Kan kryptering förhindra röjande? - Att överföra en sekretessreglerad uppgift till en molntjäns

5.1 Inledning

Rättsutredningen i kapitel fyra resulterade två möjliga läsningar av röja. Jag landade i slutsatsen att den vidsträckta tolkningen av röja, där sekretessreglerad uppgift röjs då den lämnar sekretesskretsen, bör ges företräde. Eftersom att sekretesskretsen inte innefattar en molntjänstleverantör inträffar ett röjande enligt den tolkningen vid molntjänst-användning i och med att en uppgift då överförs till en molntjänstleverantör. Det är således den begränsade läsningen av röja som är grunden för utredningen i kapitel fem. Trots att jag är skeptisk mot den begränsade läsningen av röja väljer jag att fullfölja de resonemang som kan följa av den tolkningen. Detta då det fortsättningsvis är en möjlig tolkning även om jag själv intar en skeptisk inställning gentemot dess genomslag.

Den begränsade innebörden av röja öppnar upp för att en sekretessreglerad uppgift inte röjs om mottagaren saknar faktisk tillgång till uppgiften. eSam har lyft kryptering av tillräcklig och godkänd kvalitet som ett potentiellt sätt att förhindra att sekretessreglerad uppgift röjs vid användning av molntjänster.¹⁴³ I kapitel fem utreds därför huruvida eSam:s tes, att använda kryptering för att förhindra röjande när myndigheter väljer att utkontraktera sekretessreglerade uppgifter till en molntjänstleverantör, är rättsligt gångbar.

5.2 Återblick avseende molntjänster

I kapitel två gjordes en utförlig redogörelse för molntjänster. Då krypteringsmöjligheterna varierar molntjänsterna emellan är viss sammanfattning om molntjänster av nytta för att öka förståelsen för resonemangen som förs i kapitel fem. Molntjänster kan definieras på olika sätt men kan sammanfattat beskrivas som ”en vid behov, allmänt tillgänglig it-tjänst som levereras till kunden som en enhet via internet”.144 Molntjänster består av en kombination av en tjänstemodell och en leveransmodell. Tjänstemodellen är särskilt relevant att beakta då det inverkar på krypteringsmöjligheterna för molntjänsten. Den populäraste tjänstemodellen som förekommer hos svenska myndigheter är i dagsläget tjänstemodellen SaaS.¹⁴⁵ Vid SaaS erbjuds mjukvara, exempelvis dokumenthantering och e-post, som tjänst till användaren genom att färdiga applikationer tillhandahålls över nätverk. Molntjänstleverantören har fullständig kontroll över såväl underhåll som

143 eSam 2019-12 s. 65 f. 144 Magnusson Sjöberg s. 441.

145 Försäkringskassan 2019 s. 53, Myndigheten för samhällsskydd och beredskap & Örebro Universitet 2018 s. 25, Pensionsmyndigheten 2016 s. 60 f.

administration varför användaren saknar kontroll över tjänsten.¹⁴⁶ Det finns även IaaS-tjänster som tillhandahåller grundläggande infrastrukturIaaS-tjänster såsom bearbetning, lagring och grundläggande datorresurser till användaren. Användaren har kontroll över operativsystem, lagring och applikationer, men däremot har användaren inte kontroll över molntjänstens underliggande infrastruktur.¹⁴⁷ Tjänstemodellerna har olika användningsområden och kan därför inte substituera varandra. Det är dock av intresse att klargöra om och hur någon tjänstemodell kan användas i krypterad form på ett sätt som förhindrar att sekretessreglerad uppgift röjs för molntjänstleverantören.

5.3 Om kryptering

5.3.1 Allmänt om kryptering

Kryptering innebär att information görs otydbar vilket kan upprätthålla konfidentialitet hos informationen. Tanken är att obehöriga inte ska kunna tillgå viss information. En kryptolösning innefattar en krypteringsalgoritm, ett krypteringsprotokoll och kryptonycklar. Krypteringsalgoritmen omvandlar en klartext till en otydbar kryptotext med hjälp av en kryptonyckel. Vid dekryptering tas en otydbar kryptotext och görs till klartext. Endast kunskap om kryptoalgoritmens funktion bör inte vara tillräckligt för dekryptering, vilket innebär att kryptotexten inte kan dekrypteras om kryptonyckeln är hemlig. Kryptografiska protokoll använder kryptoalgoritmer och kryptonycklar samt genomför själva krypteringen. Kryptonyckeln används tillsammans med kryptoalgoritmen vid kryptering och dekryptering. Skyddet av en kryptolösning beror av flera faktorer innefattande den kryptografiska algoritmens styrka, säkerheten i det kryptografiska protokollet, att kryptonyckeln är tillräckligt lång och skapas på ett säkert sätt samt att kryptonyckeln hanteras på ett säkert sätt. 148

5.3.2 Kryptering i molntjänster

Det är framförallt nyckelhanteringen som är svår när det gäller kryptering i molntjänster. Krypterad information kan i praktiken inte bearbetas utan att informationen först dekrypteras. Således behöver molntjänstleverantören i regel ha tillgång till nyckeln för att molntjänsten ska kunna uppnå full potential. Vid molntjänster är säker nyckellagring svåruppnåelig då tjänstens funktionalitet är beroende av att molntjänstleverantören har tillgång till nyckeln. Nyckelhanteringen i molntjänsten orsakar därför svåra avvägningar. Å ena sidan förutsätter en säker kryptolösning en tillfredsställande lagring av nyckeln. Å

146 Edvardsson & Frydlinger s. 27, Magnusson Sjöberg s. 444 f. 147 Magnusson Sjöberg s. 444.

andra sidan kan data i krypterad form i praktiken inte bearbetas. I det följande presenteras olika kryptolösningar för molntjänster.

Den första typen av kryptolösning ger molntjänstleverantören tillgång till nyckeln. En customer-managed key innebär att användaren generar och administrerar nyckeln, men det är molntjänstleverantören som ansvarar för lagringen. En service-managed key innebär att molntjänstleverantören har full kontroll över nyckeln. Denna typ av kryptolösning ger ett skydd mot fysisk tillgång till data vilket kan vara fallet om en obehörig skulle få tillgång till en hårddisk. Denna typ av nyckelhantering innebär att nyckeln alltid är tillgänglig för molntjänstleverantören som kan hämta nyckeln för varje krypterings- respektive dekrypteringstillfälle. Själva lagringen av nyckeln varierar mellan olika molntjänstleverantörer, men ett sätt att lagra är genom så kallade kryptografiska hårdvarumoduler (HSM). Nyckellagring genom HSM anses pålitligt. Problemet vid en diskussion om att röja uppgift för molntjänstleverantören är att det oftast är molntjänstleverantören som levererar och därmed äger modulen. Även om molntjänstleverantörens tillgång till kryptonyckeln kan begränsas genom exempelvis policies kvarstår det faktum att molntjänstleverantören äger modulen. Följaktligen finns alltid en risk, om än hur liten, att leverantören kan tillgodogöra sig kryptonyckeln. Vid denna kryptolösning har molntjänstleverantören således tillgång till informationen i klartext och för såväl customer- som service-managed key vidhåller molntjänsten följaktligen fullständig funktionalitet.¹⁴⁹

Den andra typen av kryptolösning benämns bring your own key (BYOK). Den innebär att användaren själv generar, administrerar och lagrar nycklarna helt utanför molntjänstleverantörens kontroll. Kryptolösningen kan tillämpas för att kryptera enskilda e-postmeddelanden eller dokument. Då informationen är krypterad i molntjänsten förutsätter användarens molntjänstanvändning att användaren skickar med kryptonycklarna vid respektive användningsförfrågan. Molntjänstleverantören kan sedan använda nyckeln för såväl kryptering som dekryptering. Kryptonycklarna lagras i minnet på molntjänsten. Beroende på avtalet raderas nycklarna efter viss förbestämd tid, alternativt lagras nycklarna i moduler för kommande användning. BYOK medför visst funktionalitetsbortfall för molntjänsten. Här har användaren mer kontroll över hanteringen av kryptonycklarna, men molntjänstleverantören har emellertid tillgång till kryptonyckeln och därmed även till informationen i klartext.¹⁵⁰

149 Försäkringskassan 2019 s. 70,Myndigheten för samhällsskydd och beredskap 2019 s. 46. 150 Försäkringskassan 2019 s. 70.

Den tredje kryptolösningen är client side encryption eller hold your own key. Användaren har då ansvar för att generera, administrera och hantera nycklarna. Även all kryptering och dekryptering vidtas utanför molntjänsten. Lösningen lämpar sig för enskilda e-postmeddelanden eller dokument. Innan data förs över till molntjänsten krypteras den. Molntjänsten lagrar därmed endast krypterade data. När användaren vill ta del av data måste användaren först hämta tillbaka data från molntjänsten och sedan själv genomföra dekrypteringen lokalt. Den här kryptolösningen innebär att molntjänstleverantören aldrig har tillgång till nyckeln och saknar därmed tillgång till informationen i klartext. Det innebär en avsevärd försämring i molntjänstens funktionalitet då det bland annat inte är möjligt att nyttja sök- och sorteringsfunktioner i molntjänsten.151

5.4 Kan kryptering förhindra röjande för en molntjänstleverantör?

Enligt den begränsade innebörden av röja förutsätter ett röjande dels att den utpekade sekretesskretsen i 2 kap. 1 § offentlighets- och sekretesslagen förlorar exklusiv kontroll över den sekretessreglerade uppgiften, dels att mottagaren faktisk har tillgång till uppgiften. Om mottagaren helt saknar tillgång till sekretessreglerad uppgift är röjs den inte. Det faktum att endast mottagarens fullständigt begränsade tillgång till en sekretessreglerad uppgift säkert kan förhindra ett röjande är följaktligen utgångspunkten för kommande resonemang.

I en rapport om webbaserat kontorsstöd utgick Kammarkollegiet från eSam:s tes om att nyttja kryptering för att möjliggöra att en molntjänstleverantör ska få hantera sekretessreglerade uppgifter utan att de röjs. Av rapporten framgår att fyra aspekter då måste uppfyllas ur krypteringshänseende. För det första måste ett lämpligt krypto användas. För det andra får endast användaren, med andra ord myndigheten, och inte molntjänstleverantören, ha tillgång till kryptonycklarna. För det tredje måste uppgifterna krypteras innan de blir överförs till molntjänsten. Slutligen krävs att myndigheten kan säkerställa krypteringens säkerhet i samtliga led.¹⁵² Val av krypto är tämligen relevant att beakta, men jag diskuterar inte det närmare då jag anser att det är för tekniskt för uppsatsen i fråga. Istället fokuserar jag på att en sekretessreglerad uppgift måste vara krypterad i molntjänsten, att ett tillgängliggörande av krypterad uppgift endast ska vara möjligt i användarens egen miljö och att kryptonycklarna måste hanteras på ett sätt som endast är tillgängligt för användaren.

151 Försäkringskassan 2019 s. 70. 152 Kammarkollegiet 2019 s. 34.

Kraven kan visserligen uppfattas som rimliga, men medför begränsningar för den praktiska användningen av molntjänster. För att säkerställa att sekretessreglerad uppgift är konstant krypterad i molntjänsten ställs höga krav på nyckelhanteringen. Om molntjänstleverantören har tillgång till kryptonyckeln röjs den sekretessreglerade uppgiften. Användaren måste därför vara den som kontrollerar nyckelmaterialet och molntjänstleverantören måste sakna tillgång till detsamma. Ett annat problem är att krypterade uppgifter i praktiken inte kan bearbetas. All form av behandling är dock inte utesluten trots uppgifternas krypterade tillstånd. Behandling såsom att lagra, att överföra och att utplåna krypterade uppgifter är möjlig. Att kräva att uppgifter endast existerar i krypterad form i molntjänster medför således begränsningar avseende vilka tjänstemodeller som kan begagnas. I sammanhanget kan nämnas att det finns krypteringsalgoritmer, så kallad homomorfisk kryptering, som även möjliggör viss bearbetning av krypterade uppgifter. Molntjänstens funktionalitet förutsätter då inte att uppgifterna dekrypteras. Problemet är att den typen av kryptering i dagsläget är såväl svårtillgänglig som kostsam att använda.¹⁵³

