Det multidimensjonale problemet

Daniel Melin

Business Development Manager

I disse diskusjonene er det ikke uvanlig at den ene parten fremmer et argument av typen at det finnes juridiske hindringer, hvorpå motparten hevder at riktig IT-sikkerhet løser det juridiske hinderet. Til syvende og sist blir ingen klokere på hva som gjelder.

Etter altfor mange slike diskusjoner og en fortsatt forvirret situasjon begynte jeg å fundere over hvorfor spørsmålet er så vanskelig å diskutere. Et svar er selvsagt at parten som fremmer sitt argument har en eller annen form for vinning, for eksempel at det gagner personens arbeidsgiver. Men selv om en part ikke argumenterer intellektuelt redelig, men ut fra egeninteresse, gjenstår problemet at svært få ser ut til å kunne gjøre en både kompetent og komplett vurdering. Merk at jeg ikke påstår at jeg kan det heller.

Jeg er overbevist om at problemet ligger i kompleksiteten i spørsmålet, noe som innebærer at den som vil resonnere om dette må være relativt oppdatert og kyndig innen minst seks domener. De jeg har identifisert er geopolitikk, IT-sikkerhet, kontinuitet, jus, råderett og næringspolitikk. Selvfølgelig finnes det en del overlapp mellom disse seks, og det går selvsagt fint å legge til flere.

Frem til 2020 handlet diskusjonen nesten utelukkende om OSL, GDPR og IT-sikkerhet. Geopolitikk, råderett og kontinuitet ble stadig vanligere etter Russlands fullskala invasjon av Ukraina og Sveriges inntreden i NATO. De næringspolitiske konsekvensene glimrer fortsatt med sitt fravær, selv om industriinitiativet EuroStack har satt saken på dagsordenen i 2025.

En påvirkende faktor er også at det har ligget i de amerikanske leverandørenes interesse at ulike spørsmål er uklare; på den måten fremmes at hver organisasjon må gjøre sin egen utredning. Klassisk splitt-og-hersk-teknikk.

Seks domener

For å gi litt veiledning definerer jeg de seks domenene slik:

Geopolitikk er en vitenskapelig disiplin, der politikk, historie og sosiologi analyseres med referanse til geografi. Geopolitikk ser vi daglig i ulike uttalelser fra diverse politiske ledere, der de tar utgangspunkt i sitt eget lands historie, egenart og befolkningens særlige status. Også for eksempel EU og NATO er geopolitiske aktører uten å være land.

IT-sikkerhet handler om hvordan ulike IT-systemer og deres informasjon beskyttes mot for eksempel antagonistiske angrep, uautorisert tilgang, manipulering, ødeleggelse og tyveri. IT-systemer må kontinuerlig gjennomgås for å tette sårbarheter og redusere angrepsflaten. Kryptering er en vanlig måte å beskytte informasjon på. Det går an å argumentere for at domenet burde være informasjonssikkerhet eller cybersikkerhet, men i denne sammenhengen er det av mindre betydning.

Kontinuitet handler om hvordan ulike hendelser kan påvirke en organisasjons evne til å fungere. Med god kontinuitetsplanlegging kan organisasjonen øke motstandskraften mot altfor negative effekter.

Jus er ulike lover og regelverk fra Sverige, EU og andre land. Lover og regelverk fra land utenfor EU omtales gjerne som tredjelandslovgivning. Vanskeligheter knyttet til lovgivning fra enkelte land er for eksempel at lovverket bevisst er vagt skrevet, at lovgivningen er hemmelig, samt at den kan endres med svært kort varsel. I jus inkluderer jeg også leverandøravtaler som er mer eller mindre forståelige, endres ofte eller sjelden, tilbys i sin helhet eller bare delvis.

Råderett er evnen til selvstendig å kunne beslutte om noe gjennom å ha egen kontroll. Råderett kan ta mange uttrykk, der et ofte forekommende begrep er «digital suverenitet». Digital suverenitet handler om at et land skal ha selvstendig råderett over sine digitale ressurser på samme måte som over sitt land, hav og luft.

