I staden Gordions tempel fans en knut på en oxkärra så komplicerad att ingen förmådde lösa upp den. Den som lyckades skulle enligt legenden bli herre över Asien. Alexander den store löste problemet genom att helt enkelt hugga av knuten med sitt svärd.

Alexander visade med all tydlighet att ett komplicerat problem inte nödvändigtvis måste ha en komplicerad lösning. Det gäller att ställa sig på sidan för att analysera vad i problemet består och vad man vill uppnå med en lösning. Alexander den store tänkte ”outside the box” och löste problemet synnerligen effektivt.

’På samma sätt kan man applicera Alexanders lösningsmetodik på ett mer nutida problem, – hur kan företag och verksamheter få tillgång till en effektiv molnlösning utan att riskera att hamna i konflikt med befintliga och framtida regulatoriska krav runt datasäkerhet? Svaret är enkelt, med ett private cloud.

 

Nuläget
Cloudlösningar möjliggör en effektivisering av IT driften och är en del av de flesta företags digitala strategi. Ett flertal spelare på marknaden erbjuder cloudlösningar, från mindre lokala aktörer, medelstora som tex IBM och HP, till de etablerade giganterna såsom AWS, Microsoft och Google. I takt med att applikationer och data läggs ut i allt större omfattning kommer problemställningen runt säkerhet allt mer i fokus. I Sverige har tex ESAMs jurister (eSamverkansprogrammet mellan myndigheter och SKL) tagit fram utlåtanden (VER 2018:57) som beskriver problematiken runt röjande av sekretessbelagd information.
I princip säger utlåtandet ”att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter”

Vilket är problemet
Rättsläget är komplicerat och det är svårt att bilda sig en entydig uppfattning om hur den enskilda verksamheten skall ställa sig i frågan. De stora aktörerna, AWS och MS menar att dom ger fullgott skydd till sina kunder, se exempel. Vissa hävdar att kryptering är en lösning. Oavsett detta menar ESAMs jurister att deras tolkning och rekommendation gäller.

Situationen kompliceras ytterligare då det pågår arbete med nya regler vilket gör det svårt att veta hur framtiden ter sig. Den enskilda verksamheten måste till sist själv bilda sig en uppfattning av rättsläget och hur detta påverkar den digitala strategin genom att förstå ett antal olika regelverk som till exempel:

  • Cloud Act.
  • GDPR.
  • Foregin Intelligence Surveillance Act (FISA).
  • EU förslag om tillgång till e-bevisning 2017/18:FPM88 KOM (2018) 225, KOM (2018) 226.
  • SOU 2017:100.

Risken är stor att man ger sig in på komplicerade juridiska frågeställningar istället för att effektivisera verksamheten.

Möjliga lösningar
I slutänden finns det tre möjliga vägar att gå.

  • Avstå helt från, eller senarelägg en cloudstrategi.
  • En publik cloudlösning.
  • En privat cloudlösning.

Do nothing
I ett osäkert läge kan en ”do-nothing-strategi” vara en god temporär lösning. Problemet är dock att krav och förväntningar från kunder blir svåra att tillgodose med en otidsenlig teknik. Risken att bli frånsprungen är hög samtidigt som kostnader för en traditionell IT drift ökar då den konkurrensutsatta marknaden i övrigt rört sig till nya domäner.

Publikt cloud
En publik cloud-lösning möjliggör en effektivisering och modernisering av verksamheten men där hamnar man i det osäkra rättsläget som beskrivits. Detta tydliggörs av de checklistor som tagits fram inom ESAM och MSB med exempel som:

  • Har ni bedömt rutiner och arbetsinsatser för att hålla sekretessreglerade uppgifter eller uppgifter med hög säkerhetsklass utanför? (Säkerhetsskyddslagen)
  • Har ni analyserat de rättsliga kraven? Finns det rättsliga förutsättningar för att kunna nyttja en molntjänst? (Rättslig analys) Checklista 2018-10-31 2 (2)
  • Har ni värderat vilken betydelse och vilket värde den information som ska behandlas i molntjänsten har för verksamheten? (Informationsklassning)
  • Hur ska verksamheten arbeta med uppföljning och leverantörsstyrning kopplat till molntjänsten?
  • Har ni gått igenom avtalet och förstått innebörden av avtalsvillkoren, exempelvis om villkoren ensidigt kan ändras av leverantören?
  • Finns en strategi för att i framtiden kunna lämna tilltänkt molntjänst (exitplan)

Dessa frågeställningar blir speciellt tydliga då det gäller de stora hyperscale leverantörerna (AWS, MS, Google) men gäller också de mindre lokala leverantörerna då situationen och ägarförhållanden för dessa kan förändras över tiden. Oavsett typ av publik leverantör måste man alltså ha en plan för eventualiteter som förändrar villkoren för tjänsteleveransen.

