Kvalitativ studie gällande organisationers användning av molntjänster

Transkript

1 AKADEMIN FÖR TEKNIK OCH MILJÖ Avdelningen för datavetenskap och samhällsbyggnad Kvalitativ studie gällande organisationers användning av molntjänster Ronja Pyykkö Sandblom 2022 Examensarbete, Grundnivå (yrkesexamen), 15 hp Datavetenskap Dataingenjörsprogrammet Handledare: Carina Petterson Examinator: Julia Åhlen

2

3 Förord Denna studie har genomförts tillsammans med Sogeti och deras kontor i Gävle. Jag skulle vilja tacka alla involverade personer på Sogeti som har bidragit med stöttning och tips under arbetets gång och ett tack till alla som har hjälpt mig med att få tag på respondenter att intervjua. Det har varit en extremt rolig tid hos er och jag hoppas vi kommer arbeta tillsammans någon gång i framtiden. Jag vill även passa på att tacka min handledare Carina som har väglett mig och kommit med feedback för att få arbetet i rätt riktning, samt mina studiekamrater för alla skrattfyllda pauser vi tagit. Främst av allt vill jag tacka min sambo Joachim för det oändliga stöd jag har fått under hela min tid på Högskolan i Gävle. Utan dig hade detta inte varit möjligt. i

4

5 Sammanfattning Molntjänster har funnits sedan en lång tid tillbaka. Med åren har allt fler börjat använda dessa tjänster, vilket har gjort att det är ett högaktuellt ämne. Cirka 75 procent av företag använder sig av molntjänster och det ses som nödvändigt för digitaliseringen i svensk offentlig sektor. Trots det råder en debatt om komplexiteten vid användandet av molntjänster för myndigheter. Denna forskningsstudie kommer studera organisationers tankar kring molntjänster och dess prioritering för molntjänsternas olika risker, för att kunna skapa en förståelse kring varför organisationer tar de beslut de tar. Hur kan det komma sig att företag och myndigheter ser olika på användningen av molntjänster? För att ta reda på detta har en litteraturstudie genomförts för att inhämta tidigare forskning kring området, samt semistrukturerade intervjuer med företag och myndigheter för att få en fördjupad förståelse kring dess användning av molntjänster. Undersökningen visar på att det skiljer sig mellan företag och myndigheter när de kommer till anskaffningen av molntjänster. För myndigheter finns det regler och riktlinjer för hur de ska gå till väga. För företag saknas det riktlinjer, de har dock egna individuella beslutsprocesser. Företagen har enbart dataskyddsförordningen att ta hänsyn till samtidigt som myndigheter även har flertalet andra lagstiftningar att följa. Det skilde sig även åt mellan företag och myndigheter gällande de problem och hot som de ser, samtliga myndigheter ser fler hot än vad företagen gör. En likhet som resultatet visar är att organisationerna hade liknande policys, där man inte får använda otillåtna molntjänster. Myndigheter hade även åtgärder i avsikt att förhindra skugg-it, detta genom att fånga upp de anställdas behov och på så sätt hindra dem från att nyttja otillåtna tjänster. Sökord: Molntjänster, beslutsprocess, hot, säkerhet, policy, organisationer, myndigheter, GDPR. iii

6

7 Abstract Cloud computing has been around for a long time. Over the years, more people have started using these services, which has made it highly topical. 75 percent of companies use cloud services and it is seen as necessary for digitalisation in the Swedish public sector. Nevertheless, there is a debate about the complexity of using cloud services for authorities. This scientific research report will analyze organizations thoughts on cloud computing and identify the different risks of cloud computing, in order to create an understanding of what organizations base their decisions on. How come that companies and authorities have different views on the use of cloud computing? To find out this, a literature study has been conducted to gather previous research on the area, as well as semi-structured interviews with companies and authorities to gain an in-depth understanding of the organizations use of cloud computing. The results and the conclusions of this study show that there are differences between companies and authorities when it comes to the acquisition of cloud computing. For authorities, there are rules and guidelines for how to proceed. There is a lack of guidelines for companies, they have their own individual processes.companies only have the GDPR to take into account, while authorities have the majority of other legislation to follow. There was a difference between companies and the authorities problems and threats that they see. All authorities see more threats than companies do. A similarity in the result is that organizations had similar policies, where they are not allowed to use unauthorized clouds. Authorities also had measures in place to counteract shadow IT, this by raising the needs of the employees and thus preventing them from using unauthorized clouds. Keywords: Cloud computing, decision-making process, threats, security, policy, organizations, authorities, GDPR. v

8

9 Innehållsförteckning Förord...i Sammanfattning... iii Abstract... v 1 Introduktion Frågeställningar Teoretisk bakgrund Vad är molntjänster? Tjänstemodeller Distributionsmodeller Säkerhetsaspekter inom molntjänster Skugg-IT Insiderhot Lagar Dataskyddsförordningen GDPR NIS-lagen Säkerhetsskyddslagen Process vid anskaffande av molntjänster Service level agreement Metod Litteraturstudie Urval Genomförande Analys av data Intervjuer Urval Genomförande Analys av data Resultat Organisationer Lagar och regler Beslutsprocess vid anskaffning av molntjänster Riktlinjer inom organisationer Hot mot molntjänster Användning av molntjänster Säkerställning Lösningar på problemen med molntjänster Diskussion Hot Riktlinjer Beslutsprocess Metoddiskussion vii

10 5.5 Miljö och hållbar utveckling Slutsatser Referenser Bilaga A... 1 Bilaga B... 1 viii

11 1 Introduktion Molntjänster är inte ett nytt koncept utan det har funnits länge men trots detta fortsätter molntjänster vara relevant då det används, både i organisationer och bland privatpersoner för dess flexibla och kostnadseffektiva tjänster. Trots alla fördelar som finns med användandet av molntjänster så finns det även nackdelar. Säkerhetsriskerna är en sådan nackdel, där organisationerna måste kunna säkerställa sekretess, riktighet, tillgänglighet, autentisering och oförnekbarhet. Molntjänster kan försvåra organisationers arbete kring säker datalagring och kommunikation [1] och samtidigt har det på senare år tillkommit fler och striktare lagar kring hur detta ska hanteras. År 2018 gjorde statistikmyndigheten SCB en undersökning om ökningen av molntjänstanvändningen bland företag [2] som visar att 57% av svenska företag med över 10 anställda använder molntjänster. År 2021 visar SCB i en undersökning [3] att närmare 75% av svenska företag med tio anställda eller fler använder någon typ av molntjänst. En rapport från Palo Alto Networks [4] visar att över hälften av företagen runt om i världen har en låg säkerhetsnivå i samband med molndata och att de behöver förbättras på områden som åtkomstpolicys och rättigheter samt att de behöver effektivisera reaktionsprocessen vid utredning av säkerhetsintrång. För myndigheter är diskussionen om att använda molntjänster aktuell och komplex samtidigt som molntjänster är nödvändigt för digitaliseringen i svensk offentlig sektor [5]. Både myndigheter och företag lyder under personuppgiftsförordningen, GDPR, som handlar om hur man får lagra personuppgifter. GDPR är omfattande och kan även vara svår att tyda. Det här kan vara en anledning till att det fortfarande pågår en diskussion bland organisationer huruvida man ska använda molntjänster eller inte. Denna forskningsstudie kommer utföras genom en litteraturstudie samt genom semistrukturerade intervjuer med företag och myndigheter för att skapa en förståelse kring varför organisationer tar de beslut de tar. Avhandlingen kommer studera organisationers tankar kring molntjänster och dess prioritering för molntjänsternas olika risker. Hur kan det komma sig att företag och myndigheter ser olika på användningen av molntjänster? 1

12 1.1 Frågeställningar - Vilka risker och hot ser man kring molntjänstanvändningen hos organisationer? - Hur skiljer sig organisationernas riktlinjer eller interna regler gällande molntjänster mellan varandra? - Vad baserar organisationer sina beslut på gällande användningen av molntjänster? 2

13 2 Teoretisk bakgrund Nedan beskrivs vad molntjänster innebär, vanliga säkerhetsrisker, olika lagar som påverkar molntjänster samt process vid anskaffade av molntjänster. 2.1 Vad är molntjänster? NIST, National Institute of Standards and Technology, definierar molntjänster som en tillgänglighet som på begäran möjliggör datorresurser utan att användaren aktivt behöver hantera dem [6]. De tar upp fem karaktäristiska egenskaper hos molntjänster, självbetjäning på begäran, bred nätverksåkomst, resursdelning, snabb elasticitet och uppmätt service Tjänstemodeller Molntjänster brukar fördelas i tre olika tjänstemodeller. Infrastruktur som en tjänst (Infrastructure as a Service, IaaS) innebär att leverantören tillhandahåller en molninfrastruktur där kunden själv har kontroll över lagring, applikationer, samt eventuellt en kontroll över olika nätverkskomponenter [6]. Kunden kan då köra och distribuera sin egna programvara däribland operativsystem och applikationer [7]. Amazon EC2 är ett exempel på en IaaS-tjänst [8]. Plattform som en tjänst (Platform as a Service, PaaS) innebär att molntjänster erbjuder kunden en miljö att utveckla applikationer [7]. Molntjänstleverantören låter kunden driftsätta de egna applikationerna på molnet. Kunden hanterar inte underliggande infrastruktur, nätverk, servrar etcetera, men har kontroll över de distribuerade applikationerna med eventuella miljökonfigurationer [6]. Exempel på PaaStjänster är Google App Engine och Amazon Web Services [9]. Mjukvara som en tjänst (Software as a Service, SaaS) innebär att kunden får tillgång till applikationer som körs på en molninfrastruktur genom ett gränssnitt i webbläsaren [7]. Kunden behöver således inte hantera den underliggande infrastrukturen. Leverantörer ansvarar för applikationen, nätverk, servrar, lagring etcetera [6]. Google Docs och Gmail är exempel på SaaS-tjänster [8] Distributionsmodeller Molntjänster kan delas in i fyra olika distributionsmodeller. Publika molntjänster (public cloud), privata molntjänster (private cloud), hybrida molntjänster (hybrid cloud) och gemensamma molntjänster (community cloud). 3

