Är amerikanska molntjänster säkra?

Är amerikanska molntjänster säkra? I diskussionen om den så kallade molnfrågan hävdas ibland att det är säkrare att ha sin data hos amerikanska molntjänstleverantörer.

Frågan är dock – säkrare än vad?

Säkrare än ett lågprioriterat serverrack i källaren? Högst troligen. En låg ribba är lätt att ta sig över. Man kan nästan förnimma hur spindelnät och vattenläckor smyger sig på i den mytomspunna serverkällaren.

Lyckligtvis ser alternativen i verkligheten i de flesta fall annorlunda ut. Både vad gäller eventuell egen drift, men särskilt de valmöjligheter som finns på marknaden.

Cleura och många andra bolag erbjuder molninfrastruktur som tjänst (IaaS) men också plattform som tjänst (PaaS) i konkurrens med Azure, AWS och Google Cloud. Cleura gör detta från sina datacenterregioner i Sverige och Tyskland.

Verksamheter kan alltså ta sig till molnet – med drift hos en extern tjänsteleverantör – utan att lägga sin data i en amerikansk molntjänst som tillhandahålls av en amerikansk molntjänstleverantör.

Alternativet till amerikanska molntjänster: OpenStack-baserade moln

Vi på Cleura, och många med oss, använder plattformen OpenStack för att leverera molninfrastruktur. Idag kan du få OpenStack-baserade publika molntjänster levererade från över 180 datacenter världen över.

OpenStack skapades av det amerikanska hostingbolaget Rackspace och den amerikanska rymdmyndigheten NASA.

Teknik med amerikanska rötter, alltså.

Verksamheterna upptäckte att de på var sitt håll hade byggt molnkomponenter som kompletterade varandra. De bestämde sig för att sammanfoga projekten och skapade vad som bäst kan liknas vid en ersättare till AWS.

De som var med när det begav sig har berättat att projektet tidigt kunde ha fallit i bitar – svårigheterna tycktes oöverstigliga. En senator försökte enligt uppgift sätta stopp för projektet eftersom det hotade sysselsättningen – mer automatisering skulle leda till färre anställda i landets datacenter. NASA:s byråkrati var också ett hinder. Men till sist gick det vägen. Tidningen Wire har gjort ett spännande reportage i ämnet med titeln The Secret History of OpenStack, the Free Cloud Software That’s Changing Everything.

OpenStack bygger på samverkan

OpenStack är speciellt därför att det bygger på samverkan – inte bara mellan Rackspace och NASA utan mellan verksamheter världen över. Genom att Rackspace och NASA släppte OpenStack med öppen källkod-licens kunde nämligen alla bidra med förbättringar till projektet.

Ingen behöver heller be någon om tillåtelse för att få använda OpenStack, eller betala någon licensavgift.

Hundratals företag som använder eller förlitar sig på OpenStack väljer emellertid att bidra med kod, ekonomiskt stöd eller på annat sätt. OpenStack kan liknas vid en allmänning som dess användare vårdar och tar hand om. Skillnaden mot en jordplätt är att OpenStack blir mer värdefullt för alla ju fler som använder det och deltar i gemenskapen. OpenStack har därigenom blivit ett av världens mest framgångsrika öppen källkod-projekt.

Tack vare OpenStack kan europeiska och svenska molntjänstleverantörer som Cleura erbjuda infrastruktur som tjänst (IaaS) till verksamheter som behöver följa GDPR och andra regelverk. Det är rena, skalbara molntjänster som tillhandahålls från Cleuras datacenterregioner i Stockholm, Karlskrona och Frankfurt.

OpenStack-projektets hem är sedan länge stiftelsen OpenInfra Foundation. Stiftelsen säkerställer att projektet förvaltas och utvecklas för gemenskapens bästa, utan att blidka något enskilt företags särintresse.

Förutom OpenStack är stiftelsen värd för flera näraliggande projekt inom bl.a. AI/maskinlärning, CI/CD, containers och edge computing. Cleura är guldmedlem i OpenInfra Foundation och är representerad i den rådgivande styrelsen för OpenInfra Europe.

Säkerheten hos amerikanska molntjänster

En återkommande refräng är att amerikanska molntjänstleverantörer ägnar stora personalresurser åt säkerhet. Det säger emellertid inte mycket om vilka resultat som uppnås.

Används personalresurserna effektivt? Måste de städa upp i efterhand på grund av ett högt utvecklingstempo som lett till säkerhetsmissar i koden? Tillkommer nya funktioner i en takt som ökar attackytan till men för säkerheten? Belastas koden av en gammal teknisk som kräver extra mycket ansträngning ur säkerhetssynpunkt?

Har lösningen en så stor kundbas att den är ett särskilt attraktivt mål för antagonister?

Det framstår som logiskt att ju fler som använder en standardiserad molnlösning, och ju känsligare data som hanteras i molnlösningen, desto mer intressant blir det för antagonister att leta efter säkerhetshål. En och samma sårbarhet kan ju då användas mot fler eller känsligare måltavlor. Fullt naturligt att en leverantör av en sådan lösning måste lägga mer resurser på säkerheten. Dessutom riskerar en driftstörning hos leverantören drabba många verksamheter samtidigt.

Här kan nämnas att Google har pekat ut dominansen hos en av sina konkurrenter som ett särskilt stort säkerhetsproblem, inte minst för offentlig sektor.

