Molnlagring för företag — säkerhet och compliance

Det finns två typer av kryptering för molnlagring: kryptering i transit (data krypteras under överföring via TLS/SSL) och kryptering i vila (data är krypterat på servern, vanligtvis med AES-256). De flesta seriösa leverantörer erbjuder båda som standard. Men det är viktigt att förstå att kryptering i vila med leverantörens egna nycklar inte skyddar dig om leverantören själv komprometteras, får ett myndighetsbeslut om att lämna ut data, eller om en anställd med systemåtkomst agerar illojalt.

För verkligt känslig data behöver du end-to-end-kryptering (E2EE) där leverantören aldrig har tillgång till dina nycklar. Tresorit, grundat i Schweiz men med stark närvaro i Europa, erbjuder E2EE med zero-knowledge-arkitektur och lagring inom EU. Proton Drive från Proton AG erbjuder liknande skydd och har gratisplaner för mindre volymer. Boxcryptor (numera integrerat i Dropbox) och Cryptomator (open source) är alternativ som lägger E2EE ovanpå befintliga molnlagringstjänster som Google Drive eller OneDrive, vilket kan vara praktiskt om du redan är investerad i ett ekosystem men behöver starkare kryptering.

Vid val av krypteringslösning bör företag också beakta nyckelhantering. Med E2EE ansvarar du själv för att nycklar och lösenord inte förloras — det finns ingen "glömt lösenord"-funktion eftersom leverantören inte har tillgång till din data. Större organisationer bör överväga en central nyckelhanteringslösning (KMS) och dokumenterade processer för nyckelrotation och escrow. Det är också värt att testa att återställning från backup faktiskt fungerar med den valda krypteringslösningen, eftersom krypteringsrelaterade problem är en av de vanligaste orsakerna till misslyckade återställningar.

GDPR kräver att du vet var din data lagras och kan garantera att den skyddas enligt EU-standard. Svenska och europeiska leverantörer är det tryggaste valet. Amerikanska tjänster är problematiska efter Schrems II-domen från EU-domstolen 2020, som ogiltigförklarade Privacy Shield-avtalet mellan EU och USA. Även med Standard Contractual Clauses (SCC) kvarstår risken att amerikanska myndigheter kan kräva åtkomst till data via CLOUD Act och FISA 702, oberoende av var data fysiskt lagras. EU-US Data Privacy Framework som antogs 2023 har förbättrat situationen, men juridisk osäkerhet kvarstår och IMY (Integritetsskyddsmyndigheten) rekommenderar fortsatt försiktighet.

För offentlig sektor och sjukvård finns ytterligare krav på datalokalisering och sekretess. Patientdatalagen (PDL) och Offentlighets- och sekretesslagen (OSL) ställer krav som går utöver GDPR, och flera svenska myndigheter och regioner har fått kritik av IMY för användning av amerikanska molntjänster. eSAM (samarbete mellan myndigheter för digitalisering) har publicerat vägledningar som rekommenderar svenska eller europeiska molnleverantörer för känslig data inom offentlig verksamhet. Välj alltid en leverantör som kan garantera lagring inom EU, och helst inom Sverige om du hanterar sekretessbelagd information.

I praktiken bör varje företag genomföra en DPIA (Data Protection Impact Assessment) innan man väljer molnlagringstjänst för känslig data. Dokumentera vilka typer av data som lagras, var de fysiskt finns, vilka som har åtkomst och under vilka jurisdiktioner leverantören lyder. Många svenska företag har framgångsrikt implementerat en hybrid-modell där vardaglig data lagras i etablerade molntjänster som Microsoft 365, medan känslig och regulatoriskt bunden data lagras hos svenska leverantörer med garanterad lagring inom landets gränser. Denna approach ger en bra balans mellan användarvänlighet och compliance.