14 Publika molntjänster erbjuds till kunder över en internetanslutning där kunden vanligtvis betalar per användning. Kunden behöver inte köpa in sin egen hårdvara utan kan med hjälp av leverantören skala upp och ner sin användning efter behov. Molntjänstleverantörer hanterar resurserna som krävs samt infrastrukturen som användaren behöver. I publika molntjänster äger en organisation tjänsten som sedan kan användas av endera allmänheten eller en stor organisation. Denna distributionsmodell kan hittas över internet och erbjuder alla användare liknande kapacitet och tjänster [8]. Privata molntjänster drivs enbart inom en viss organisation. Dessa molntjänster kan både finnas till på organisationen eller utanför på en annan plats. Leverantören av molntjänsten kan både vara organisationen själv eller en extern leverantör men syftet är densamma, tjänsten skall bara användas inom organisationen eller till dess partners [8]. Hybrida molntjänster är en mer komplex distributionsmodell och är en sammansättning av två eller flera molntjänster. Inom hybrida molntjänster finns det en portabilitet av applikationer och data mellan de olika molntjänsterna trots att de singulära molnen är sina egna tjänster. En hybrid modell har som krav att det ska vara en sammansättning av minst en publik molntjänst och minst en privat molntjänst [8]. I denna modell används privata molntjänster för att hantera känslig information som organisationen själva kan kontrollera, medan icke-kritisk information och arbetsbelastning som behöver vara skalbart lagras i det publika molnet [10]. En organisation med denna typ av molntjänst hanterar resurser både inom företaget och externt [8]. Gemensamma molntjänster innebär att flera organisationer och företag delar på en molninfrastruktur. Organisationerna och företagen har en gemensam angelägenhet, exempelvis uppdrag, säkerhetskrav, eller policys [6]. 2.2 Säkerhetsaspekter inom molntjänster Säkerhet inom data och informationssystem är beroende av fem huvudsakliga punkter, sekretess, riktighet, tillgänglighet, autentisering och oförnekbarhet. Sekretess innebär att man ska kunna säkerställa att personer, enheter eller processer, inte får tillgång till information de ej är behöriga för. Data, under överföring, ska kunna skickas utan att obehöriga parter ska kunna ta del av den. Med riktighet innebär att data ska kunna mottas med garantier för att en obehörig part inte har modifierat den. Tillgänglighet går ut på att en tjänst ska vara tillgänglig på begäran av en behörig part, vid rätt tidpunkt. Autentisering betyder att både sändaren och mottagarens identitets ska kunna bekräftas. Oförnekbarhet innebär att sändaren och mottagen inte ska kunna förneka överföringen eller mottagningen av data [11]. 4

15 I en studie av Kafhali et al [12] kategoriseras nyckelhoten mot molntjänster i sex kategorier. - Nätverkssäkerhet - Virtualiserings och hypervisorsäkerhet - Identitets- och åtkomsthantering - Data- och lagringssäkerhet - Ledning - Juridiska och samtyckesfrågor. Nätverkssäkerhet innefattar bland annat osäkra API:er och överbelastningsattacker. Med virtualisering- och hypervisorsäkerhet menas bland annat VM-escape och hypervisor-sårbarheter. Identitets- och åtkomsthantering omfattar konsekvenserna som uppkommer till följden av dataintrång. Detta har en påverkan internt på organisationer, då personalens produktivitet och moral influeras, men likaså en inverkan på nätverket, samt leverantörens rykte. När datasäkerhet och integritetsfrågor utsätts för hot är den första faktorn, för molntjänster, att utföra en säker och kraftfull åtkomst till utkontraktering och lagrade identiteter för att skydda on-demand molntjänster. Data och lagringsäkerhet innefattar lagring av data från en tredje part. Användarna blir beroende av leverantören för att säkerställa tillgänglighet, integritet och sekretess. För att lagra data krävs det en integritetsförsäkran för att kunna garantera att leverantören är tillförlitlig och att lagrade data inte kan infekteras. Med ledning menas att klienter som använder molntjänster avsäger sig att inspektera molntjänstleverantörer i flera kritiska frågor, däribland policys, procedurer och säkerhetsmekanismer som kan ha inverkan på säkerheten. Vid en bristande ledning kan molntjänstleverantörer exempelvis strunta i att radera data säkert och därför kan data rekonstrueras i efterhand. De juridiska aspekterna innefattar det ansvar organisationer har, som är grundläggande för att utföra, enligt redan definierade specifikationer, standarder och lagar. Data som passerar gränser kan ge upphov till säkerhetsproblem då lagar och standarder kan ses som tvetydiga. En ytterligare aspekt till detta är att olika länder har olika typer av lagar och regleringar på flera olika nivåer, exempelvis lokala, nationella eller statliga. Detta gör de juridiska frågorna komplicerade. 5

16 En studie av Sultana och Srinivas [13] kategoriserar hot kring molntjänster i tre kategorier, datasekretess och integritet, identitetshantering och åtkomstkontroll samt kontraktsmässiga- och juridiska frågor. Dessa stämmer överens med några av de kategorier som [12] tar upp. När man nämner datasekretess och integritet tar man upp tre hot kring ämnet. Det första är dataåterställning och sårbarhet, med det menas att en tidigare tillåten resurs kan överföras till någon annan på grund av molntjänsternas resursfördelning och redundansegenskaper. En illvillig användare kan använda återställningstekniker på minne och lagringsresurser för att komma åt data från tidigare användare. Det andra hotet är felaktig mediarensning, om lagringsmediet saneras felaktigt kan det utgöra en fara för den lagrade data. Även säkerhetskopiering tas upp under datasekretess och integritet. Det är avgörande vid avsiktliga eller oavsiktliga katastrofer att leverantören säkerställer att det finns regelbundna säkerhetskopior för att undvika förlust av data. Identitetshantering och åtkomstkontroll innebär att molntjänstleverantören måste hålla register över sina användares identiteter för att obehöriga parter inte ska kunna komma åt data. I tillträdes- och identitetskontroller finns problem som exempelvis att autentiseringsuppgifter är svaga. Här nämner man både skadliga insiders och utomstående inkräktare. Den sista kategorin är kontraktsmässiga och juridiska frågor. Vid förflyttning till molnet uppstår det många utmaningar kring kontraktstillämpningar och geografiska jurisdiktioner. I servicenivåkontrakt ska leverantören och användaren gemensamt komma överens om vad som händer vid ett dataintrång, förebyggande åtgärder, åtgärder och tillgänglighet. Ett problem som numera uppstått är att det finns fördefinierade och icke förhandlingsbara kontrakt som användaren helt enkelt får acceptera. På grund att av molntjänstleverantörerna har resurser i flera olika nationer blir det även frågor kring juridiken. Datacenter på olika geografiska platser har egna regler och säkerhetsriktlinjer, om användaren flyttar från ett geografiskt område till ett annat skapar detta komplexa problem. 6

17 2.2.1 Skugg-IT I en studie av Walterbush et al [14] har man studerat riskerna kring skugg-it (shadow IT). Skugg-IT definieras som ett IT-projekt, såsom molntjänster, som hanteras utan IT-avdelningens kunskap och tillåtelse [15]. Detta kan leda till många negativa konsekvenser för företagen. I och med att enskilda anställda hos företagen kan sitta på insiderinformation kan detta leda till dubbletter, inkonsekvent data eller även dataförlust. När man talar om skugg-it i samband med molntjänster nämns sårbarheter såsom luckor i brandväggar vid nedladdning av osäkra applikationer eller spridning av känslig information på flera enheter. Andra aspekter som är relevant kring skugg-it är de juridiska problemen som uppstår vid innehav av information. Vem har tillgång och äger informationen i molnet, samt andra lagar om integritet [14] Insiderhot Olika typer av insiderhot tas upp i en studie av Saxena et al [16]. I studien identifieras tre olika typer av aktörer som skadar företag på olika sätt, skadlig insider, komprometterad insider och slarvig insider. För att förstå insider risken behöver man förstå skillnaden mellan dessa aktörer. En skadlig insider är en aktör som med mening missbrukar dess legitima autentiseringsuppgifter för att stjäla information för egen vinning. Dessa insider-aktörer har ofta en stor kunskap kring sårbarheter och säkerhetspolicys hos organisationen som är till fördel för dess konkurrenter. En komprometterad insider-aktör är en person som oavsiktligt hotar en verksamhet i och med att personens kontouppgifter har blivit äventyrade. Ett vanligt tillvägagångssätt är att genom social ingenjörskonst samla in personers kontouppgifter. Social ingenjörskonst innebär att man genom psykologisk manipulation fångar upp användare som gör misstag gällande säkerheten och ser förbi risker. Eftersom angriparen här är utomstående, men nyttjar en legitim persons kontouppgifter, kan denna typ av attack bli svår att upptäcka då det inte utlöser säkerhetsvarningar. Den sista typen av insideraktör är en slarvig insider, här inkluderas personer som oavsiktligt kan skada en verksamhet på grund av dess oaktsamhet och slarvighet inte uppmärksammar en organisations säkerhetspraxis. Detta kan leda till att en obehörig part får tillgång till nyckelresurser genom en anställd. 7

18 När man talar om insiderhot specifikt inom molntjänster kan man enligt en studie av Duncan från 2014 [17], bredda antalet aktörer då antalet zoner som aktörerna kan komma ifrån även ökar. Insiders inkluderar även insiders från kundsidan av relationen, från molnleverantörens sida av relationer och hos internet service providers (ISP) i alla zoner. Insiders kan även vara externa molntjänstleverantörer om resurser är utlokaliseras till andra leverantörer, molnförsörjningstjänster, andra kunder hos leverantören och andra klienter hos tredjeparts molntjänstleverantörer. Den sista insiders-aktören som nämns är den influerande hotkällan. Detta är i sig inte en insider, utan någon som har makt över en insider. 2.3 Lagar Det finns lagar som bör tas i beaktning när det kommer till användningen av molntjänster. I detta kapitel kommer lagar som rör användningen av molntjänster samt lagar kring datalagring att tas upp Dataskyddsförordningen GDPR Dataskyddsförordningen (GDPR) är en lag som handlar om verksamheter som hanterar användandet av personuppgifter. Lagen innehåller grundläggande principer som måste följas samt sex rättsliga grunder, där åtminstone en bör stödjas. Principerna handlar om vilka personuppgifter man hanterar, hur man gör det, varför och att dessa på ett säkert sätt hanteras samt att de hålls skyddade. De rättsliga grunderna är samtycke, avtal, intresseavvägning, rättslig förpliktelse, grundläggande intresse samt myndighetsutövning och uppgift av allmänt intresse [18]. En studie av Škrinjar Vidović [19] beskriver GDPR i samband med molntjänster som ett steg i rätt riktning för personuppgiftsskydd i molnmiljö. GDPR:s ikraftträdande har gjort att molntjänstleverantörer behöver ändra sin inställning till dataskydd och att inkludera dataskyddsaspekter i kärnan av sin affärsverksamhet. Molntjänstleverantörer som erbjuder tjänster till kunder inom EU kommer tvingas anpassa sin affärsmodell till EU-standarder vilket höjer dataskyddsstandarderna på den globala molnmarknaden. 8

