Håkan Boström vet hur molnresan blir säker
Många kommuner som förbereder en molnflytt ser säkerhetsfrågorna som ett oöverstigligt berg. Ateas lösningsarkitekt Håkan Boström vet hur berget bäst ska bestigas och vilken belöning som väntar på toppen.
Säkerhetsfrågorna som dyker upp i samband med en molnflytt kan tyckas otaliga och svåra att lösa. Många kommuner köper licenser och installerar molntjänster innan de har sett över säkerheten. Men det finns många vinster med att tänka tvärt om.
– Helst bör man gå igenom säkerhetsfunktionerna på allvar från början. Då får man också mer nytta av molntjänsterna, säger Håkan Boström.
Stöd och information ger ökad förståelse
- Börja med en genomgång av säkerhetsfunktionerna och ta säkerhetsfrågorna på allvar.
- Klassificera all data som ska flyttas till molnet; då vet du hur varje fil ska hanteras.
- Gå igenom en förvaltning i taget när datan ska klassificeras och flyttas.
- Tänk på att skydda varje individ, enhet, plats och data.
- Aktivera ett grundskydd som skyddar från obehörig åtkomst på enheten.
Håkan Boströms råd är att inleda med en övergripande risk- och sårbarhetsanalys och gå igenom vilka lagar och regler som gäller för olika typer av tjänster. Här kan Atea hjälpa till genom att hålla workshops tillsammans med kommunerna.
– Vi finns där för att stötta kommunerna och informera om teknikens möjligheter och hur olika tjänster kan skapa nytta för dem. På så sätt kan de kan känna sig trygga i de beslut som fattas.
Frågor som Håkan Boström ofta får är: Hur väl skyddande är våra dokument i molnet? Vad händer om en medarbetare tappar en telefon? Tänk om en obehörig kommer åt mina dokument.
Riskerna ligger i användande
Alla dessa funderingar är relevanta. Och visst finns det risker. Det är exempelvis vanligt att medarbetare använder sin privata mobil för att maila och ta emot dokument från kommunen – utan att veta om rätt grundskydd finns på plats. Ett annat vanligt riskfyllt beteende är när kommuner kör igång ett molnsystem utan att först klassificera dokumenten. Då blir det upp till varje medarbetare att göra en bedömning av vilken säkerhetsklassning dokumenten bör ha. Båda dessa exempel kan leda till att obehöriga får åtkomst till kommunens dokument.
Men enligt Håkan Boström går det mesta att lösa med ökad förståelse och kompetens. Faktum är att det inte är molntjänsterna i sig som bör ifrågasättas. Det är sättet de används på.
– De företag som utvecklar molnsystemen har djup kunskap om dataskydd. De vet precis vad som gäller och hur systemen ska vara uppbyggda för att vara tillräckligt säkra. Det medför att molntjänsterna faktiskt ger användarna större möjlighet att vara GDPR-kompatibla än vad de hade varit utan tjänsterna, säger Håkan Boström.
Ett nytt synsätt på säkerhet behövs
Håkan Boström målar upp bilden av en borg med en vallgrav och säger att det vanligaste misstaget många begår är att de tänker på data som det var tidigare, när företagen hade en server i källaren och all data fanns i det egna nätverket.
Så är det inte längre. Nu flyttar vi allt utanför våra skyddade väggar – och då gäller det att tänka om. Nu behöver vi fokusera på att bygga ett skyddande skal runt varje individ, enhet, plats och data.
p>En risk är att någon obehörig kommer åt konfidentiell information som finns i din dator eller telefon. Genom att ha säkra appar som kräver inloggning har du vunnit mycket. Här är tre bra grundskydd som du enkelt kan aktivera själv i din telefon:
- Flerfaktorsinloggning – inlogg verifieras med kod, sms, eller uppringning.
- Villkorstyrd åtkomst – regler för åtkomst-, exempelvis när någon försöker logga in utanför det egna nätverket, eller för vissa användare.
- Intune (mobile device management) – möjliggör borttagning av all företagsdata om en enhet skulle gå förlorad. Kan ställa krav på skärmkod och kryptering av enheten.
Internt, publikt eller Top Secret
I en värld med nya säkerhetsutmaningar gäller det att hålla reda på alla dokument och vem som får tillgång till vad.
