• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Myndigheter tappar kontroll över känslig data

I en ny studie från Högskolan i Skövde har forskare gjort en fallstudie på hur en stor, svensk myndighet gjort när den tagit den globala molnlösningen Microsoft 365 i bruk. Resultaten visar stora brister i efterlevnad av gällande rätt. En av slutsatserna är att stora mängder känslig data kan behandlas under villkor som den svenska säkerhetspolisen identifierat som problematiska.

-

Björn Lundell, professor i datavetenskap vid Högskolan i Skövde

I Frankrike och Tyskland kom nyligen tydliga signaler från deras motsvarigheter till den svenska integritetsskyddsmyndigheten att användandet av Microsoft 365 (M365) inte är förenligt med Dataskyddsförordningen (GDPR) och förbud mot användandet av lösningen är att vänta.

I Sverige är dock användandet av molnlösningen inom myndigheter och offentliga organisationer brett samtidigt som andra beslut fattas. I december 2021 fattade till exempel Stockholms stad ett beslut om att inte använda M365 då man ansåg att det under gällande rätt inte är möjligt för en offentlig organisation.

Nyligen gjordes en av de största implementeringarna i Sverige av M365 i en stor, svensk myndighet. Något som för med sig en rad problem och det är mycket tveksamt om det är förenligt med gällande rätt, menar Björn Lundell, professor i datavetenskap vid Högskolan i Skövde.

Han har tillsammans med kollegor studerat hur implementeringen av M365 gick till. Forskarna ser en rad mycket stora brister som påverkar såväl individer som organisationer och innebär en rad juridiska, organisatoriska, tekniska och samhälleliga utmaningar. Studien har identifierat att den analys som föregick anskaffningen av lösningen har betydande brister.

Forskarna konstaterar att myndighetens databehandling sker på för myndigheten okända villkor, vilket i praktiken innebär att myndigheten tappat kontrollen över sin egen information.

– Tyvärr är den nu undersökta myndigheten långt ifrån ensam om att sakna kontroll på sin egen databehandling. Resultat från tidigare forskning som analyserat implementering av M365 visar att det också finns betydande brister hos många andra myndigheter, däribland flera kunskapsintensiva myndigheter, säger Björn Lundell.

Forskarna menar att det ur ett samhälleligt perspektiv är olämpligt för en myndighet inom EU att skriva avtal med en leverantör som är helägd av ett företag baserat i ett land som står på EU:s lista över icke samarbetsvilliga länder inom skatteområdet. I studien konstateras det att de allra flesta beslutsfattarna inom den undersökta organisationen inte såg några problem med lösningen ur det perspektivet.

Användning av lösningen medför vidare att myndighetens data kan behandlas i en rad länder som identifierats som problematiska, som inkluderar ett land som identifierats som olämpligt av bland andra svenska säkerhetspolisen.

– När myndigheten saknar tillgång till alla relevanta avtalsvillkor för lösningen blir det i praktiken omöjligt att genomföra en gedigen analys och bedömning av hur myndighetens uppgifter kan komma att behandlas och förvaltas som en konsekvens av att lösningen används, säger Björn Lundell.

Användning av M365-lösningen för databehandling av känslig information och behandling av digitala tillgångar för vilka organisationen saknar upphovsrätt och tillämpliga licenser kan även orsaka ett antal oförutsedda och oönskade juridiska problem.

Det kan till exempel handla om exponering för olika upphovsrättslagar och risk för tvister i främmande jurisdiktioner. Detta var något som inte alls analyserades av den undersökta organisationen innan implementeringen.

Införande och användning under okända avtalsvillkor i en offentlig organisation, som kan involvera databehandling i flera olika länder, exponerar organisationen för flera, okända lagar och regler som gäller i de olika länderna. Att använda en molnlösning under dessa omständigheter utsätter organisationens behandling och förvaltning av dess uppgifter och handlingar för betydande risker. Men det finns lösningar menar Björn Lundell.

Baserat på studiens resultat rekommenderas varje myndighet som överväger att anskaffa en It-lösning att alltid anskaffa och analysera alla avtalsvillkor innan lösningen används för att behandla myndighetens information.

– Självklart behöver myndighetens egen analys visa att den tilltänkta användningen är förenlig med gällande rätt. Detta är särskilt viktigt när det är fråga om att anskaffa en publik molnlösning från en global leverantör som tillhandahåller en programvara som tjänst, säger Björn Lundell.