19 2.3.2 NIS-lagen På den statliga myndigheten Post och Telestyrelsens hemsida [20] beskrivs NISlagen, lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Det är tre digitala tjänster som omfattas av NIS-lagen och bland dessa finner vi molntjänster. Syftet med denna lag är att uppnå en hög säkerhetsnivå i nätverk och informationssystem för digitala tjänster såsom molntjänster. Lagen innefattar bland annat att det ska rapporteras om incidenter som påverkar kontinuiteten i tjänsterna, att leverantörer av dessa tjänster ska kunna vidta säkerhetsåtgärder till skydd för säkerheten i nätverk och informationssystem. I och med NIS 2 har myndigheter, som exempelvis regeringen, rätt till att ta beslut gällande sanktionsavgift mot den som inte följer lagens bestämmelser Säkerhetsskyddslagen Säkerhetsskyddslagen gäller för alla organisationer som utövar säkerhetskänslig verksamhet. Lagen gäller såväl offentliga som privata verksamheter. Med säkerhetskänslig verksamhet innefattas verksamheter som kan påverka Sveriges säkerhet eller verksamheter som Sverige åtagit sig att skydda. Säkerhetsutövare kallas den som bedriver en säkerhetskänslig verksamhet och denna ansvarar för att undersöka och sammanställa om verksamheten är i behov av säkerhetsskydd. Utövaren har skyldighet att planera och vidta de åtgärder som behövs med avseende på vilken verksamhet man utövar samt de säkerskyddsklassificerade informationen som förekommer [21]. 2.4 Process vid anskaffande av molntjänster För myndigheter finns det regler om hur anskaffning av tjänster ska gå till och det finns riktlinjer för hur man ska gå till väga inför användandet av molntjänster. För företag finns det inga riktlinjer utan de kan själva välja hur de ska gå till väga. Esamverkan, en offentlig samverkan för ökad digitalisering, har publicerat en promemoria [22] kring molntjänster där de tagit upp ett rekommenderat arbetssätt vid utredning av molntjänster bestående av sex steg. Det första steget är att granska vilken information som uppvisas mot molntjänsten. Det andra steget är att hantera krav som tillkommer till säkerhetskänsliga verksamheter, bland annat säkerhetsprövning av anställda eller placering i säkerhetsklass. Steg tre är att utreda informationens värde. Det bör verksamhetsansvarig på myndigheten göra tillsammans med jurister, personuppgiftsombud samt experter inom IT- och informationssäkerhet. Fjärde steget är att myndigheten tillsammans med rättsavdelningen och säkerhetsavdelningen, urskilja vilken information som kan röjas utan att myndigheten eller tredje part tar skada. Steg fem är att fatta beslut kring hur man ska kunna skydda information som inte får röjas vid etablering av anslutningar till eller från en tjänst. Det avslutande steget, steg sex, är att hantera upphandlingen på passande sätt. 9

20 2.4.1 Service level agreement Service Level Agreement (SLA) [23] är ett juridiskt bindande avtal mellan tjänsteleverantören och kunden som ska säkerställa kvaliteten på tjänsten. Detta avtal kan finnas i andra kontexter än molntjänster, exempelvis vid beställning av nätdrift eller webbtjänster [24]. Avtalet ska specificera alla godkända servicekvaliteter (Quality of Service, QoS) och alla specifikationer för servicenivåmål (Service Level Objective, SLO). Leverantören måste uppnå dessa förväntningar annars behöver de betala böter. En kund kan till exempel begära att tjänsten är tillgänglig dygnet runt [23]. SLO innehåller en uppsättning av servicenivåindikatorer (Service Level Indicators, SLI) som mäts för att bestämma kvalitetsnivån. SLA bör även innefatta att beskriva element för att indikera på begränsningar för de tillhandahållna tjänsterna och påföljder för att kompensera kunderna vid överträdelser. Man kan även definiera när och hur ett SLA ska omförhandlas eller specifikt när avtalet gäller molntjänster kan det definiera faktureringsmodell, beredskapsplan och katastrofåterställning [24]. 10

21 3 Metod Forskningen kommer vara kvalitativ och ha den vetenskapliga inriktningen interpretivism eftersom människans tolkning och miljö kommer tas i beaktande [25]. Metoden för utförandet av denna studie har bestått av två delar, en litteraturstudie samt intervjuer. Litteraturstudien genomfördes för att ligga till grund inför intervjuerna. Detta beskrivs i detalj nedan. 3.1 Litteraturstudie Som ovan nämndes har en litteraturstudie genomförts som grund för forskningen. Litteraturstudien har som syfte att utforska molntjänster och de risker som finns med molntjänstanvändningen Urval Källorna i litteraturstudien kommer i första hand från samsökningsverktyget Discovery. Utöver det har även databaser såsom Inspec och Google Scholar använts. Innan användning granskades verktygen för att säkerställa att källorna inte är vinklade. Från dessa sökningsverktyg har vetenskapliga artiklar som är peer-reviewade valts ut. Några av källorna som använts är publikationer av svenska statliga myndigheter som har hittats genom statliga webbplatser och genom sökningar på webben. Dessa publikationer har publicerats av enskilda myndigheter eller av flera myndigheter som samverkar i specifika frågor. Det finns även källor som inte är vetenskapliga artiklar eller publikationer utan webbsidor. Där har noga övervägande och granskning genomförts där man bland annat tittat på vem som har publicerat källan. En stor del av artiklarna som har valts ut har fokuserat på att datumet ska vara relativt nytt för att säkerställa att källorna är relevanta i denna forskning, däremot har datum inte övervägts på källor som använts för att beskriva molntjänster. Detta då molntjänster har funnits en längre tid och service-modeller och distributionsmodeller inte har förändrats på länge Genomförande Litteraturstudien påbörjades tidigt i processen för att ge en bra grund inför det kommande arbetet med att skapa en intervjumall. Därefter har litteraturstudien succesivt byggts på under arbetets gång för att fördjupa kunskap kring ämnen som kom upp under intervjuerna. 11

22 Under den första tiden av studien söktes källor med information gällande vad molntjänster är samt hur det fungerar. Därefter påbörjades sökningar för att samla information om vilka risker och hot som finns för användare av molntjänster. Sedermera fortsatte sökningarna med att söka information kring lagar som rör molntjänstanvändningen och den rekommenderade beslutsprocessen för myndigheter. Se tabell 1 nedan för artikelöversikt över de källor som har använts för de olika delarna i litteraturstudien. Tabell 1. Artikelöversikt Analys av data Genomförandet av litteraturstudien har analyserats genom att kategorisera viktiga områden inom forskningsstudien. De data som samlats in har beskrivits i den teoretiska bakgrunden utefter vad som är relevant information inom området molntjänster och olika viktiga aspekter att ta upp för att läsaren ska få en förståelse kring arbetet. 12

23 3.2 Intervjuer Enligt Ahrne och Svensson et al [26] används intervjuer inom forskning för att kunna få en förståelse för förhållanden inom en specifik miljö, i detta fall inom olika organisationer. För att kunna identifiera verksamheters användning av molntjänster har semistrukturerade intervjuer utförts. Semistrukturerade intervjuer har valts då intervjuerna har baserats på en uppsättning frågor för att kunna ge alla respondenter samma förutsättningar och det gör det möjligt att senare kunna jämföra de olika svaren som ges. Även om frågorna redan var specificerade fanns möjligheten att ställa följdfrågor för att få en djupare bild av svaren än vid exempelvis strukturerade intervjuer eller enkäter Urval Respondenterna under intervjuerna bestod av personer som i någon mån har insikt i hur de utvalda verksamheterna hanterar och använder molntjänster. Verksamheterna bestod av både myndigheter såväl som privata aktörer (se tabell 2). Tabell 2. Respondenter. Vid urvalet av respondenter till intervjuerna användes snöbollseffekten [27], då man ger förfrågan och deltagande i studien till flertalet personer som därefter får välja att delta eller hänvisa vidare till en ny kontakt tills man hittat rätt person med den önskade kunskapen. Inför urvalet av respondenter kontaktades ett stort antal företag och myndigheter. Den första kontakten togs via två vägar. I vissa fall ringde författaren till verksamheternas växel. Detta för att från växeln kunna bli kopplad till någon som har insikt i hur verksamheten går till väga vid deltagande av intervjuer eller någon person vid IT-avdelningen. Därifrån presenterades arbetet och personen fick frågan om denne kände att den var rätt person för intervjun eller om den visste någon som var en bättre lämpad deltagare. Därefter kontaktades antingen nya personer som eventuellt hade bättre kunskap inom området eller godkände personen att ta emot ett informationsbrev via mejl. I andra fall användes kontakter för att få kontakt med verksamheter som ville delta. Dessa kontakter fick sedermera vägleda till personer med kunskap inom området innan informationsbrevet skickades ut. 13

24 En begränsning här är möjligheten till att hitta verksamhetens mest lämpade person inför deltagande av studien. Vid urvalet behövde man förlita sig på den första kontaktens förmåga att vägleda till rätt person. Möjligheten finns att det finns personer vid verksamheterna som är bättre lämpade att delta i studien, och att kunskapen mellan respondenterna inte är likvärdig Genomförande Vid intervjuer ska ett informationsbrev skickas ut till respondenter som ska underrätta för respondenterna om viktiga aspekter kring studien [25]. Inför alla intervjuer har ett informationsbrev skickats ut till respondenterna med en beskrivning av författarens bakgrund och syftet med studien. Därefter förklarades hur intervjuerna kommer att genomföras, att intervjuerna kommer ta cirka 30 minuter och utföras på plats eller distans enligt överenskommelse. I informationsbrevet tydliggjordes även de etiska aspekterna, det vill säga att respondenterna kommer att avidentifieras i rapporten samt att resultatet av studien kommer att publiceras och därefter kommer allt överblivet material raderas. Förtydligande gjordes även att deltagandet är frivilligt samt att det när som helst är möjligt att avbryta sitt deltagande. Informationsbrevet finns under bilaga A. Efter att respondenterna har fått ta del av informationsbrevet kom respondenten och författaren överens om en tid som passade samt om den plats som intervjun ska hållas på, antingen via videokonferenstjänst eller på plats hos respondenten. Intervjuerna som har hållits på plats har skett i avskilda rum på den organisation som respondenten arbetar vid. Detta nämns enligt [27] som en positiv plats för att inte bli störd och för att se till att det är en bekväm plats för respondenten. Intervjufrågorna har bestämts utifrån frågeställningarna samt utifrån litteraturstudien som har gjorts. Frågemallen kan ses i bilaga B. Innan intervjun hölls fick respondenterna ta del av intervjumallen. Där beskrevs de olika teman som kommer tas upp under intervjun och några exempel på frågor som kommer tas upp. Detta för att respondenterna ska känna att de har kunskap inom området som diskuteras samt att de ska känna att de själva kan kontrollera vad som är lämpligt att de nämner. Detta kan bli en begränsning då det inte blir deras spontana åsikter utan att de från början har bestämt vad de ska säga. Här övervägdes för och nackdelar innan beslutet togs. I grunden valdes detta tillvägagångsätt för att respondenterna ska känna sig bekväma med att delta och dela med sig av informationen, trots att ämnet är komplext och innefattar organisationernas privata information. 14