Över till huruvida kryptering kan användas för att förhindra att en sekretessreglerad uppgift röjs för molntjänstleverantören. För att en sekretessreglerad uppgift inte ska röjas för molntjänstleverantören måste nyckelhanteringen helt avskärmas från leverantören. Av de tidigare nämnda kryptolösningarna är det endast det tredje alternativet, client side encryption alternativt benämnt hold your own key, där molntjänstleverantören helt saknar tillgång till nyckeln. tjänsters funktion förutsätter inte data i okrypterad form. IaaS-tjänster skulle därför kunna använda en kryptolösning där användaren är den enda som har kontroll över kryptonyckeln. För IaaS-tjänster är en kryptolösning där molntjänstleverantören är avskärmad från nyckeln är således möjlig, även om tjänstens funktionalitet kan försämras. Detsamma gäller inte SaaS-tjänster där molntjänst-leverantören levererar mjukvara till användaren. För att SaaS-tjänster ska vara användbara måste molntjänstleverantören kunna hantera tjänsten fullt ut vilket förutsätter tillgång till data okrypterad form. Molntjänstleverantören måste därför har tillgång till kryptonyckeln.

Den övergripande frågan för det förevarande avsnittet är huruvida kryptering kan användas för att förhindra att sekretessreglerad uppgift röjs för en molntjänstleverantör. För att kryptering ska förhindra att sekretessreglerad uppgift röjs för en molntjänstleverantör måste den sekretessreglerade uppgiften uteslutande hanteras i

krypterad form i molntjänsten. Tillgängliggörande får endast ske i användarens egen miljö och användaren ska kontrollera nyckelhanteringen. Tjänstemodellen IaaS kräver inte att informationen är dekrypterad för att tjänsten ska fungera, även om funktionaliteten kan påverkas negativt av informationens krypterade tillstånd. En IaaS-leverantör behöver därför inte ha tillgång till kryptonyckeln. SaaS-tjänster förutsätter att informationen är dekrypterad för att tjänsten ska kunna fungera. En SaaS-leverantör måste därför kunna bereda sig tillgång till kryptonyckeln. Slutsatsen är att kryptering kan förhindra att en sekretessreglerad uppgift röjs för en molntjänstleverantör, men då det endast är genomförbart för vissa tjänster har lösningen en begränsad praktisk nytta för den offentliga sektorns molntjänstanvändning. Kammarkollegiets slutsats i rapporten om webbaserat kontorsstöd var följande: ”att en myndighet skulle kunna säkerställa att all inkommande e-post är krypterad ter sig osannolikt, och om det inte går att upprätta handlingar i ordbehandlaren faller halva syftet med Webbaserat kontorsstöd.” Kammarkollegiet hade därmed en liknande slutsats som jag beträffande nyttan som kan uppnås med krypterade molntjänster.¹⁵⁴

5.5 Problem med utländska molntjänstleverantörer

I praktiken finns det dock ytterligare en aspekt som kan medföra problem avseende myndigheters röjande av en sekretessreglerad uppgift. De mest framstående molntjänstleverantörerna är privata aktörer som lyder under amerikansk jurisdiktion. Vidare är dessutom tusentals andra molntjänster beroende av infrastrukturen i de nyss nämnda framgångsrika molntjänsterna. Här kan den amerikanska rättsakten U.S. CLOUD Act som antogs 2018 nämnas. Regleringen möjliggör för amerikanska rättsvårdande myndigheter bland annat att begära att molntjänstleverantörer som är underställda amerikansk jurisdiktion bevarar alternativt utlämnar information som leverantören innehar.155 Så gäller även om servern är placerad utanför USA.156 I det här fallet medför det att molntjänstleverantören potentiellt kan vara tvungen att lämna ut krypteringsnycklar på begäran av utländska myndigheter.¹⁵⁷ Detta medför att det i praktiken alltid kan inträffa ett röjande om molntjänstleverantören träffas av lagstiftning som ålägger denne att under vissa förutsättningar utlämna information. Jag avser dock endast att kortfattat omnämna problemet avseende röjande som kan inträffa då en molntjänstleverantör träffas av utländsk lagstiftning som ålägger utlämningsskyldigheter.

154 Kammarkollegiet 2019 s. 34.

155 Cirio Advokatbyrå AB 2019 s. 11, eSam 2019-12 s. 25. 156 Cirio Advokatbyrå AB 2019 s. 9.

In document Att överföra en sekretessreglerad uppgift till en molntjänst (Page 48-54)