lördag 20 juni 2015

Molntjänster och offentlig datasäkerhet


"Microsoft kommer att allokera speciella servrar för Sverige" säger Stefan Gustafsson på Ehälsomyndigheten i en artikel i Ny Teknik om lagring av patientdata, sjukjournaler och sånt.

En bekant har berättat om en granskning av offentliga IT-funktioner han gjort i ett litet östland på randen av Europa. IT-säkerheten bestod av ett kompani vaktsoldater som skyddade serverhallarna. Det kan mycket väl vara rätt prioriterat, fysisk säkerhet ligger ju liksom alltid där i botten av den Maslowska säkerhetspyramiden. Och det är ganska svårt att leverera IT-tjänster om man förlorar den fysiska kontrollen över servrar, routrar och nät tjänsten levereras över.

Staten, eller i alla fall det offentliga, borde hålla sig med en moderniserad version av televerket, en myndighet som har till uppgift att säkerställa basala IT-system (säkra nät, telefonitjänster, säker lagring och molntjänster) för departement, myndigheter, kommuner och andra offentliga eller samhällsviktiga aktörer.

Naturligtvis kommer detta att kosta pengar, troligtvis även vara dyrt. Förmodligen kommer det att se mycket dyrare ut än att upphandla tjänster dynamiskt, vid behov från olika IT-tjänsteleverantörer. Men mycket av det man betalar extra för är just säkerheten, vetskapen att man får det man beställt. För det är bara om man äger lagringsmedian själv, och har den i sin fysiska besittning som man kan veta att man har sitt data själv, när man behöver det. Och det krävs nästan att man dragit kablarna själv för att man skall kunna veta att de är redundant dragna.