25 Alla intervjuer har spelats in efter respondenternas tillåtelse. Fördelarna med inspelningar tas upp i [27], där nämns att intervjuaren under tiden kan skriva lätta anteckningar under intervjuns gång och sedan lyssna igenom inspelningen för att lägga till och säkerställa svaren. Eftersom intervjuaren i dessa fall var ensam gjorde detta att mer fokus kunde läggas på samtalet. En begränsning med att spela in kan vara att respondenterna blir mer tillbakadragna och svaren blir mindre uppriktiga, men för att säkerställa att inga väsentliga data går till spillo togs beslutet att spela in Analys av data När all data var insamlad analyserades det. Till att börja med transkriberades intervjuerna. Detta skedde direkt efter varje intervju för att informationen inte skulle glömmas bort. När anteckningarna var färdigskrivna påbörjades det som enligt [27] benämns som kodning. Det vill säga att man går igenom anteckningar och delar in informationen i koder eller kategorier som sedan kommer ligga till grund för resultatet. Detta genomfördes genom att intervjuanteckningarna, med hjälp av Words funktions med markeringspennor, noterades viktiga och intressanta delar för att kunna dra likheter och skillnader mellan respondenternas olika svar. Dessa kodningar kommer sedan att ligga till grund för rubrikerna i resultatet. Tabell 3 nedan visar de olika koder som identifierats i texten samt vilka kategorier koderna har delats in i. När intervjuerna presenteras i resultatet kommer de gå under benämningen F1-F4 för företagen och M1-M4 för myndigheterna. Detta för att enklare kunna sammanställa resultatet. 15

26 Tabell 3. Koder och kategorier. 16

27 4 Resultat Under detta avsnitt kommer resultatet från intervjuerna som har ägt rum att presenteras och sammanställas. Kategorierna nedan har tagits fram utefter kodningen av intervjuerna. 4.1 Organisationer Organisationerna som har intervjuats har varit både myndigheter och företag, fyra myndigheter och fyra företag. Företagen som intervjuades är aktiva inom olika områden och myndigheterna som intervjuades är alla av varierande omfattning. I tabell 4 nedan visas en sammanfattning av organisationerna. Tabell 4. Organisationer. 4.2 Lagar och regler Företagen nämner att de lyder under och följer GDPR men att det även medför vissa problem. Företaget F1 nämner att GDPR är väldigt luddigt formulerat, bland annat hur länge man får spara data. På grund av detta gör det att man ofta kan komma runt hur länge man får lagra data vilket gör att problemen som GDPR skulle lösa inte hjälper. De nämner att lagen enbart har försvårat för företagen utan att vinsten för privatpersoner är särskilt stor. F3 nämner att de även följer under NISdirektivet där det finns regler om säkerhet kring, för samhället, viktig information och infrastruktur, men att den inte reglerar saker som molntjänster och vart deras data lagras. Däremot nämner företaget att de har krav från dess kunder att de inte får lagra saker utanför Sveriges gränser. 17

28 F2 nämner att de som kommunalt bolag inte har andra lagar att följa än GDPR som rör just molntjänster, men att de förmodligen är försiktigare då de är mer granskade än övriga bolag. De berättar även att många bolag och kommuner väljer att köra Microsoft Azure fullt ut, trots att de kanske vet att det ligger lite under strecket från vad lagen säger, men att de ändå gör den bedömningen att det är möjligt. Företaget säger att de vill upp med all data i molnet, men att just GDPR och personuppgiftsfrågan sätter stopp för det. De förklarar att Microsoft har gjort mycket ansträngningar när det kommer till just detta problem, bland annat genom att öka krypteringsmöjligheterna så att det blir end-to-end krypterat för dem och att de endast har nyckeln att läsa data. Om de hade velat läsa data hade de säkert kunnat göra det ändå, men att man någonstans får dra gränsen för vad som är bra nog. Företaget nämner även tredjelandsöverföring till USA och deras patriot act lag, att USA kan läsa ens data om man använder Azure men att det är väldigt liten möjlighet att de skulle vilja läsa just deras data och att man borde vara lite rationell i vad risken faktiskt är. En fördel som F2 tar upp är att GDPR och diskussionen det har medfört har gjort att fler tänker på detta nu än vad man gjorde innan när PUL-lagen fanns, då brydde sig ingen i dessa delar. Myndigheterna lyder under GDPR men utöver den finns även andra lagar och regler som de behöver följa till skillnad mot företagen. De lagar, utöver GDPR, som togs upp under intervjuerna med myndigheterna är: Offentlighet- och Sekretesslagen NIS direktivet Säkerhetsskyddslagen Arkivlagen MSB författningssamling 20:6, 20:7 och 20:8 Tre av myndigheterna nämnde OSL, offentlighet och sekretesslagen. Intervju M2 beskrev att allmänna handlingar inte alltid ska lämnas ut om de är under sekretess. Om dessa uppgifter ska läggas i en molntjänst, kanske det behöver prövas om det innebär att man lämnar ut informationen till någon. Denna respondent nämnde även NIS-direktivet som handlar om att vissa sektorer som klassificeras som samhällsviktiga har speciella regler kring informationssäkerhet. Flera av myndigheterna nämnde även arkivlagen, som innebär att det ska vara möjligt att långtidsarkivera information hos myndigheter så det går att hämta ut informationen och att den ser ut exakt som den gjorde när den sparades. Vid molntjänstanvändning skapas då frågor kring vilka dataformat som informationen sparas i på tjänsten och vilka möjligheter det formatet ger, att man inte blir låst till en leverantör för att kunna öppna data. Även gallring av information tas upp, man måste kunna säkerställa radering av information vid gallring. 18

29 Myndighet M3 tar upp MSB författningssamling 20:6, 20:7 och 20:8. Dessa innehåller specificerade krav som måste följas kring nätverkssäkerhet och andra tekniska detaljer. Det nämns även att det inte är möjligt att följa helt utifrån de resurser man har. Myndighet M2 och M4 nämner bägge att en viss del av vardera verksamheten lyder under säkerhetsskyddslagen. Dit räknas verksamheter som är säkerhetsskyddad, verksamheter som kan vara en fara för rikets säkerhet och måste fungera även i krig. Säkerhetsskyddad verksamhet innebär att det kan vara svårt med utkontraktering, det vill säga att man låter en extern aktör hantera en del av verksamheten, exempelvis molntjänster. Myndigheterna nämner även GDPR och främst de problem som handlar om integritet och övervakning. Myndighet M1 nämner att de inte kan gå från Skype till Microsoft Teams då de kräver att de även för över alla dess personuppgifter i Microsofts Azure ad. Informationen hamnar då på amerikanska servrar och myndigheten kan inte längre garantera att information går att hitta för en obehörig part, det blir en så kallad illegal tredjelandsöverföring. Då uppfylls inte GDPR kraven som de har som säger att man inte får hantera personuppgifter på ett sådant sätt att de kan kommas åt av en obehörig part. Även myndighet M3 tar även upp att problemet är just de amerikanskt ägda företagen och övervaknings-lagen i USA, Cloud Act. Denna lag gör det möjligt för federala myndigheter i USA att begära ut all data från amerikanska företag oavsett vart i världen de fysiskt finns. Att de kan hämta information och göra det utan att berätta för personen som det i fråga handlar om, gör att det bryter mot GDPR. Detta har även kommit på tal igenom två domar från Europadomstolen, Schrem 1 och Schrem 2, där man fastslår att det bryter mot GDPR. Lagarna som organisationer följer visas i tabell 5 nedan. Tabell 5. Lagar organisationer lyder under. 19

30 M3 nämner att integritetsskyddsmyndigheten har som ansvar att kontrollera så att organisationer följer GDPR. De har inte många anställda vilket gör att de knappt har tid att hantera alla anmälningar de får in. De har sagt att de inte kommer jaga organisationer men att de kommer granska dem om någon skickar in en anmälan. Myndighet M3 har själva anmält sig till IMY, integritetskyddsmyndigheten, men att anmälningarna i fråga har varit små saker som läggs ner fort då det inte ses som viktigt. Även M2 nämner att personuppgiftsfrågan är relativt färsk, även om reglerna har funnits länge så har integritetsskyddsmyndighetens aktivitet varit låg. Det har ändrats i och med GDPR:s ikraftträdande. Nu finns det mer resurser och deras aktivitet ökar gradvis mer och mer, tidigare har det inte kostat någonting att inte följa GDPR 4.3 Beslutsprocess vid anskaffning av molntjänster Beslutsprocessen vid anskaffning av molntjänster skiljer sig åt mellan de olika organisationerna. Myndighet M4 berättar att det inte finns i dess arkitektur över huvud taget att använda molntjänster, de bygger alla tjänster själva. De nämner att den vanliga konsumenten använder molntjänster på grund av dess skalfördelar eftersom de inte kan uppnå dessa själva, men denna myndighet är tillräckligt stor för att drifta och utveckla egna tjänster som de använder. Om det däremot uppstår ett verksamhetsbehov där man behöver nya eller förbättrade IT-lösningar och man konstaterar att det inte är något man bör bygga själv, då finns en process man kan gå igenom. Där värderar man vad systemet gör och vilken information som hanteras för att sedan komma fram om det är möjligt att använda just en molntjänst. Dock har man varje gång kommit fram att det inte är lämpligt att använda molntjänster. 20

31 M1 nämner att för alla tjänster gör man risk- och sårbarhetsanalyser. Där tittar man på vilken typ av information som kommer behandlas av leverantören, hur det kommer att behandlas och lagras och vilken teknisk bearbetning som sker. Man tittar även på avtalsklausuler rent tekniskt, för att se vad som händer om man vill säga upp avtalet och hur man kan tanka ner data från leverantören på ett maskinläsbart sätt. De nämner att det tidigare har hänt, vid ett avtalsavslut, att leverantören har svårt att leverera data till dem. Det som är mest komplext vid användningen av molntjänster är hur man går från en leverantör till någon annan utan att det uppstår problem på vägen, vilket ingen leverantör idag kan garantera. Därefter görs en informationssäkerhetsklassning, där man klassificerar och viktar den information som kommer att behandlas i tjänsten. Utefter det tecknas ett personuppgiftsbiträdesavtal (PUB-avtal) där leverantörerna åtas sig att behandla informationen på det sätt de har kommit överens om. Det är ett juridiskt bindande kontrakt med leverantören som många använder sig utav, en typ av standardavtal. Vid avtalsavslut kontrolleras även att leverantören, efter att myndigheten fått tillbaka sitt data, verkligen har raderat all information. Det är något som leverantören måste kunna garantera och som myndigheten måste kunna följa upp. Det är inte helt enkelt eftersom externa leverantörer inte vill ge tillstånd för insyn i sina tjänster och hur lösningarna ser ut. Myndighet M2 beskrev att de hade en ingående beslutsprocess. Det första steget är att bedöma det generella behovet, genom att undersöka om det finns någon befintlig lösning eller om man ska köpa in ett system. Därefter undersöker de vilken information lösningen ska hantera, det kan vara personuppgifter eller annan information, detta utförs för att säkerhetsklassificera informationen. Utifrån säkerhetsklassificeringen vet de hur värdefull informationen är och vad som behövs för att skydda informationen. Det finns personer som har kunskap om informations-säkerhet och det finns färdiga kravkataloger de kan utgå från. Nästa steg är att antingen utföra en konsekvensbedömning eller en grundläggande bedömning. En konsekvensbedömning innebär att organisationen bedömer personuppgiftsfrågan. Inom GDPR ska man göra en konsekvensbedömning där man granskar riskerna för personuppgifter och hur man kan minimera dessa. Om en konsekvensbedömning ska göras är dataskyddsombudet involverat och ska yttra sig. Om en grundläggande bedömning görs, undersöker organisationen om det finns en verklig grund för att behandla personuppgifterna på det sättet de har tänkt sig. Kan organisationen tydligt definiera vilka syften som de ska behandla uppgifterna för, vilka uppgifter det är, tillgodoses individernas rättigheter och så vidare. Det är en rättslig bedömning och det finns även motsvarande bedömning för sekretess. 21

