Svenska myndigheter använder oauktoriserade molntjänster
Under våren har vi analyserat svenska myndigheters skugg-it, närmare bestämt molntjänster som personalen använder utan att de är upphandlade på korrekt sätt. Analysen indikerar på att en stor andel obehöriga molntjänster används, varav 92,5% är amerikanska. Det här innebär i sin tur att till exempel personuppgifter hanteras på ett olagligt och felaktigt sätt.
Under sommaren 2020 fastställdes Schrems II-domen som kom att påverka riktlinjerna för hanteringen av molntjänster vars data ofta sker gränsöverskridande mellan EU och USA. Molnbaserade lösningar kräver att data flyttas till och från molnet som ofta ligger utanför organisationens nätverk. Anställda i dessa organisationer kan också komma att använda molntjänster hemifrån med sina egna enheter vilket resulterar i att dataflöden blir svårare att övervaka. Detta gör det svårt att upptäcka inte bara auktoriserade molntjänster utan även oauktoriserade molntjänster, även kallad skugg-IT. Skugg-IT ökar antalet potentiella sårbarheter inom organisationer samt möjliggör att persondata förflyttas till tredjeland, där myndigheter kan kräva att få insyn i. Exempelvis kan amerikanska myndigheter kräva att få tillgång till amerikanska molntjänstleverantörers data till följd av CLOUD Act. Vidare förutspådde Gartner 2016 att en tredjedel av alla lyckade cyberattacker under 2020 skulle rikta sig mot skugg-IT i organisationer1 och när McAfee bad IT-experter att uppskatta antalet molntjänster deras företag använde så var uppskattningen 30 olika molntjänster medan det faktiska snittet var 19352. Skugg-IT kan alltså vara mycket utbrett i organisationer även fast uppfattningen kan vara motsatsen. Tillgängligheten och användarvänligheten hos molntjänster påverkar detta.
I vårt examensarbete har vi analyserat myndigheters e-postloggar för att identifiera oauktoriserad användning av molntjänster, något som inte gjorts i tidigare forskning. Åtminstone inte i offentlig sektor. 38 myndigheter i Sveriges kontaktades där deras e-postloggar för januari månad 2021 begärdes ut. 14 av dessa 38 myndigheter delade med sig av dessa digitalt, utan någon avgift och innehöll bland annat data om avsändare, mottagare, rubrik och datum men inte själva innehållet. För att kunna analysera och identifiera e-post där molnrelaterad skugg-IT förekommer jämfördes de ungefär 580 000 unika e-posten mot nyckelordlistor för att se vilka av dessa som hade en match gentemot nyckelorden. Nyckelordlistorna bestod av hundratals organisationer, molntjänster och andra relaterade begrepp som kunde bidra till att identifiera användning av oauktoriserade tjänster. Utöver vilka och antalet e-poster som matchade nyckelorden sammanställde vi även frekvenser över vilka de mest förekommande tjänsterna var.
Resultatet av vår studie visade att i genomsnitt bestod 4,11 procent av all e-postkorrespondens under januari 2021 av e-post relaterad till molntjänster där 92,6 procent av dessa var amerikanska molntjänster. Fördelningen går från 0,34% i en myndighet upp till 9,7% i en annan myndighet vilket går att se i figuren nedan.
Fem av de 14 tillfrågade myndigheterna valde att dela med sig utav sina upphandlade tjänster vilket resulterade i att antalet använda molntjänster sjönk till 2,26 procent efter att listan över upphandlade tjänster hade tillämpats. Dock indikerar detta på att även om dessa myndigheter har upphandlat molntjänster så finns det en stor andel obehöriga tjänster som används. Intervjuerna med de fem myndigheter som ställde upp visade även på att ingen av de intervjuade myndigheterna hade någon lösning implementerad för att övervaka skugg-IT-trafik. Följaktligen kan vi se i tabellen nedan att i många fall står en majoritet av individerna i myndigheten av användandet av oauktoriserade molntjänster, där den blå stapeln indikerar antalet anställda och den orangea stapeln antalet unika e-postadresser inom myndighetens e-postloggar.
Även om de tillfrågade myndigheterna inte trodde att det förekommer någon form av skugg-IT inom deras organisationer så kan vårt examensarbete påvisa motsatsen. Det förekommer i var och en av de tillfrågade myndigheterna. I dagsläget verkar svenska myndigheter vänta på riktlinjer från högre instanser men under tiden riskerar deras data att cirkulera i oauktoriserade- och tredjelandsbaserade molntjänster.
Referenser:
https://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/
https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-saas.html
Martin Dahlén, martin.dahlen@knowit.se / martin.dahlen@hotmail.com
Leo Van Debré, leo.vandebre@knowit.se / leo.vandebre@gmail.com