När vi navigerar genom den digitala transformationens virvlar, ställs vi inför en avgörande fråga: Var ska vi förvara vår mest värdefulla tillgång – informationen? Molnbaserad informationslagring, ett självklart inslag i denna diskussion, har blivit föremål för polariserade debatter mellan IT-specialister, arkivarier och dataskyddsombud. Vad som ofta går förlorat i dessa debatter är dock nyanserna – en objektiv och balanserad syn på både fördelarna samt utmaningarna som molntjänster innebär. Så kan dessa tjänster verkligen erbjuda säkra och effektiva lösningar för bevarande av information? Vi ska utforska denna fråga från olika yrkesperspektiv och ta en närmare titt på de för- och nackdelar med molnbaserade lösningar som ofta förbises.
Vi börjar med IT-specialisterna, de största förespråkarna för molntjänster. De lockas av de potentiella tids- och kostnadsbesparingar som molntjänster kan erbjuda jämfört med att förvalta egen infrastruktur. Men de överskattar ofta de faktiska vinsterna. En stor utmaning ligger i att både förstår själv och sen följa upp de GDPR- och informationssäkerhetskrav som ställs på externa leverantörer och även deras underleverantörer. Vilka rutiner och skyddsåtgärder har de på plats? Många organisationer saknar tid, kompetens och/eller vilja att granska sina leverantörer. Kan vi lita på att de levererar när det gäller? Att få tillgång till korrekt information om den egna organisationens on-premise-lagring (lagring av information på organisationens egna servrar) är å andra sidan sällan ett problem.
Sen kanske det är bäst att prata om elefanten i rummet – dataskyddsombuden med GDPR- perspektivet. Dataskyddsombuden befarar oavsiktlig exponering av personuppgifter utanför organisationen och juridiska problem med underleverantörer utanför EU. Det är förstås viktiga principer som inte ska viftas bort, därför lockar on-premise-lösningar denna yrkesgrupp. Men sker detta på bekostnaden av informationssäkerhet och hur påverkar det organisationens regelefterlevnad som helhet?
Ett av de grundläggande, men ofta överskuggade, syftena med GDPR är att säkerställa lämpligt skydd för information. I många fall finns det dock ett malplacerat förtroende gentemot den egna it-avdelningens kapacitet och kompetens gällande säker drift av system. Molnlagring kan i många fall erbjuda överlägsen säkerhet sett till helheten. Leverantörerna kan tillhandahålla expertis inom specifika system och plattformar på ett sätt som kan vara svårt för organisationens egna it-specialister att matcha. Till exempel kan säkerhetsuppdateringar och patchningar (mindre uppdateringar) ske löpande (snabbt) utan att behöva beställas av verksamheten vilket resulterar i kortare ledtider mellan identifiering av risker och implementering av lösningar. Därmed får man ett effektivt skydd mot den vanligaste källan till cyberattacker, eftersatta system med säkerhetsbrister.
Arkivarier med sitt fokus på långsiktigt bevarande bävar för risken att informationen ska försvinna – att lagra informationen inom organisationen känns ofta säkrare. Arkivarier har under lång tid haft en tendens att vilja samla information på en enda fysisk plats inom organisationen. Detta förhållningssätt är förstås praktiskt men principen har vid otaliga tillfällen resulterat i omfattande förstörelse, något som illustreras i Wikipedias List of destroyed libraries. Händelserna, som varierar i omfattning och tidsram har orsakats av allt från medveten informationsförstöring till krig, naturkatastrofer och brand.
Det finns många exempel på hur den redundans som molntjänster möjliggör kan innebära en robust informationslagring. Nu finns det möjlighet att lagra kopior av information i en annan stadsdel, i en annan region eller i ett annat land. Ett aktuellt exempel kommer från Ukraina, som nyligen påbörjade en process att flytta kopior av samhällsviktiga data från offentliga institutioner till datacenter i bland annat Polen och Frankrike. Privata moln konstruerades med kryptering och nätverken säkrades för att kunna lita på både lagringen och transportering av informationen. Syftet var att skydda sina tillgångar mot fysiska och cyberangrepp. Det var en omfattade process att flytta över 150 register från olika myndigheter till molnen. Detta visade sig snabbt vara en värdefull försiktighetsåtgärd när ett regeringsdatacenter skadades av ryska missiler under krigets första dagar – ingen data gick förlorad tack vare molnbackuper.
Över lag är offentliga data och tjänster ofta strategiskt viktiga för ett lands försvar, och informationsförsörjning är därför en vanlig måltavla. Tänk hur viktigt folkbokföringsregister, skatteuppgifter och Bank-id är för det svenska samhället. Det är avgörande att sådana tjänster skyddas eftersom tillgång- och tillförlit till denna information kan påverkas på destruktiva sätt av ett anfallande land. Risken är alltså inte enbart att information kan gå förlorad, att information permanent förvanskas är också en risk.
Även Estland, känt för sin digitala framkantsposition, har omfamnat molnkonceptet genom att upprätta en ”dataambassad” i Luxemburg. Där säkerhetskopieras och bevaras kritiska databaser och tjänster, vilket ytterligare understryker vikten av redundans för långsiktigt informationsbevarande. Att lagra offentliga institutioners data utanför den egna regionen eller nationen utgör ett skydd mot existentiella hot. Detta är särskilt relevant för organisationer som hanterar strategiskt viktig information och är någonting som borde övervägas i en tid präglad av ständigt ökande cyberhot.
Framåt ser vi en växande trend mot hybridmoln och flermolnstrategier. Hybridmoln, en kombination av on-premise-datacenter och molntjänst erbjuder organisationer en balans mellan lokal kontroll och molnets flexibilitet. Dessa lösningar kan skräddarsys för att passa organisationens specifika behov och säkerhetskrav.
Så, där står vi, vid skärningspunkten mellan tradition och framtid. Molntjänster bjuder in oss till en värld av möjligheter, med sina förmågor att erbjuda redundant informationslagring, effektivitet och säkerhet. Men som med alla teknologiska framsteg, följer komplexitet och nya utmaningar. Vi kan inte bortse från riskerna med exponering av känsliga data, juridiska svårigheter eller utmaningar med revision av underleverantörer. Som ofta är fallet, finns det ingen universallösning. Varje organisation måste granska sina specifika behov, risktolerans och kapabilitet för att avgöra hur, och i vilken omfattning de ska använda molntjänster.
Så vad har vi kommit fram till då? Det som känns viktigast att påpeka är att det finns flera dimensioner av denna fråga och att det finns både fördelar och nackdelar från alla berörda yrkesgruppers perspektiv. Framöver hoppas jag på en mer informerad, mångsidig och konstruktiv debatt rörande molnlagring så att vi inte kastar ut barnet med badvattnet.
Andrew Tutt- Wixner arbetar inom Arkiv, GDPR och informationssäkerhet på Leksands kommun. Är född och uppvuxen i Perth, Australien innan flyttlasset tog honom bort från kuststaden till Mora via
Stockholm. Till vardags arbetar han inom arkiv, GDPR och informationssäkerhet i Leksands kommun. Vid sidan av gillar han att utveckla digitaliseringsverktyg under namnet ArchiveTools. Det han gillar allra mest inom arkiv är att arbeta med export och transformation av digitalinformation.