32 Myndighet M2 nämner även att de, i processer gällande användning av molntjänster, även behöver tänka på frågor som långtidsarkivering och gallring av information. Exempelvis vilken typ av dataformat informationen sparas i och om dataformatet skulle kunna bidra till en inlåsning till leverantören och att leverantören ska kunna garantera att information som ska gallras verkligen raderas. Därefter ber man leverantören till lösningen att redogöra arkitekturen, hur lösningen är uppbyggd, vilka applikationer som används och hur data flödas, för att bedöma den ur en arkitektuell synvinkel. Detta gör de för att säkerställa att det är en välbetänkt lösning och att lösningen är tillräckligt robust för att klara av det myndigheten kommer använda den till. Organisationen granskar även ur ett IT-säkerhetsperspektiv för att se att lösningen anses vara säkert uppbyggd. Man undersöker även ur ett lämplighetsperspektiv, även om alla lagliga förutsättningar är uppfyllda rent formellt, kan det vara olämpligt att lägga för mycket eller viktig information hos en leverantör. Om myndighetens verksamhet inte fungerar kan vissa funktioner i samhället sluta fungera, det är en kritisk verksamhet. Exempelvis vad händer om den leverantören åläggs av sitt hemland att de får handelshinder och inte får sälja deras tjänster, det är någonting man sett tidigare med andra länder. Och till sist inlåsningsperspektiv, kan de få ett osunt beroende till en leverantör som gör att det blir för svårt att lämna lösningen, det kan vara tekniska eller kompetensmässiga. Det kanske hade blivit väldigt dyrt att lämna en lösning och byta till en annan. Kan då leverantören höja priset, de kanske blir mindre benägen att vara medgörlig och tillgodose våra önskemål. Det är svårt att från början krav ställa på alla detaljer i ett avtal. Det händer ofta oförutsedda händelser och då behöver man ha ett gott samarbete, god dialog och sitter man i knät hos en leverantör så får de makt över en, vilket inte är så bra. 22

33 Myndighet M3 nämner att det inte har funnits en tillräckligt strikt process kring anskaffandet av molntjänster, men att de nu håller på med en förändring. Vid tidigare tjänster var det till stor del en ekonomisk angelägenhet, man undersökte hur andra löste problemen och därefter kopierade man rakt av. De ansåg att Microsoft har större möjligheter att skydda sin moln-miljö bättre än om de själva driftar systemen. Ur vinkeln att andra kan se ens data tänkte man inte mer än att det inte är särskilt svårt att spionera på dem oavsett, då deras miljö var öppen innan användningen. Vid anskaffningen av en annan molntjänst handlade det mycket om tid, det tidigare systemet skulle bytas ut och de hade enbart ett begränsat antal månader på sig att ha en fungerande lösning. Det var IT-chefen som tog beslutet om vilken tjänst de skulle byta till och sedan skulle de få det att tekniskt fungera. Det gjorde ingen mer riskanalys kring dessa tjänster, att det låg i molnet var det ingen som tänkte specifikt på. Även personuppgiftsfrågan och att leverantörerna låg utanför EU var inte aktuellt att fundera på för då hade de inte hunnit och de hade heller inga andra alternativ. Myndigheten jämförde inga andra tjänster utöver alternativen att själva drifta eller att låta en leverantör drifta, och då ansåg man att det var billigare och inte lika instabilt som de var innan om någon, som hade de resurserna, fick drifta åt dem. När det kommer till GDPR och informationssäkerhet var det flera tekniker som tänkte hur ska vi göra detta säkert? Och eftersom Microsoft är bättre än myndigheten, gällande dessa delar, körde dem på det. När sedan GDPR trädde i kraft förstod alla att det var olagligt, men ingen vågade ta tag i det. Den nya processen som M3 håller på att implementera är att när en ny IT-tjänst kommer till inköp ska de ta ett stopp och förslaget ska skickas till IT-avdelningen för godkännande. Systemet ska läggas in i ett stödprogram och den som vill ha systemet får svara på frågor för att få fram en kravlista på systemet och leverantören. Alla frågor är i princip bara en lista på de krav de har för att kunna följa MSB:s standard. De har ännu inte följt denna process med något nytt system. 23

34 Företagen nämner även att de har processer för hur de går till väga för att anskaffa nya molntjänster. Företag F3 nämner att de undersöker vad leverantören har för certifieringar och vad de har för skyddsklass. Beroende på vilket data det handlar om och vilken tjänst det är så ställs olika krav. När det kommer till den leverantör som de använder för deras mest känsliga data, fanns det väldigt mycket krav om serverinfrastruktur och säkerhet. Då var de in i serverhallen och tittade att allt gick rätt till, att de följer de standarder som finns, att de har skyddsklass 3, att de har loggning och reservkraft. Däremot när det kommer till CRM-leverantören ställs inte sådana krav, utan då gör man en granskning på de krav man har och leverantören får sedan svara på dessa. De nämner även att om det görs ordentligt har man alltid några alternativ och den man till slut väljer blir en kombination av att uppfylla specifikationskrav, säkerhetskrav, servicenivå samt kapacitet till ett lämpligt pris. De gör även riskanalyser, och har en metodik för hur de ska genomföras, inför diverse beslut som tas, bland annat om de upphandlar en ny tjänst. F4 uppger att de tar in en extern konsult som hjälper dem att göra en bedömning av olika alternativ. De vill och måste uppfylla kraven som finns från organisationen tillsammans med övriga lagar. Eftersom de hanterar personuppgifter är det ytterst viktigt att allt görs på ett korrekt sätt. Företag F2 nämner att de kommer från att använda deras kommuns serverhallar, vilket inte alltid har fungerat optimalt då det har varit driftstörningar och det har legat nere, till att använda molntjänster. Molntjänsternas nyckelpunkt är driftsäkerhet och upp-tid, de stora molnleverantörerna ligger bättre till än vad den tidigare lösningen någonsin hade nått. Därefter tittade man runt mellan olika leverantörer och jämförde tjänsterna. Microsoft ett enkelt val då de har haft ett nära samarbete med dem tidigare. De har även genomfört riskanalyser för varje nytt steg de tar, där man bland annat tittar på om företaget skadas om informationen i tjänsten kommer ut. De försöker att hela tiden ligga i framkant och se problem, men även att ibland backa och vara ärliga med att vissa behandlingar kanske inte fungerar och då får man hitta andra lösningar. 4.4 Riktlinjer inom organisationer Bland respondenterna svarade alla att de, inom organisationen, har policys kring hur man ska hantera molntjänster. Alla fyra företag svarade att policyn säger att man enbart får använda de tjänster som företaget har godkänt och de tjänster som företaget tillhandahåller. Bland myndigheterna svarade även tre av respondenterna att man enbart får använda godkända molntjänster som det har tagits ett beslut kring. Respondenten på myndighet M4 svarade att policyn lyder att man inte ska använda några molntjänster men att varje individ själv får göra en bedömning om man tycker det är lämpligt att använda en sådan tjänst. 24

35 Några av de intervjuade nämnde även att det finns begränsningar inom organisationen för att förhindra att molntjänster missbrukas. Tre av fyra myndigheter nämnde att de har begränsningar som gör att personal inte kan installera vad som helst. En av dessa myndigheter nämnde även att vissa tjänster blockeras helt även från webben medan de resterande två tog upp hur svårt det är med begränsningar i webben och att de därför inte har hindrat personalen från att använda molntjänster som är tillgängliga via gränssnitt i webbläsaren. Endast en myndighet hade inte några begränsningar utan låter anställda själva ansvara för att följa de policys som finns. Se figur 1 nedan. Figur 1. Organisationers policy gällande molntjänstanvändningen. Bland företagen hade två av fyra respondenter begränsningar vid installationer som gör att det inte är möjligt för vem som helst att installera vad som helst. Ena respondenten nämnde däremot att de som arbetar på IT-avdelningen själva kan välja att installera program, därför måste de själva ansvara för att följa företagets riktlinjer. Däremot är molntjänster inte något som respondenten ser att man tänker på i vardagen utan att om man enkelt vill skapa en presentation och dela den med andra kan man göra det ändå utan tillåtelse så länge det inte handlar om affärskritisk information. Ett av företagen som inte hade begränsningar nämnde att de håller på att hitta lösningar på detta för att kunna begränsa personal att använda otillåtna tjänster. 25

36 Alla myndigheter som intervjuades hade ytterligare lösningar på problemet med missbruk vid användning av molntjänster, någonting som inget av de privata företagen hade. Två myndigheter nämnde att det finns processer man kan välja att gå igenom om man vill använda en molntjänst som inte redan är godkänd att använda. En annan myndighet nämnde att de använder sig av användarforum där man fångar upp behov som finns hos anställda, således kan de tillgodose behoven som finns och förhindra att anställda använder otillåtna molntjänster i brist på godkända. Den sista myndigheten nämnde att de själva utvecklat egna tjänster samt håller på att utveckla egna tjänster som motsvarar vissa av de populära molntjänsterna. 4.5 Hot mot molntjänster Under intervjuerna har respondenterna nämnt flertalet hot och begränsningar som de ser vid användningen av molntjänster. I tabell 6 nedan kan man se vad respektive organisation ser för hot och problem med molntjänster. Tabell 6. Hot som organisationerna nämnde. F1, F2 och M1 tar upp hotet dataförlust, risken att de data som finns lagrat i molnet på något sätt förstörs eller raderas. F2 nämner att de finns en större risk att någon skulle försöka förstöra exempelvis Microsofts datahall än vad de är att någon skulle förstöra dess egna. F1 tar även upp att man tappar kontrollen, man kan inte längre påverka lösningen. Man blir beroende av någon annan för att kunna lösa problem som uppstår. F1, M2 och M4 tar upp att man tappar kontroller när man använder sig av molntjänster. De har inte längre kontroller och måste förlita sig på någon annan för att lösa problem och säkerställa säkerheten. 26

