Molnresa med Schrems II-förhinder för Karlskrona
Karlskrona var på väg att ta steget ut i Microsoft 365 men när Schrems II-domen kom i somras valde kommunen att avvakta flytten och lägga mer tid på en omfattande genomgång av informationssäkerheten.
– Vi har beslutat att helt och hållet pausa vår molnresa av informationssäkerhetsskäl för att inte riskera att vi inte följer juridiken. Nu arbetar vi för att vara bättre rustade att börja den resan i höst istället, säger Per Jonsson, informationssäkerhetssamordnare på Karlskrona kommun.
MSB och SKR
Per Jonsson började fokusera på informationssäkerhetsfrågor i augusti 2019, med hjälp av bland annat hjälp av SKR:s och MSB:s information och rekommendationer om hantering av olika typer av data.
Det blev snabbt tydligt hur viktigt det är att klassa information som rör kommunens alla olika verksamhetsområden, utifrån parametrarna konfidentialitet, riktighet och tillgänglighet. Om det inte sker är det enligt Per Jonsson annars den huvudsakliga orsaken till varför information kan riskera att hamna i fel händer.
– Utöver väckarklockan med GDPR i maj 2018, var det här ganska obruten mark i Karlskrona kommun. Vi tog därför hjälp av bland annat Atea, som redan var inblandade i ett projekt om vår digitala arbetsplats.
Schrems II och molnpaus
Från början var planen att under hösten 2020 migrera en hel del av kommunens data till Azure och Microsoft 365. Men när Schrems II-domen klubbades igenom i EU-domstolen tog resan en helt annan vändning.
– Vi insåg att vi inte hade de rutiner som krävs för att på ett säkert sätt migrera vår data till molnet. Det har hela tiden funnits frågor om lämpligheten i att spara data i molnet, men Schrems II satte allt på sin spets på ett nytt sätt.
Som kommun måste vi göra allt för att hänga med i teknikutvecklingen.
Vilka har varit de största utmaningarna?
– Att reda ut exakt vilka förutsättningar som finns för att dela upp och spara olika typer av data på olika ställen, närmare bestämt vad som inte kan sparas i molnet när vi går över till Microsoft 365. Det handlar om personuppgifter och även andra skyddsvärda uppgifter och att vi behöver skapa rutiner och tekniska metoder för att sedan kunna lagra den informationen på en annan plats än i molnet.
Bättre samarbete och säkerhet
Arbetet med att klassificera information och göra riskanalyser är i full gång på kommunen. Samtidigt har ett antal nyckelpersoner migretats till Microsoft 365-miljön, och som tillsammans med ett så kallat ambassadörsnätverk som också är migrerade, då kan dra nytta av de samarbetstjänster som finns där.
– Den kunskap som arbetas upp där har vi nytta av framöver.
Per Jonsson betonar att även om informationssäkerhetsarbetet är komplicerat, är det inte omöjligt, och förhoppningen är att en mer fullskalig migration ska ske under hösten.
– Vi vet vad vi ska hantera och hur, men det är inte fast materia och det tillkommer hela tiden ny information, data och uppgifter som vi måste ta ställning till. Det här är en resa som aldrig tar slut och som jag också tror kommer medföra att vi står mer stabilt säkerhetsmässigt.
Tycker du att det här molnklivet är värt att ta, med tanke på allt arbete det innebär?
– Det är en bra fråga som är värd att fundera över, men som kommun måste vi göra allt för att hänga med i teknikutvecklingen och det mesta av den sker idag i molntjänster. Det kommer underlätta samarbete, bidra till en starkare cybersäkerhet och förbättra våra förutsättningar att bygga bra tjänster med ännu bättre kvalitet som skapar ännu mer nytta för verksamheter, företag och medborgare i kommunen. Det är i slutändan vad det handlar om.
Läs mer om ämnet: