När en av Sveriges mest säkerhetskritiska myndigheter söker kompetens inom amerikansk molnteknik avslöjas mer än bara ett rekryteringsbehov. Öppna källor, juridiska beroenden och geopolitik vävs samman till en obekväm fråga: hur suverän är egentligen vår digitala beredskap?
”Vill du göra samhällsnytta och bidra till Sveriges oberoende i världen? Vi söker nu en Azure tekniker med fokus på utveckling, drift och förvaltning av FRA:s molnlösningar. Låter detta som något för dig? Ansök nu!”
Så lyder annonsen signerad Försvarets radioanstalt (FRA). FRA är en svensk underrättelsemyndighet under Försvarsdepartementet vars uppgift är att samla in och analysera signaler i elektronisk kommunikation.
Organisatorisk infrastruktur är sällan så skyddad som man inbillar sig. Genom öppna källor – som jobbannonser, tekniska kravprofiler och upphandlingsdokument – är det fullt möjligt att successivt konstruera en tydlig bild. Varje enskild uppgift må vara harmlös i sig, men deras samlade effekt är desto mer informativ.
När en myndighet efterfråga kompetens inom specifika tekniska ekosystem, som molnplattformar eller leverantörsbundna identitetslösningar, kan man göra rimliga antaganden om beroenden och arkitektur, exempelvis. Det kanske inte säger exakt allt, men det behöver man å andra sidan inte för att kunna göra strategiska analyser.
Så organisationers egna krav på transparens, eller vanlig obetänksamhet för den delen, skapar möjligheter till infrastrukturell kartläggning. Detta innebär naturligtvis inte att skyddsvärd information har, eller kommer att, exponeras. Men det gör det avgjort lättare för den som har sådana intressen, allt annat lika.
Microsoft lyder under under amerikansk jurisdiktion
Om vi tänker oss att Azure används av en säkerhetsmedveten myndighet får vi förutsätta att användningen är avgränsad. Att det handlar om stödfunktioner, utvecklingsmiljöer eller applikationsdrift utan beröring med skyddsvärd information, snarare än molnlagring av den samma.
Detta förändrar dock inte det faktum att Microsoft (som levererar Azure), lyder under amerikansk jurisdiktion. Det innebär att politiska beslut I USA kan påverka den svenska myndighetens handlingsutrymme, oberoende var data fysiskt lagras eller hur väl den är krypterad.
Konsekvenser för olydnad
Vid en politisk konflikt mellan USA och Sverige – till exempel för att en part vill ha Grönland – kan det få konsekvenser, både med och utan aktiva tvångsåtgärder. Saker som osäkerhet kring framtida tillgång, förändrade avtalsvillkor eller begränsad support skapar en strukturell sårbarhet.
Tänker man sig att myndigheten dessutom har ett tekniskt beroende av Azure (eller andra Microsoft-tjänster), kan det naturligtvis användas som ett politiskt påtryckningsmedel. Ty möjligheten att snabbt ersätta eller avveckla sådan beroenden är begränsad, framförallt i tid.
Nu vill jag inte tro att FRA lagrar skyddsvärda data via Azure. Men det bör noteras att det faktum att Azure har datacenter för molnlagring i Sverige inte förändrar de möjligheter amerikansk förvaltning har att få tillgång till denna data via Cloud Act.
Utan digital suveränitet har vi ingen suveränitet
Öppna källor möjliggör alltså rimliga antaganden om infrastruktur och leverantörsbundenhet, medan juridisk och politisk kontroll över dessa leverantörer skapar risker som vi helt enkelt inte kan reducera genom tekniska skyddsåtgärder.
Det är svårt att inte notera ironin i att denna annons dyker upp samma dag som Trump öppet uttrycker sitt missnöje med Sverige och hotar med strafftullar för att framtvinga lydnad i Grönlandsfrågan.
Vad blir nästa steg om vi inte lyder?
Sovereignty as a Service
– on the Security Policy Implications of Frictionless Technology Choices
When one of Sweden’s most security-critical authorities seeks expertise in American cloud technology, it reveals more than a simple recruitment need. Open sources, legal dependencies and geopolitics intertwine to form an uncomfortable question: just how sovereign is our digital preparedness?