37 Dataintrång tar organisationerna F1, F3, F4, M3 och M4 upp. Det är ett hot där konsekvenserna kan bli att dataförlust eller obehörig part tittar på data. När det handlar om externa leverantörer är det alltid en risk att någon försöker göra intrång. Inlåsning tar alla myndigheter och ett företag F1 upp som ett problem. Det nämns att det är svårt att byta leverantör och heller inte helt säkert att man kan få ut sin data från tjänsten i ett fungerande format. Detta kan skapa ett negativt beroende till en leverantör som då får makt över sina kunder. Ett scenario som M2 tar upp är om leverantören blir ålagd av sitt land att stänga ner alla tjänster i ett visst land, vilket tidigare har hänt för andra länder. Obehörig part nämner F1, F4, M1 och M4. Det är alltid ett hot att någon obehörig ska kunna ta del av informationen. Företag F1 tar upp att kunddata är värt mycket på marknaden och om företagets konkurrent skulle komma över ens kunddatabas så skulle de kunna rikta sina kampanjer mot de vilket kan vara förödande. Överföring till tredje land innefattar även det att en obehörig part kommer åt data. Det innebär att länder som exempelvis USA har tillåtelse att hämta hem data från amerikanska företag, oavsett om data lagras i på servrar i Sverige. Alla myndigheter och företag F2 nämnde detta som problem med molntjänster. Med avtal menas att flera leverantörer använder sig i sin tur av andra leverantörer. Vilket M2 menar att de flesta inte har bra koll på och att det oavsett är deras ansvar att säkerställa innan man skriver avtal. Myndigheterna M1 och M4 nämnde även problemen med att många mindre leverantörer blir uppköpta av de stora amerikanska molntjänsterna. Detta gör i sin tur att den leverantör man från början litade på med sin data och skrev avtal med inte är densamma som faktiskt lagrar och hanterar det. Låg kunskapsnivå tas upp av M2 och M3. De menar den allmänna låga kunskapsnivån som finns i samhället är ett problem vid användning av molntjänster. Både att leverantörer har en låg kunskap kring personuppgiftsfrågan och att det finns låg kunskap övergående bland personer som använder molntjänster om hur dessa fungerar och bör användas. Myndighet M2 tar även upp att leverantörer inte ser problemet i att de anlitar någon som i sin tur kan anlita någon annan för att hantera delar av dess verksamhet, anlitande i flera led. De som myndighet är personuppgiftsansvarig och anförtror någon att behandla personuppgifter på deras vägar, detta gör att de är myndighetens ansvar i alla led. Det kan ju vara att leverantören använder något annat bolag för en viss del i sin molntjänst som är europeiska, däremot om man kontrollerar vilka dom anlitar så märker man att de använder ett amerikanskt bolag. Det här måste man undersöka hela vägen ner i kedjan och de har märkt att det inte är alltid det har gjorts. 27

38 Två av myndigheterna nämnde att lagar inte efterföljs, där ibland GDPR och överföring till tredje land. Båda respondenterna beskrev att de som myndigheter är rättstillämpande och de måste följa de lagar som finns. Endast en myndighet M2 nämnde risken med att det är svårt att säkerställa att leverantören verkligen raderar data korrekt. Eftersom myndigheten har regler kring gallring är detta en viktig aspekt att titta. De finns även en risk att de behåller information efter att ett avtal har avslutats. M1 nämnde även risken med ddos-attacker, som något som de behöver hantera allt mer. Alltså att man ger sig på enskilda stora leverantörer och sänker deras tjänster. Vilket innebär att de helt enkelt inte har tillgång till tjänsterna. 4.6 Användning av molntjänster Bland respondenterna visade det sig att alla åtta, i någon mån, använder sig av molntjänster (se tabell 7 nedan). Bland myndigheterna nämnde M1, M2 och M4 ingen av kärnsystemen skulle under några omständigheter ligga i ett moln, utan det finns i egna serverhallar. M4 nämner att de har helt uteslutit molntjänster men ett arv från en tidigare lösning har molntjänster inbyggt som de ännu använder sig av. Det nämns även att det kan finnas molntjänster som används vid exempelvis personallösningar. M1 och M2 nämner att de använder SaaS-tjänster vid HR-lösningar, lönesystem och kommunikationssystem. M1 nämnde även att de använder ett videokonferenssystem i form av en PaaS-tjänst. Den sista myndigheten, M3, talade om att de använder många olika molntjänster, allt från videokonferenssystem och dokumenthanteringssystem till system som är kritiska för att kunna bedriva verksamheten. Bland företagen användes molntjänster till stor del. F1 och F2 nämnde att de använder PaaS-tjänster, de kör dess applikationer på resurser hos Microsoft Azure. Men de använder även andra tjänster som Microsoft Teams och Office 365. Företag F3 använder en IaaS-tjänst där de har virtuella servrar hos en leverantör som ansvarar för virtualiseringen. Detta företag använder sig även av molntjänster såsom Office 365 och Onedrive. F4 använder sig även av SaaS-tjänster såsom Office 365 och Onedrive. 28

39 Tabell 7. Organisationers användning av molntjänster. När det kommer till vilken typ av data som lagras i molnet visar det sig att företagen har sitt affärsdata i molnet. Företag F3 har sitt affärsdata i en IaaS-tjänst och förtydligar att det inte ligger i någon av de stora molnleverantörernas molntjänster, här lagras även personuppgifter om kunder och personal. F2 nämner att de inte har personuppgifter i molntjänster men att de gärna vill få upp all data i molnet. F1 nämner att de har väldigt få personuppgifter över lag, de har information om kunder och deras inloggningsuppgifter samt information om anställda. De mesta är just data om produkter, vilket det inte finns några problem att lagra. F4 nämner att de har en stor mängd personuppgifter. Myndighet M3 svarade att de enda som inte lagras i molnet är systematisk behandling av känsliga uppgifter. De andra tre myndigheterna, M1, M2 och M4, svarade att de inte lagrar information om medborgare, andra myndigheter eller känsliga data som är opassande. En respondent från M2 förtydligade att det beror på vilken typ av data och vilken mängd det handlar om, att det hela tiden är ett övervägande. 4.7 Säkerställning Bland företagen nämnde tre av fyra företag, F1, F2 och F4 att det är svårt att säkerställa att leverantören av molntjänsten sköter sig och de hot som finns inte verklighetställs. De svarade att det mesta handlar om förtroende, man får lita på leverantören och de avtal som skrivits. Någonting som tagits upp i dessa intervjuer är även att leverantören måste följa avtal för sitt eget rykte. Om det hade kommit ut att Microsoft inte hade skött sig hade de tappat alla kunder och förlorat sin trovärdighet. Det är en av anledningarna man ser till varför man kan lita på leverantörerna. Det sista företaget, F3, nämnde att de har en tjänst, där de viktigaste data lagras, där man har skrivit avtal som gör det möjligt att kontrollera att exempelvis leverantören inte släpper någon information som de lovat att de ska hålla. Däremot är det tveksamt hur bra man är på att faktiskt kontrollera detta. Årligen ska det göras avstämningar på dem själva samt dess underleverantörer. 29

40 Bland de tre myndigheter som aktivt tagit beslut att använda molntjänster, M1, M2 och M3, varierar det i respondenternas svar hur man följer upp de krav man ställt. Myndighet M1 nämner att de ibland tar stickprov på leverantörer för att se att de sköter sig som de ska, men att det till exempel är svårt att kontrollera de anställda personerna hos leverantören. Myndighet M2 säger att de frågar leverantören och ber om redogörelser för hur saker och ting sköts. Bägge dessa myndigheter uttrycker att det har hänt att leverantörer inte har fullföljt de krav som de ska, vilket har lett till att man brutit avtal i förtid. Det kan handla om att bolag blir uppköpta och informationen migreras till ett nytt system eller att de inte följer krav om hur man ska hantera personuppgifter. Myndighet M3 tar upp att man är skyldig att kontrollera leverantörerna, de står i alla avtal som de har där de själva kan skriva personuppgiftsbiträdesavtal. Vid varje förändring ska en ny utvärdering göras, även om det är så att leverantören byter städfirma i serverhallen. Det innebär att de behöver stoppa användningen och utvärdera, vilket kan ta mellan 4 6 veckor av en jurist, för att sedan kanske fortsätta använda systemet efter. Det är inte görbart och det sker inte. Även mot mindre leverantörer har de, i avtalen, rätt att komma in och kontrollera så de gör rätt och följer kraven, men det finns inte resurser till det så det sker inte heller. 4.8 Lösningar på problemen med molntjänster Bland myndigheterna, M1, M3 och M4 nämndes ut licensiering som en lösning på problem med illegal överföring till tredje land vid användning av molntjänster. Om exempelvis Microsoft skulle skapa ett Microsoft Sverige och då vara en egen juridisk entitet som är helt separerad från nuvarande Microsoft. Rent juridiskt hade detta löst problemen och det skulle vara den snabbaste lösningen på problemet. Däremot är sannolikheten att det skulle hända inom en snar framtid låg. Det skulle innebära att Microsoft får mindre pengar och det är vinstintresset som driver leverantörerna. Något som myndigheterna M3 och M4 beskrev är att om leverantörerna inser att dom tappar marknaden på grund av dessa problem kommer de till slut att komma med lösningar och möta kraven som kunderna ställer. Att flytta på marknaden är någonting som de strävar efter. Genom att ställa krav, ha en dialog med leverantörerna på marknaden och öka kunskapen hos leverantörerna så de kan frågorna kring personuppgifter bättre. Om man går till en upphandling och ställer krav, men ingen leverantör klarar av de kraven, kommer det inte fungera. Det kommer att ta tid men några leverantörer har gått med på detta och tillgodosett behoven de ställer och förhoppningsvis kommer flera att kunna göra det längre fram. 30