Næringspolitikk handler ifølge regjeringen om å skape forutsetninger for jobber og voksende bedrifter. Området omfatter blant annet vilkår for næringsvirksomhet og entreprenørskap, innovasjonskraft og en velfungerende konkurranse. Ifølge regjeringen er det for få startups som vokser til vellykkede scaleups i EU. Dette signaliserer at Europa ikke fullt ut makter å omsette sin innovasjonskapasitet til globalt konkurransedyktige selskaper. Det indre markedet, som burde være et springbrett for vekst, er fortsatt fragmentert, noe som begrenser tilgang til kapital, talent og markeder. Verken EU-kommisjonen eller svenske regjeringer kan neppe beskyldes for å ha lagt til rette for at svenske IT-selskaper skal vokse, men det er en annen artikkel å skrive.

En måte å visualisere de seks domenene på er gjennom et puslespill der alle brikkene trengs for å kunne se helheten, i dette tilfellet det svenske samfunnet.

Resonnement

Som det fremgår, anlegger jeg et større perspektiv enn bare den enkelte organisasjonen; det er for eksempel ikke en enkelt myndighets rolle å velge skytjeneste delvis basert på næringspolitiske hensyn. Allerede her er dermed en fallgruve avdekket. Hvis vi går tilbake til den opprinnelige diskusjonen med to parter, men i stedet for jus og IT-sikkerhet ligger problemet i at den ene parten veier inn svensk næringspolitikk i sin vurdering, mens den andre parten bare tar utgangspunkt i den enkelte organisasjonen. Da blir det vanskelig å nå enighet.

En stadig tilbakevendende argumentasjonsform er risiko, altså at alle valg bærer med seg risiko. Å bare hevde at alle valg innebærer risiko gir imidlertid ingen veiledning om hvordan en organisasjon skal velge. Når det gjelder IT-sikkerhet er risiko en selvfølge; det finnes intet IT-system som både er tilgjengelig for brukere og er 100 % sikkert. Når det gjelder råderett er det mer binært, enten har organisasjonen kontroll over sin informasjon, eller så har den ikke det. Jus er et mellomtilfelle; i noen tilfeller finnes det tydelig lovgivning og/eller prejudikatskapende dommer som viser grensedragningen mellom lovlig og ulovlig. I andre tilfeller er det for øyeblikket uklart nøyaktig hvor grensen går. Noen organisasjoner ser ut til å mene at så lenge noe ikke uttrykkelig er forbudt, er det tillatt, mens andre organisasjoner velger det motsatte. Enkelte myndigheter har til og med tatt på seg oppgaven å «utfordre loven» for friere å kunne bruke ulike (amerikanske) skytjenester.

Regjeringen skriver i Nationell strategi för cybersäkerhet 2025-2029 at «det kan innebære alvorlige risikoer dersom mange organisasjoner er avhengige av den samme tjenesten eller systemet, og at avhengigheter av digitale produkt- og tjenesteleveranser fra organisasjoner basert i tredjeland, både kan være uhensiktsmessige og utgjøre en sårbarhet som kan brukes som politisk pressmiddel.» Her anlegger regjeringen et tydelig samfunnsperspektiv på for eksempel skytjenester. I Sveriges digitaliseringsstrategi 2025–2030 står det at «en viktig aspekt for å motstå påkjenninger er tilgangen til sikre og robuste leverandørkjeder for både maskinvare og programvare. For å oppnå sikre leverandørkjeder kreves et systematisk arbeid med kontinuerlige risikovurderinger, et mangfold av leverandøralternativer og grundig kravstilling overfor leverandører.» Samtidig står det i utenrikserklæringen fra februar 2025 at «den transatlantiske lenken er avgjørende for svensk og europeisk sikkerhet, samt at Sveriges og USAs bilaterale relasjoner er meget gode og styrkes ved at vi er allierte i NATO. USA er en partner av særlig viktighet for Sverige og for Europa – handelsmessig, sikkerhetsmessig og politisk.» Det er lett å ane at disse ulike uttalelsene ikke er helt forenlige med hverandre sett opp mot det faktum at amerikanske skytjenester totalt dominerer det svenske markedet, og at ingen forsøk fra politisk hold er gjort for å endre dette.

Avslutning

Neste gang du støter på en diskusjon om det såkalte «skyspørsmålet», begynn da med å forsøke å forklare hvilke domener de ulike partene inkluderer i sine resonnementer. På denne måten kan vi kanskje i fellesskap løfte diskusjonen til samfunnsnivå, slik at Sverige så raskt som mulig kan oppnå en rimelig grad av digital suverenitet, og at diskusjonene blir mer meningsfulle og intellektuelt redelige.