Private cloud
Ett private cloud ger samma funktionalitet som ett publikt. Skillnaden är att det privata molnet är en dedikerad miljö där man har full kontroll på var datat ligger, vem som har access till systemet och vem som använder det.
Det privata molnet gör det enkelt att följa regulatoriska krav, vare sig dom kommer från myndigheter, företaget självt eller företagets kunder, befintliga eller kommande.

Ett privat cloud kan lokaliseras inom företaget, dvs bakom befintligt skydd såsom brandväggar men också innanför perimeterskyddet (inpasseringkontroll, lås, access enbart av känd personal etc). Det kan också allokeras i ett datacenter.

Traditionellt har privata cloud varit komplexa miljöer som krävt speciell kompetens eller dyra proprietära lösningar. I takt med att industrin i stort numera använder cloudteknik i ett flertal lösningar, från stora back end system till lättviktig edge utrustning (CPE) finns det tillgång till teknologi som gör att även det enskilda företaget kan använda sin egen cloudlösning på ett kostnadseffektivt sätt.
Behovet av specifik kompetens tillgodoses genom att lösningen levereras som en managerad tjänst på samma sätt som den levereras av de publika aktörerna.

Förvisso är det så att det publika molnet är absolut billigast då det gäller mindre och sporadiska användare, men där behovet av datakraft och lagringskapacitet börjar närma sig det medelstora företaget nås en brytpunkt där den månatliga kostanden blir lika stor eller mindre för ett privat moln. Ett annat mått på denna brytpunkt är vid en konsumtion av 60-70 virtuella servrar och cirka 10 TB storage.
Det som gör denna brytpunkt svårdefinierad är att de publika molntjänsterna dels har en fast kostnad för resurser som CPU, storage, VPN, vRouters etc men också en rörlig kostnad som är trafik och lastberoende. Detta talar förvisso till det privata molnets fördel eftersom man här slipper obehagliga överraskningar i fakturorna som beror på rörliga kostnader. Det privata molnet har en fast månatlig kostnad.

Private – Public – Hybrid – Multi cloud
Det finns inget motsatsförhållande mellan olika cloud typer. En private cloud lösning utesluter inte en publik lösning då båda kan samexistera för att lösa olika behov runt säkerhet, kapacitet, latency (fördröjning) och kontroll (av användning och kostnad) som några exempel.
I och med att funktionaliteten och i många fall teknologin i en cloud lösning oavsett om den levereras av en hyperscale eller om tjänsten produceras internt (av tex IT avdelningen) är likadan kan applikationer och funktioner enkelt migreras mellan olika leverantörer och plattformar. I detta sammanhang är också användningen av multicloud viktigt, just för att säkerställa att applikationer kan migreras mellan olika leverantörer och därmed undvika inlåsningseffekter. En privat cloud lösning som kombineras med en publik är både en hybrid cloud lösning och en multi cloud lösning.

ELITS private cloud
Elits levererar privata molnlösningar till företag där skalbarhet, flexibilitet och säkerhet är prioriterade egenskaper för it funktioner i verksamheten. Vi har under mer än 10 år byggt kunskap inom molnteknik tillsammans med kunder inom försvars- och telecomindustrin. Vi har också byggt och driver ett eget datacenter för ett antal specifika kunder med mycket speciella behov vad avser användbarhet, skalbarhet, flexibilitet och säkerhet. Enkelt uttryckt, vi kan det här området.
Syftet med vårt privata molnerbjudande är att effektivisera verksamheten för våra kunder. Det stora värdet med molnet ligger i kombinationen människor och teknologi där vi kombinerar konsultbolagets spetskompetens med produktbolagets fokus och effektivitet.