41 Myndighet M3 påtalar att de inte har resurserna för att ha sådana upphandlingar där man försöker få leverantörer gå med på de krav man ställer. För att göra det behöver organisationen jurister som kan upphandla nya avtal. Men respondenten är fortfarande tveksam över att det fungerar, för det kostar mycket pengar och blir inte särskilt mycket säkrare eftersom leverantörerna rent tekniskt inte kommer kunna erbjuda någonting annat än de redan gör. Däremot nämns det att flera myndigheter, som har de resurser som krävs, håller på att arbeta med detta just nu och att de förhoppningsvis kommer att kunna lösa detta problem och göra det säkert framöver. Myndighet M4 nämner en annan lösning, nämligen att man kan få köra leverantörs lösningar on-premises, det vill säga i sina egna datorhallar. Det skulle kunna fungera. Däremot är det ändå ett problem ibland då, till exempel har Microsoft tillåtit att man kör Teams on-premises men trots det används Microsofts molntjänst Azure, oavsett om man kör det lokalt. Vilket gör att man blir bundet till molnet ändå, vilket många har missat. Två av myndigheterna, M2 och M4, tar även upp att det är på tal om ett statligt moln där flera myndigheter kan gå ihop för att skapa en molntjänst som myndigheter kan använda. Då skulle även de myndigheter som har känslig information men mindre resurser och kompetens inom att drifta IT-lösningar även kunna använda molnet och kunna anförtro sin information till ett moln under statlig kontroll. Man vill hitta en balans där man kan tillvarata marknadens dynamik och kompetens men ha en bas-infrastruktur som staten kontrollerar. Däremot är detta väldigt komplext och det kommer att ta flera år innan det kan börja användas. Ett av företagen, F1, nämnde även att något man diskuterat, som en möjlig lösning, med Microsoft är att man låter databasen ligga on-premises, medan all behandling av data sker i molntjänsterna. De som har valt att ha det på det sättet har gjort övervägningen att det är acceptabelt om data ligger x antal millisekunder i molnet när de förflyttas och processas, så länge långtidslagringen sker on-premises. Det är ett sätt att kunna använda molnet utan att de lagras där, även om man kanske helst hade sett att man även lagrade sitt data där. 31

42 5 Diskussion Resultatet från intervjuerna visade att alla organisationer som deltagit i någon mån använder molntjänster. Även vid den myndighet som strikt tagit beslutet att inte använda molntjänster, finns det fortfarande molntjänster inbyggt i dess lösningar. Alla företagen samt en myndighet använder sig av minst en av Microsofts-tjänster eftersom de är bättre integrerade i samhället i Sverige, än vad exempelvis Google eller Amazons tjänster är. 5.1 Hot Ett av problemen som många respondenter beskriver kring just molntjänster är överföring till tredjeland, vilket bryter mot GDPR. När amerikanska molntjänstleverantörer etablerar sig i Sverige marknadsförs de som ett säkert alternativ, vilket inte stämmer. USA, i detta fall, har lagar som möjliggör att de kan hämta ut information från amerikanska bolag utan att behöva tala om det. Det nämns under flera intervjuer med myndigheter att Microsoft utnyttjar okunskapen kring ämnet för att få organisationer att nyttja deras tjänster. Just detta problem är anledningen till att många av respondenterna nämner att de skiljer på molntjänster och amerikanska molntjänster. De hot som togs upp under intervjuerna var snarlika de som identifierades i litteraturstudien. De fanns två hot som inte togs upp i litteraturstudien, inlåsning samt att leverantörer blir uppköpta. Inlåsning var ett hot som alla myndigheter nämnde, risken för att inte kunna avbryta användningen av en tjänst och att man blir beroende av leverantören. Att leverantörer blir uppköpta var det även två myndigheter som tog upp, att det ofta sker att större leverantörer köper upp mindre, vilket gör att den leverantören man en gång litade på inte är den samma som senare hanterar informationen. I båda dessa fall kan avtalen man skriver vid anskaffningen reglera resultatet, vilken gör att man kan argumentera för att det tas upp under kategorien juridiska problem som även nämns i kapitel 2.2 i litteraturstudien. 32

43 Bland de hoten som togs upp av respondenterna finns både obehörig part och överföring till tredje land. Detta delades upp i två olika delar trots att bägge hoten innebär samma sak, med överföring till tredje land menas att exempelvis amerikanska underrättelsetjänsten kan ta del av data på amerikanska molntjänstleverantörer. Det som är intressant är att de två företagen som nämnde att obehörig part kan se data, handlade om att man är rädd att konkurrenter eller andra inkräktare får tillgång till information medan myndigheterna enbart fokuserade just på att andra länder inte får ta del av viktig information eller personuppgifter. De flesta företag resonerade att andra länder inte är intresserade av dess data och ser det inte som något hot. Ett av företagen tog upp hotet med överföring till tredje land, det kommunala företaget. De nämnde även att de inte trodde att någon skulle vara intresserade av deras data men att de bryter mot lagen och att de därför är mer noggranna än vad privata företag är. De enda företaget som använder IaaS nämnde endast ett hot, nämligen dataintrång. Det kan bero på att de själva hanterar lagringen och dess data hos leverantörens servrar, de kan känna sig trygga till skillnad från flera av de resterande organisationerna. 5.2 Riktlinjer Alla respondenter har riktlinjer för hur anställda inom organisationerna får nyttja molntjänster. Sju av organisationerna nämner att det endast är tillåtet att använda de molntjänster som är godkända och som organisationen tillhandahåller. Detta är en av åtgärderna som tas upp i litteraturstudien för att förebygga skugg-it. Den enda organisation som inte har denna policy är den myndighet som inte tillåter molntjänster alls inom organisationen. Tre av fyra myndigheter och två av fyra företag har även begränsningar som hindrar anställda från att använda sig utan otillåtna molntjänster, även detta tas upp som åtgärd i litteraturstudien. Ingen av organisationerna nämnde just skugg-it som ett hot under intervjuerna, vilket visar att de redan har förhindrat hotet i den mån de kan. Myndigheter har ytterligare åtgärder när det kommer till skugg-it, för att tillgodose behoven som finns bland personalen, vilket inget av företagen hade. Anledningen till att myndigheter har åtgärder är för att säkerställa att de följer lagarna, i synnerlighet GDPR. Vid användning av molntjänster som inte är godkända riskerar myndigheterna att bryta mot GDPR, däremot bör det samma gälla för företag, som det visades inte iakttar samma försiktighet. 33

44 Alla företag, utom ett, väljer att lita på de leverantörer som de använder sig av. Företag F2 nämnde att de inte lagrar de viktiga data hos leverantörer utan i egna datahallar, men detta beror inte på att de inte vill, utan på grund av att enligt lag tillåts det inte. Detta tas även upp under intervjuerna att anledningen till förtroendet är att leverantörer lever på ryktet de har, vilket är anledningen till att ingen misstror leverantörerna till att bryta mot de avtalen som finns. Det sista företaget, F3, använder sig av en IaaS-tjänst, detta tillåter företaget, enligt avtal med leverantören, att själva kontrollera att de inte släpper ut någon information och årligen görs det avstämningar på dem och deras underleverantörer. De svarade även att det enda hotet som de ser på mot deras molntjänster är dataintrång, vilket råder en hög risk för detta när det kommer till externa leverantörer. Slutsatsen man kan dra från detta är att eftersom de ser detta som det enda hotet mot deras molntjänst kan de ha valt att förebygga det genom att själva kontrollera behandlingen av deras lagring hos leverantören. Under intervjuerna nämner M1 och M2 att de har upplevt att leverantörer inte fullföljt kraven de ska, att avtal har avbrutits i förtid. Detta visar på hur viktigt det är att det inte bara går att lita på leverantörer att de håller sig till det som de lovar. Alla myndigheter som aktivt använder sig av molntjänster följer upp avtalen med olika medel för att försäkra sig att allt följs efter de krav som de har. Detta visar på att myndigheter, som tidigare konstaterats, är mer noggranna med sin datahantering och användning då det finns fler regler och lagar som de måste följa än för företagen, som bara behöver följa GDPR. 5.3 Beslutsprocess Bland myndigheterna fanns det processer att genomgå när beslut ska fattas om att använda molntjänster. Om jämförelse sker med den guide som tas upp i litteraturstudien kring hur man kan gå till väga vid processen kan man se att myndigheterna till viss del följer denna. Myndighet M1 följer de steg som tas upp i guiden samt lägger till att de tittar på hur det ser ut vid avtalsavslut för att säkerställa att leverantören inte sparar myndighetens information. Även i intervjun med M2 beskrivs de steg som guiden tar upp. De tar också upp att de gör konsekvensbedömning som är något som ska göras enligt GDPR för att titta på risken som finns för enskilda individers personuppgifter och integritet samt att de tittar på de krav som finns kring gallring och arkivering för myndigheter. Utöver de stegen tryckte respondenten mycket på hotet kring inlåsning och att de säkerställer att det går att sluta använda leverantören utan att de blir allt för svårt att få tillbaka den data som lagras, ett hot som alla myndigheter nämnde. Detta visar på att myndighet M2 är väldigt noggrann vid anskaffning av molntjänster. 34

45 Myndighet M3 däremot har tidigare inte haft någon bra process vid anskaffningen av molntjänster, de flesta beslut de tagit har varit på grund av ekonomiska faktorer, tidsbrist eller att man har dragit slutsatsen att leverantörer har de resurser och kunskap att hantera sin moln-miljö bättre än vad myndigheten kan. De utförde inga riskanalyser och när GDPR trädde i kraft förstod man att de egentligen hade behövt ändra sin process och avsluta vissa avtal men ingen tog tag i det. De har däremot nyligen implementerat en ny process som ska göra att de kommer titta på alla krav som MSB ställer och följa dem kraven till punkt och pricka. Det här visar tydligt på hur stor skillnad det är mellan myndigheter som har resurserna som krävs och kan följa guiden men att det är svårt för de myndigheter som är mindre och inte har de resurserna. Processen för företag ser väldigt olika ut, de har heller inga riktlinjer att följa utan de beslutar själv över hur de ska gå till väga. Företag F3 tittar mycket på att leverantören följer krav de har men det beror på vilken typ av data som ska hanteras. På deras känsliga data var de in i serverhallen och säkerställde att de följde standarder och hade säkerhetsklass 3 medan man inte hade det lika strikt på andra typer av tjänster. Däremot görs det alltid riskanalyser enligt en metodik som de själva tillhandahåller. F4 tar in en extern konsult vid denna typ av beslut för att göra en bedömning att leverantören följer deras krav samt andra lagar såsom GDPR. F2 tyckte att deras tidigare lösning inte var optimal och ville hitta en bättre lösning. De gör även riskanalyser för varje nytt steg som tas. Företagen över lag har mer fokus på att leverantören utför ett bra arbete och man granskar hur de sköter sig medan myndigheten fokuserar mest på vilken typ av data som hanteras, hur värdefull informationen är och vad konsekvenserna blir om det läcks eller förstörs. Detta kan ha att göra med att företagen väljer leverantörer som de känner att de kan lita på och därför under processen försöker de säkerställa att det går att lita på dem. 5.4 Metoddiskussion Studien är en kvalitativ studie och har genomförts genom en litteraturstudie samt semistrukturerade intervjuer. Litteraturstudien som genomfördes var nödvändig både för att ge läsaren och författaren en bredare kunskap inom området inför resultatet. Ett problem som upptäcktes var att många av de vetenskapliga artiklarna som hittades var publicerade utanför EU. Det gjorde att det var svårt att hitta artiklar som beskriver problemet mellan amerikanska molntjänstleverantörer och organisationer inom EU. Många myndigheter har även gjort rapporter kring användningen av molntjänster, dessa är inte vetenskapliga men är trots allt viktiga för studien, vilket är anledningen till att dessa behövdes tas med. 35