”Hållbara laddprodukter främjar fastighetsbranschens utveckling”

Hallå där Josefin Bengtsson, COO och Head of Marketing för Compleo Nordic. Vilka är Compleo?– Compleo erbjuder allt man behöver för en smart och...

FLER NYHETER

Malmö Stadsnät säkrar infrastrukturen

Malmö stad förvaltar och bygger fibernät för framtidens infrastruktur. Man erbjuder operatörer, villor, bostadsrättsföreningar, flerbostadsfastigheter, samfälligheter med flera en oberoende och framtidssäkrad kommunikationsmöjlighet. Som...

Dramaten säkrar scentekniken med UPS-lösning

Dramaten Thalia fasad 2015 EntréOsäkerheten kring elförsörjningen får allt fler verksamheter att se över vilka konsekvenser ett strömavbrott kan få för verksamheten. För nationalscenen Dramaten...

Chat GPT används för nätfiskeangrepp

Utvecklingen går snabbt och vi läser dagligen om hur Chat GPT gjort om spelplanen genom att skapa välskriven text på bara ett ögonblick. På...

RAPPORT: En av tio patchar inte sårbarheter i telefonen

Nästan hälften av dessa sårbarheter, 47 procent, klassas dessutom som allvarliga och rentav kritiska. Företag låter det gå i genomsnitt 184 dagar, det vill...

Samarbete ska stärka brandskyddet i Skåne

Fokus under våren kommer att vara utrullningen av Grundläggande brandövning – ett grundläggande upplägg för brandövning på den egna arbetsplatsen. Säker Vårdmiljö har även...

Dataskyddsombud varnar för brister i arbetet med GDPR

IMY publicerar nu rapporten Dataskyddsarbetet i praktiken som bygger på en enkät som besvarats av dataskyddsombud i närmare 800 verksamheter. Syftet med rapporten är att få...

Securitas tecknar nytt säkerhetsavtal med LKAB

Denna gång valde LKAB att förlänga avtalet, något som avtalsansvarig på Securitas, Markus Printz menar tyder på ett gott förhållande mellan företagen.– Att ges möjligheten till...

SRS Security inleder samarbete med Ing-Marie Wieselgren stiftelse

– Kan vi på bred front fortsätta att göra nytta i Ing-Maries anda och öka den psykiska hälsan på några håll i samhället så...

RAPPORT: Yahoo toppar listan över världens mest utsatta varumärken för nätfiske

Högst upp på listan hamnar Yahoo, teknikföretaget har därmed klättrat 23 platser sedan förra kvartalets rapport. Yahoo utnyttjades för 20 procent av världens alla...

Ökat skydd mot desinformation för offentliga arbetsgivare

Anonyma konton och hatkampanjer på nätet sprider desinformation om socialtjänsten. Men felaktiga uppgifter sprids också av anställda i kommuner, regioner och i privata verksamheter...

Brister i att förebygga hot och våld på jobbet

På senare år har hot och våld uppmärksammats allt mer som ett arbetsmiljöproblem. I den här insatsen har Arbetsmiljöverket fokuserat på verksamheter som ligger...

Secify rekryterar affärsområdeschef från Combitech

Jonas Stewén har en bakgrund inom verksamhetsutveckling, samt roller inom försäljning och marknad. Som försäljningschef på Secify kommer han dessutom ingå i ledningsgrupp för...

Maria Lagerstam ny chef för People & Culture på Iver

– Först vill jag välkomna Maria till Iver och till vår koncernledning. Kompetensutveckling och kompetensförsörjning är centrala delar för varje organisation som vill vara...

Fortifikationsverket rekryterar från Must

Anders Henningsson kommer att bli avdelningschef för säkerhetsavdelningen och Fortifikationsverkets säkerhetsskyddschef. Han kommer att ingå i myndighetens ledningsgrupp.– Det känns jättebra att Anders Henningsson...

Bankernas säkerhetsanalytiker kan inte stå ensamma i skottgluggen för de växande cyberhoten

35 procent av alla dataintrång rör banker och finansiella tjänster, enligt Forbes. Den tid...

Dags för ett kunskapslyft om GDPR på svenska arbetsplatser

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.”Bara varannan svensk känner...