I både Sverige och EU finns det en ofta återkommande diskussion om bruket av amerikanska molntjänster.
I dessa diskussioner är det inte ovanligt att ena parten för fram ett argument i stil med att det finns juridiska hinder varpå motparten hävdar att rätt IT-säkerhet löser det juridiska hindret. I slutändan är ingen klokare kring vad som gäller.
Efter alltför många sådana diskussioner och ett fortsatt förvirrat läge började jag fundera över varför frågan är så svår att diskutera. Ett svar är givetvis att parten som för fram sitt argument har någon sorts vinning, till exempel att det gynnar personens arbetsgivare. Men även om en part inte argumenterar intellektuellt hederligt, utan argumenterar utifrån sitt särintresse, kvarstår problemet att väldigt få verkar kunna göra en både kompetent och komplett bedömning. Notera att jag inte påstår att jag kan det heller.
Jag är övertygad om att problemet ligger i komplexiteten i frågan vilket innebär att den som vill resonera om detta behöver vara relativt påläst och kunnig inom åtminstone sex domäner. De jag identifierat är geopolitik, IT-säkerhet, kontinuitet, juridik, rådighet och näringspolitik. Självklart finns det en del överlapp mellan dessa sex, och det går givetvis bra att addera fler.
Fram till 2020 handlade diskussionen nästan enbart om OSL, GDPR och IT-säkerhet. Geopolitik, rådighet och kontinuitet blev allt vanligare efter Rysslands fullskaliga invasion av Ukraina och Sveriges NATO-inträde. De näringspolitiska konsekvenserna lyser fortfarande med sin frånvaro även om industri-initiativet EuroStack har satt frågan på dagordningen under 2025.
En påverkande faktor är också att det legat i de amerikanska leverantörernas intresse att olika frågor är oklara, på så sätt främjas att varje organisation behöver göra sin egen utredning. Klassisk söndra-och-härska-teknik.
Sex domäner
För att ge lite vägledning definierar jag de sex domänerna enligt följande:
Geopolitik är en vetenskaplig disciplin, där politik, historia och sociologi analyseras med referens till geografi. Geopolitik är något vi kan se dagligen i olika uttalanden från diverse politiska ledare där de tar avstamp i sitt eget lands historia, särart och befolknings speciella status. Även till exempel EU och Nato är geopolitiska aktörer utan att vara länder.
IT-säkerhet handlar om hur olika IT-system och dess information skyddas mot till exempel antagonistiska angrepp, obehörig åtkomst, manipulation, förstörelse och stöld. IT-system behöver ständigt ses över för att laga sårbarheter och minska angreppsytan. Kryptering är ett vanligt sätt att skydda information. Det går att argumentera för att domänen borde vara informationssäkerhet eller cybersäkerhet men i detta sammanhang är det av mindre betydelse.
Kontinuitet handlar om hur olika händelser kan påverka en organisations förmåga att fungera. Med god kontinuitetsplanering kan organisationen öka motståndskraften mot alltför negativa effekter.
Juridik är olika lagar och regelverk från Sverige, EU och andra länder. Lagar och regelverk från länder utanför EU brukar benämnas som tredjelandslagstiftning. Svårigheter gällande lagstiftning från vissa länder är till exempel att lagstiftningen medvetet är vagt skriven, att lagstiftningen är hemlig samt att lagstiftningen kan ändras med mycket kort varsel. I juridik inkluderar jag även leverantörsavtal som är mer eller mindre begripliga, ändras ofta eller sällan, tillhandahålls i sin helhet eller bara till viss del.
Rådighet är förmågan att självständigt kunna besluta om något genom att ha egen kontroll. Rådighet kan ta sig många uttryck, där ett ofta förekommande begrepp är ”digital suveränitet”. Digital suveränitet handlar om att ett land ska ha självständig rådighet över sina digitala tillgångar på samma sätt som sin mark, hav och luft.