Molnlagring ersätter inte en genomtänkt backup-strategi. Den klassiska 3-2-1-regeln gäller fortfarande: tre kopior av data, på minst två olika mediatyper, varav en kopia på annan fysisk plats. Även om molnlagring i sig ger redundans genom att data replikeras mellan servrar inom leverantörens infrastruktur, skyddar det inte mot alla scenarier. Ransomware-attacker som krypterar filer kan synkroniseras till molnet innan angreppet upptäcks, och mänskliga misstag som oavsiktlig radering kan replikeras omedelbart. Därför bör företag komplettera sin molnlagring med immutable backups som inte kan ändras eller raderas under en förutbestämd tidsperiod.

Svenska leverantörer som Binero och City Network erbjuder företagsanpassad molnlagring med garanterad lagring inom Sverige och möjlighet att konfigurera automatiserade backups med versionshantering. För företag som lyder under specifika regelverk kan dessa svenska alternativ vara att föredra framför internationella jättar, trots att de ofta har ett högre pris per gigabyte. Den totala kostnaden bör dock ställas mot risken — en allvarlig dataförlust eller ett GDPR-brott kan kosta mångdubbelt mer än skillnaden i lagringsavgift. NIS2-direktivet, som träder i full kraft inom EU, ställer dessutom skärpta krav på cybersäkerhet och incidentrapportering för företag inom samhällskritiska sektorer, vilket gör det ännu viktigare att ha en dokumenterad och testad strategi för datalagring och återställning.

När svenska företag utvärderar molnlagringsleverantörer bör beslutet baseras på en kombination av säkerhet, compliance, pris och användarvänlighet. Börja med att kartlägga vilken typ av data som ska lagras och vilka regulatoriska krav som gäller — ett konsultföretag som delar projektdokument har helt andra behov än en vårdgivare som hanterar patientjournaler. Skapa en kravspecifikation som inkluderar krypteringsstandard, geografisk lagring, åtkomstkontroll, loggning och revisionsmöjligheter innan du börjar jämföra leverantörer.

Bland de internationella aktörerna erbjuder Microsoft 365 med OneDrive for Business den bredaste integrationen med verktyg som de flesta svenska företag redan använder, och Microsoft har datacenter i Sverige sedan 2021. Google Workspace med Google Drive erbjuder starkt samarbetsstöd men lagrar data i EU utan garanti för specifikt svenskt datacenter. Dropbox Business har förbättrat sin säkerhetsprofil med end-to-end-kryptering som tillval och erbjuder lagring inom EU. Bland svenska och nordiska alternativ utmärker sig Binero med sin OpenStack-baserade plattform och garanterad lagring i svenska datacenter, samt Jottacloud som är en norsk tjänst med fokus på integritet och lagring i Norden.

Oavsett vilken leverantör du väljer bör du implementera en tydlig policy för åtkomstkontroll och behörighetshantering. Principen om minsta möjliga behörighet (least privilege) bör genomsyra hela organisationen — medarbetare ska bara ha tillgång till den data de behöver för sitt arbete. Aktivera alltid tvåfaktorsautentisering för alla användarkonton, och granska regelbundet vilka externa delningar och länkdelningar som är aktiva. Många dataintrång och dataläckor beror inte på sofistikerade hackattacker utan på felkonfigurerade delningsinställningar eller konton med alltför breda behörigheter. En kvartalsvis genomgång av behörigheter och delningar tar bara ett par timmar men kan förhindra allvarliga incidenter.

Molnlagringskostnader kan snabbt växa om de inte hanteras aktivt. De flesta leverantörer prissätter lagring per gigabyte och månad, men tillkommande kostnader för datatrafik (egress), API-anrop och premiumfunktioner som versionshantering eller arkivåtkomst kan göra den faktiska kostnaden avsevärt högre än grundpriset. Svenska företag som lagrar stora datamängder bör implementera livscykelregler som automatiskt flyttar äldre data till billigare lagringsklasser. Exempelvis kostar Amazons S3 Standard cirka 0,23 kr per gigabyte och månad, medan S3 Glacier Deep Archive kostar under 0,01 kr — en bråkdel av priset för data som sällan behöver nås.