region har tre tillgänglighetszoner och en distribuerad design. Varje zon är ett geografiskt separerade datacenter som ligger upp till 20 km ifrån varandra för att erhålla katastrofsäkerhet och samtidigt bevara prestanda.

Inkluderat i alla våra tjänster är 24x7 support, Threat Intelligence som blockar kända dåliga källor på internet, L3/L4 DDoS-skydd, krypterad trafik mellan våra AZ och kryptering av all lagring. Utöver detta så finns det en rad med ytterligare säkerhetsfunktioner som tillval. Vi använder marknadsledande tekniska skydd för att motverka och upptäcka cyberattacker och vi ska erbjuda våra kunder motsvarande tjänster.

Elastx är en svensk organisation med svenska ägare och alla anställda är svenska medborgare. Vi gör bakgrundskontroller på alla anställda och vi utför löpande utbildning i säkerhetsmedvetenhet.

Vi är ISO 27001, 27017, 27018 och 14001 certifierade sedan 2016 och har en riskdriven säkerhetskultur i hela organisationen.

Vi motverkar inlåsning genom att erbjuda tjänster baserade på öppna standarder och starka open source-projekt samt att vi normalt tar betalt per timme och inte har några bindningstider.

Jag hoppas att du tycker att digital suveränitet är lika viktigt som vi tycker. Kontakta gärna oss om du har frågor eller vill höra hur vi kan hjälpa varandra.

Ha en riktigt bra dag, Joakim Öhman, CEO Elastx