Företaget i fråga har också misslyckats med att upprätthålla sin egen interna säkerhet, och uppgav i januari 2024 att ryska hackare stulit interna meddelanden och filer från både ledningsgrupp och anställda som arbetar med cybersäkerhet och rättsliga frågor. Intrånget visade sig senare vara mycket värre än vad som först var känt.

Konkurrenter till Microsofts affärsområde inom säkerhet riktar också hård kritik. Ur en artikel från GovInfoSecurity:

”Any way you cut it, the threat is very real and very serious, and the prevailing view across the national security community seems to be that Microsoft is hanging on by a thread,” said Krebs, who served as the first director of the U.S. Cybersecurity and Infrastructure Security Agency. ”These continued incidents pose a significant risk to companies that rely on Microsoft systems and are driving executives in government and industry alike to reevaluate their dependence on Microsoft systems.”

En chef på säkerhetsföretaget CrowdStrike har gått så långt att han kallat Microsoft ”ett hot mot den nationella säkerheten” och sagt att ”Vi vet att Microsoft haft många problem med Azure, och det här intrånget visar på Azures bredare autentiseringsproblem.”

Säkerhet är inte lätt, men en mångfald av granskare gör det lättare

Säkerhet är inte lätt. Alla lösningar som blir tillräckligt stora eller betydelsefulla kommer att bli attraktiva för antagonister som letar efter säkerhetshål. Vi lyfter inte den här frågan här för att peka finger åt en enskild leverantör, utan för att påvisa att en utomordentligt hög säkerhetsnivå inte nödvändigtvis följer automatiskt av att ett enskilt företag lägger stora personalresurser på säkerhet.

Med amerikanska rötter och bidrag från världen över, är en fördel med OpenStack att källkoden finns fritt tillgänglig. Tusentals organisationer använder OpenStack och tusentals personer bidrar till utvecklingen. Den utbredda användningen och deltagandet blir en fördel genom att källkoden utsätts för mångas ögon och perspektiv. Vill någon låta göra en säkerhetsgranskning av en viss del av koden, eller penetrationstesta en viss implementering, så är det fullt möjligt. För projektet skapar det ett värde för samtliga användare eftersom det bidrar till att hitta säkerhetshål.

Ägg i samma korg

En verksamhet kan minska sin sårbarhet genom att sprida sina ägg i flera korgar, istället för att lägga all data i samma amerikanska molntjänster som nästan alla andra använder. Dessutom minskar sårbarheten på samhällsnivå, eftersom ett säkerhetshål inte kan drabba stora delar av samhället samtidigt.

Dessutom tillkommer ytterligare ett perspektiv på säkerhet: att amerikanska myndigheter får åtkomst till den data som hanteras i amerikanska molntjänstleverantörer. Det kan vara ett hot mot såväl företagshemligheter som sekretessbelagd information och den personliga integriteten. Vi har skrivit mer om hotet från sådan åtkomst i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet.

Ett djupt beroende till en enskild leverantör på nationell nivå kan rentav undergräva ett lands självständighet. I Danmark har exempelvis motsvarigheten till SKR lobbat till regeringen att ändra i dansk lag för att låta Google använda skolbarns personuppgifter för att förbättra sina molntjänster. Anledningen är att kommunerna inte upplever sig ha något annat val än att använda Googles lösningar för skolan, samtidigt som Google vill använda skolbarnens personuppgifter för dessa syften.

En fördel med OpenStack att du inte blir beroende av en viss leverantör. Om du anser att din befintliga leverantör av OpenStack-baserade tjänster inte ger tillräckligt bra support, inte hanterar säkerheten tillräckligt bra eller inte håller konkurrenskraftiga priser, så är det fullt möjligt att migrera till en annan leverantör som tillhandahåller väsentligen samma infrastrukturtjänst. Det här skapar en intressant paradox: ju lättare det är för kunden att lämna, desto större är sannolikheten att kunden frivilligt väljer att stannar kvar. Det beror på att leverantören får starka incitament att vara lyhörd mot sina kunder och leverera en säker och konkurrenskraftigt prissatt tjänst.

Sammanfattningsvis om amerikanska molntjänster

1. Stora resurser i sig garanterar inte hög säkerhet. Utvecklingen behöver ske på rätt sätt och resurserna behöver användas effektivt.
2. Det finns alternativ till amerikanska molntjänster: molntjänsten Cleura Compliant Cloud, till exempel.
3. Cleura och många andra molnbolag säljer infrastruktur som tjänst (IaaS) baserat på OpenStack, ett av världens mest framgångsrika öppen källkod-projekt.
4. Genom att OpenStack är öppen källkod erhålls flera fördelar ur säkerhetssynpunkt:
   • utvecklingen sker transparent med den neutrala stiftelsen OpenInfra Foundation som hemvist, vilket gör att alla kan följa att ny kod granskas enligt överenskomna rutiner på ett säkert sätt,
   • den som vill låta säkerhetsgranska koden eller penetrationstesta en viss uppsättning och konfiguration kan göra det,
   • allt annat lika ger fler ögon på koden bättre förutsättningar för att säkerhetshål upptäcks.
5. Eftersom det finns många leverantörer av OpenStack-baserade moln, såväl i Sverige som Europa, så kan du byta leverantör om du inte är nöjd. Det gör att din leverantör har starka incitament att leverera en kvalitetstjänst med hög säkerhet till konkurrenskraftiga priser. En leverantör med kunder som har svårt att lämna tjänsten ställs däremot inte till svars av marknadskrafterna. Då ökar sannolikheten att leverantören blir något av en lat katt, även vad gäller säkerhet.

Har du frågor om molntjänster och digitalisering?

Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.