Näringspolitik handlar enligt regeringen om att skapa förutsättningar för jobb och växande företag. I området ingår bland annat villkor för företagande och entreprenörskap, innovationskraft och en väl fungerande konkurrens. Enligt regeringen är det för få startups som växer till framgångsrika scaleups inom EU. Detta signalerar att Europa inte fullt ut förmår omvandla sin innovationskapacitet till globalt konkurrenskraftiga företag. Inre marknaden, som borde vara en språngbräda för tillväxt, är fortfarande fragmenterad, vilket begränsar tillgång till kapital, talang och marknader. Både EU-kommissionen och svenska regeringar kan knappast beskyllas för att ha underlättat för svenska IT-företag att växa, men det är en annan artikel att skriva.
Ett sätt att visualisera de sex domänerna är genom ett pussel där alla bitar behövs för att kunna se helheten, i detta fall det svenska samhället.
Resonemang
Som synes anlägger jag ett större perspektiv än bara den enskilda organisationen, det är ju till exempel inte en enskild myndighets roll att välja molntjänst delvis baserat på näringslivspolitisk hänsyn. Redan här har således en fallgrop blottats. Om vi går tillbaka till den ursprungliga diskussionen med två parter, men istället för juridik och IT-säkerhet så ligger problemet i att den ena parten väger in svensk näringslivspolitik i sin bedömning medan den andra parten bara utgår från den enskilda organisationen. Det blir svårt att nå samsyn i det läget.
En ständigt återkommande form av argumentation är risk, alltså att alla val bär med sig risk. Att bara hävda att alla val bär med sig risk ger dock inte någon vägledning kring hur en organisation ska välja. När det gäller IT-säkerhet är risk en självklarhet, det finns inget IT-system som både är åtkomligt för användare och är 100 % säkert. När det gäller rådighet är det mer binärt, antingen har organisationen kontroll över sin information eller så har de inte det. Juridik är ett mellanting, i vissa fall finns det tydlig lagstiftning och/eller prejudicerande domar som visar gränsdragningen mellan lagligt och olagligt. I andra fall är det för tillfället oklart exakt var gränsen går. Vissa organisationer verkar anse att så länge något uttryckligen inte är förbjudet så är det tillåtet, medan andra organisationer väljer det omvända. Vissa myndigheter har till och med tagit på sig uppgiften att ”utmana lagen” för att mera fritt kunna nyttja olika (amerikanska) molntjänster.
Regeringen skriver i Nationell strategi för cybersäkerhet 2025-2029 att ”det kan innebära allvarliga risker om många organisationer är beroende av samma tjänst eller system och att beroenden av digitala produkt- och tjänsteleveranser från organisationer baserade i tredjeland, kan både vara olämpliga och utgöra en sårbarhet som kan användas som politiskt påtryckningsmedel.” Här anlägger regeringen ett tydligt samhällsperspektiv på till exempel molntjänster. I Sveriges digitaliseringsstrategi 2025–2030 står det att ”en viktig aspekt för att motstå påfrestningar är tillgången till säkra och robusta leveranskedjor för både hård- och mjukvara. För att uppnå säkra leveranskedjor krävs ett systematiskt arbete med kontinuerliga riskbedömningar, en mångfald av leverantörsalternativ och gedigen kravställning gentemot leverantörer.” Samtidigt står det i utrikesdeklarationen från februari 2025 att ”den transatlantiska länken är avgörande för svensk och europeisk säkerhet samt att Sveriges och USA:s bilaterala relationer är mycket goda och stärks genom att vi är allierade i Nato. USA är en partner av särskild vikt för Sverige och för Europa – handelsmässigt, säkerhetsmässigt och politiskt.” Det går att ana att dessa olika kommunikéer inte är helt förenliga med varandra i förhållande till det faktumet att amerikanska molntjänster totalt dominerar den svenska marknaden och att inga försök från politiskt håll gjorts för att förändra detta.
Avslutning
Nästa gång du stöter på en diskussion om den så kallade ”molnfrågan”, börja då med att försöka förklara vilka domäner som de olika parterna inkluderar i sina resonemang. På detta sätt kanske vi gemensamt kan lyfta diskussionen till samhällsnivå för att Sverige snabbast möjligt ska kunna erhålla en rimlig grad av digital suveränitet samt att diskussionerna blir mer meningsfulla och intellektuellt hederliga.