46 Semistrukturerade intervjuer har visat sig vara ett lämpligt val av metod. Intervjuer gav en möjlighet att få djupare svar än vad enkäter hade kunnat ge, då man i enkäter inte har samma möjlighet att förtydliga och förklara frågorna. Enkäter hade kunnat ge en bredare svarsfrekvens eftersom det går fortare för respondenter att svara på en enkät än vad de tar att hålla en intervju vilket kan göra att fler personer är benägna att svara på enkäter. Ett problem som upptäcktes vid de semistrukturerade intervjuerna är att respondenterna kunde svara mer fritt vilket gör att resultatet kan skilja sig mycket mellan personerna. Det blir då svårt att dra slutsatser och komma med ett tydligt resultat. Eftersom intervjuaren inte har någon tidigare erfarenhet av att hålla intervjuer var detta en färdighet som behövdes utvecklas under arbetets gång. Ju längre in i studien desto lättare blev det att hålla intervjuerna och rikta in frågorna att passa just det som är intressant. Den förväntade tiden för varje intervju var 30 minuter. Vissa av intervjuerna höll ramen för tiden, då det endast var den tiden som respondenterna hade inbokat. Några av respondenterna hade i stället ett friare schema eller hade bokat in extra tid utöver 30 minuter, vilket gjorde att några av intervjuerna drog över på tiden. På grund av bristen på tidigare erfarenhet av att hålla intervjuer var det svårt att se till att intervjuerna höll den utsatta tiden utan att avbryta respondenten mitt i ett svar. Anledningen till att intervjuerna planerades att ta 30 minuter var för att det skulle vara lättare för respondenter att boka in tiden i dess schema. Hade tiden varit längre fanns en farhåga att färre skulle känna sig manade att ställa upp på grund av att de måste sätta undan en längre tid. I efterhand har det framkommit några saker som skulle ha kunnat förbättra studien. En av dessa saker är att korta ner intervjuteman. Det var många teman som skulle tas upp under varje intervju. Om de teman som valts hade varit mindre hade tiden lättare kunnat hållas och det hade inte blivit lika mycket anteckningar att gå igenom. En annan sak som hade kunnat förbättra studien är att ha mer specifika frågor, vissa av svaren skiljer sig för mycket åt vilket gör det svårt att analysera de data som framkom. 5.5 Miljö och hållbar utveckling FN har tagit fram en global plan för att främja en hållbar utveckling [28]. I den här planen ingår ekologisk, ekonomisk och social hållbarhet. Denna studie kommer fokusera på användningen av molntjänster. Molntjänster kan bidra till ekologisk hållbar utveckling då företag och privatpersoner inte behöver köpa in den datorkapacitet som behövs. I stället låter man företag som specificerar sig på molntjänster hantera detta och dessa kan då fokusera på att skapa datorhallar som drivs på ett hållbart och miljövänligt sätt. 36

47 Det bidrar även till företag och privatpersoners ekonomiska hållbarhet då molntjänster kan ses som en billigare lösning än att själva köpa in datorkapacitet. En ytterligare aspekt kan ses genom att molntjänster bidrar till social hållbarhet då molntjänster finns till för alla personer med behovet oberoende på kön, status etcetera. 37

48 6 Slutsatser Avslutningsvis har studiens tre frågeställningar besvarats. Vilka risker och hot ser man kring molntjänstanvändningen hos organisationer? Alla myndigheter ser fler hot än vad företagen gör, då de måste även vara mer noggranna med tanke på att de måste följa fler lagar och regler än företagen. De problem och hot som myndighet främst ser är: Informationen raderas inte korrekt Låg kunskapsnivå hos leverantörer och kunder Att de tappar kontrollen Leverantörer bryter avtal Överföring till tredje land samt obehörig part får tillgång till data Inlåsning hos enskilda leverantörer Dataintrång Dataförlust De problem och hot företag främst ser är: Dataförlust Dataintrång Obehörig part får tillgång till data Det visar att mycket skiljer sig mellan företag och myndigheter när det kommer till hot vid användningen av molntjänster. Hur skiljer sig organisationernas riktlinjer eller interna regler gällande molntjänster mellan varandra? Alla organisationer har riktlinjer och interna regler gällande hur anställda ska hantera molntjänster. De flesta har någon typ av begränsning eller håller på att införa begränsningar. Myndigheter förebygger även de hot som finns kring skugg-it (se kapitel 2.2.1) genom att fånga upp de behov som finns för att se om man behöver anskaffa tjänsten eller bygga ett liknande system, på så sätt hindrar man anställda från att nyttja otillåtna tjänster. Vad baserar organisationer sina beslut på gällande användningen av molntjänster? 38

49 En stor skillnad mellan myndigheter och företag när det kommer till anskaffning av molntjänster är de olika lagar de följer, företag behöver endast ta hänsyn till dataskyddförordningen GDPR medan myndigheter även följer flera andra lagar såsom offentlighet och sekretesslagen och säkerhetsskyddslagen med flera. Dessa måste myndigheterna ta hänsyn till under hela beslutsprocessen samt säkerställa att alla dessa lagar följs, vilket kan vara svårt för mindre myndigheter utan resurser. Myndigheter baserar sina val gällande molntjänster på först och främst vad för information och data som ska lagras och sedan på om leverantörer lever upp till deras krav. Medan företag beslutar mer beroende på deras relation till leverantören och kostnaden för tjänsten men även om leverantörer lever upp till de riskanalyserna gjorda av organisationerna. För de myndigheter som inte har lika mycket resurser som andra stora myndigheter är det även en fråga kring pengar och tid de sparar in. 39

50 Referenser [1] M. T. Taghavifard and S. Majidian, Identifying Cloud Computing Risks based on Firm s Ambidexterity Performance using Fuzzy VIKOR Technique, Glob. J. Flex. Syst. Manag., vol. 23, no. 1, pp , Mar. 2022, doi: /S [2] Användning av molntjänster ökar bland företag, Statistikmyndigheten SCB, Nov. 29, (accessed Apr. 21, 2022). [3] Andel företag som köper följande typer av molntjänster, Statistikmyndigheten SCB, Nov. 25, (accessed Apr. 21, 2022). [4] THE STATE OF CLOUD NATIVE SECURITY REPORT Find Your Path to Successful Cloud Expansion, Santa Clara, Accessed: Apr. 22, [Online]. Available: [5] Molnfrågan - esamverka, ESamverkan. (accessed Apr. 22, 2022). [6] P. Mell and T. Grance, The NIST Definition of Cloud Computing, Commun. ACM, vol. 53, no. 6, p. 50, Jun. 2010, [Online]. Available: &site=eds-live&custid=s [7] S. H. Chun and B. S. Choi, Service models and pricing schemes for cloud computing, Cluster Comput., vol. 17, no. 2, pp , 2014, doi: /S [8] S. Goyal, Public vs Private vs Hybrid vs Community - Cloud Computing: A Critical Review, Int. J. Comput. Netw. Inf. Secur., vol. 6, no. 3, pp , 2014, doi: /ijcnis [9] S. Gupta, A. Gupta, and G. Shankar, Cloud Computing: Services, Deployment Models and Security Challenges, Proc. - 2nd Int. Conf. Smart Electron. Commun. ICOSEC 2021, pp , 2021, doi: 40

51 /ICOSEC [10] M. Attaran and J. Woods, Cloud computing technology: improving small business performance using the Internet, J. Small Bus. Entrep., vol. 31, no. 6, pp , Nov. 2018, doi: / [11] H. Tabrizchi and M. Kuchaki Rafsanjani, A survey on security challenges in cloud computing: issues, threats, and solutions, J. Supercomput., vol. 76, no. 12, pp , Dec. 2020, doi: /s [12] S. El Kafhali, I. El Mir, and M. Hanini, Security Threats, Defense Mechanisms, Challenges, and Future Directions in Cloud Computing, Arch. Comput. Methods Eng., vol. 29, no. 1, pp , Jan. 2022, doi: /S Y/TABLES/5. [13] N. M. Sultana and K. Srinivas, Survey on Centric Data Protection Method for Cloud Storage Application, 2021, doi: /ICCICA [14] M. Walterbusch, A. Fietz, and F. Teuteberg, Missing cloud security awareness: investigating risk exposure in shadow IT, doi: /JEIM [15] What is Shadow IT? How Do I Control It? Download Checklist McAfee. (accessed Apr. 05, 2022). [16] N. Saxena, E. Hayes, E. Bertino, P. Ojo, K.-K. Raymond Choo, and P. Burnap, Impact and Key Challenges of Insider Threats on Organizations and Critical Businesses, doi: /electronics [17] A. Duncan, S. Creese, and M. Goldsmith, An overview of insider attacks in cloud computing, Concurr. Comput. Pract. Exp., vol. 27, no. 12, pp , Aug. 2015, doi: /CPE [18] Introduktion till dataskydds-förordningen (GDPR) för verksamheter IMY, Integritetsskyddsmyndigheten, Jun. 10, (accessed Mar. 17, 2022). [19] M. Škrinjar Vidović, EU Data Protection Reform: Challenges for Cloud Computing, Croat. Yearb. Eur. Law Policy, vol. 12, no. 12, Dec. 2016, doi: /cyelp [20] NIS Informationssäkerhet för samhällsviktiga och digitala tjänster PTS, Post- och telestyrelsen (PTS), Sep. 24, (accessed Mar. 17, 2022). 41

52 [21] Säkerhetsskydd PTS, Nov. 26, (accessed May 11, 2022). [22] Esamverkan, Molngruppens redovisning - Teknik, produkter och säkerhetslösningar, [23] A. Gupta, H S Bhadauria, and A. Singh, SLA-aware load balancing using risk management framework in cloud, vol. 12, pp , 2021, doi: /s [24] C. A. B. de Carvalho, R. M. de C. Andrade, M. F. de Castro, E. F. Coutinho, and N. Agoulmine, State of the art and challenges of security SLA for cloud computing, Comput. Electr. Eng., vol. 59, pp , Apr. 2017, doi: /J.COMPELECENG [25] K. Säfsten and M. Gustavsson, Forskningsmetodik för ingenjörer och andra problemlösare, First edit. Lund: Studentlitteratur AB, [26] G. Ahrne et al., Handbok i kvalitativa metoder, 1st ed. Malmö: Liber AB, [27] R. Flowerdew and D. Martin, Eds., Methods in human geography, 2nd edition. Harlow: Pearson Education Limitede, [28] Globala målen Läs om Globala målen 17 mål för hållbar utveckling. (accessed May 17, 2022). 42

53 Bilaga A Figur 1. Informationsbrev till deltagare. A1

54 Bilaga B Figur 1. Intervjufrågor första sidan. B1