Börja med att klassificera kommunens dokument och sätta en etikett på dem. Ta ställning till: Vad ska vara publikt? Vad är internt? Vilka filer innehåller personuppgifter som är känsliga? Vad är konfidentiellt? Journaldata med konfidentiella uppgifter om kommuninvånarna får absolut inte hamna publikt. Det måste vara en ”Top Secret”-etikett på de filerna.
Helst ska det anges på varje dokument om det får spridas eller ej – och om de får spridas bör det anges på vilka sätt: Krävs ett mobilt bank-id för att komma åt dokumentet? Går det att skriva ut? Hur länge ska filen vara tillgänglig?
– Gör man det jobbet först blir det enklare sedan, säger Håkan Boström.
En förvaltning i taget
Håkan Boström har dock full förståelse för om det kan ses som en omöjlig uppgift att klassificera alla filer. En stor del av den data som finns hos kommunerna är inaktuell och kanske inte ens ska flyttas till molnet. Då kan det kännas enklare att strunta i det. Håkan Boström har dock förslag på hur berget kan bestigas.
– Genom att gå igenom en förvaltning i taget och bestiga berget i etapper blir det lättare, säger han.
Börja med förvaltningar som har bra koll
Skolförvaltningen har ofta god koll på sin data och ligger vanligtvis flera steg före övriga kommunen när det gäller att flytta data till molnet. Parkförvaltningen hanterar oftast inte känsliga data alls. Andra förvaltningar måste skydda sina filer enligt lag. Det kan till exempel röra sig om uppgifter om hur dricksvatten produceras, vilket är information som obehöriga absolut inte ska få tillgång till.
– De kan alltså vara enklare att börja flytta filer i förvaltningar som har väldigt bra koll, eller som inte alls hanterar känsliga data, och sedan gå vidare.
Ett annat tips är att inte använda krångliga etiketter när du namnger filerna.
– Om man bara har fyra till fem olika säkerhetsnivåer blir jobbet inte lika omfattande, säger Håkan Boström.
Ett smörgåsbord av funktioner
Vad blir då belöningen när kommunen gjort sitt jobb och bestigit säkerhetsberget? Väntar något gott på andra sidan? Det gör det absolut, anser Håkan Boström. Då kommer du till det roliga. Ett fint smörgåsbord av tjänster och funktioner att välja bland.
– Medborgarna kommer exempelvis att kunna dra fördel av smarta digitaliserade tjänster och tjänster inom machine learning.
Som exempel nämner Håkan Boström digital hantering av bygglovshandlingar, köplatser till barnomsorg och appar för sophantering.
– Om en medborgare ser en överfull papperskorg kan de ta en bild med kommunens app, så kommer någon från kommunen och tömmer. Detta underlättar både för kommunen och medborgaren.
Diskutera snöröjning direkt i Teams
Även i samverkansverktyget Microsoft Teams finns det många värdefulla funktioner som inte nyttjas fullt ut. Det är redan i dag möjligt att, direkt i Teams, bjuda in medborgare i gemensamma samtal om frågor rörande kommunen. Eller att ha möten med leverantörer om uppgifter de utför. Entreprenörer som röjer snö kan till exempel diskutera olika scenarier med medarbetare från kommunen.
– Alla dessa appar finns redan inbyggda och kostar inget extra. Det är bara att ta för sig av olika tjänster som framförallt ger medborgarna snabbare kontakt med kommunen. Man behöver inte längre bry sig om telefontider utan kan snabbt och enkelt sköta all kommunikation med kommunen digitalt när det passar. Behöver du ändå prata med någon så slipper du telefonköer då de flesta inte behöver ringa.
Ser det värde som uppstår
Att vara specialist på Atea kräver att man gillar snabb förändring. För Håkan Boström känns uppdraget meningsfullt, då han dagligen ser det värde som uppstår för medborgare och medarbetare i de kommuner som han och kollegorna stöttar.
– För mig som specialist har jobbet de senaste åren blivit både roligare och svårare. Tidigare var en specialist fokuserad på en produkt som var relevant i flera år. I dag behöver man ha både bred och djup kompetens; jag behöver vara både framtidsspanare och specialist.
Skribent: Therese Slettengren
Foto: Johan Alp