Du äger inte din data, du hyr den.

Det finns en fråga jag ställer allt oftare i möten med organisationer som befinner sig mitt i sin digitaliseringsresa: Vem äger egentligen er data? I praktiken är svaret för många svenska organisationer mer komplicerat än det borde vara.

När bekvämligheten fick styra.
Under det senaste decenniet har vi gjort ett kollektivt val. Vi har valt bekvämlighet framför kontroll. Vi har flyttat data, system och processer till molntjänster drivna av amerikanska hyperscalers, för att det var snabbt, smidigt och kostnadseffektivt.
Och i många fall var det rätt beslut.

Men vi har inte alltid frågat oss vad vi gav upp på vägen. Begreppet digital suveränitet handlar i grunden om just det, förmågan att ha kontroll över sin egen digitala infrastruktur, sina egna data och sina egna beslut. Det handlar om vem som kan läsa er data, under vilken lagstiftning den hanteras, och vad som händer om relationen med er leverantör förändras.
Det är inte en teknisk fråga. Det är en strategisk fråga.

Cybersäkerhet räcker inte längre.
Länge har diskussionen om digital säkerhet handlat om cybersäkerhet i dess traditionella bemärkelse. Brandväggar, intrångsskydd, kryptering, incidentrespons. Viktigt. Nödvändigt. Men otillräckligt om man inte också ställer frågan om var makten över systemen faktiskt sitter.

Det spelar begränsad roll hur bra ni är på att stänga ute obehöriga aktörer, om ni samtidigt har inbyggda beroendestrukturer till plattformar som kan stängas av, förändra villkor eller dela data med tredje part utan att ni har något att säga till om.

Vi ser det redan. Organisationer som vaknar upp till att avtal de tecknade för fem år sedan innehåller klausuler de inte fullt ut förstod konsekvenserna av. Myndigheter som inser att deras kritiska system körs på infrastruktur som lyder under utländsk lagstiftning. Verksamheter som är tekniskt säkra men strategiskt sårbara.

Det handlar om beroenden, inte bara om hot.
En vanlig missuppfattning är att digital suveränitet är något som framför allt berör myndigheter, försvarssektorn eller kritisk infrastruktur. Det är förståeligt, eftersom det är där diskussionen oftast förs samt hur cybersäkerhetslaget är utformad. Men det är också en farlig förenkling.

Varje organisation som hanterar känslig information, som är beroende av sin digitala förmåga för att leverera, eller som verkar i en bransch med regulatoriska krav behöver förhålla sig till de här frågorna. Inte för att det är ett lagkrav just nu, utan för att beroendestrukturer byggs upp långsamt och avvecklas smärtsamt.

Den organisation som idag inte vet var dess data faktiskt befinner sig, under vilken jurisdiktion den hanteras, eller vad som händer vid ett leverantörsbyte är exponerad.
Inte nödvändigtvis för ett cyberangrepp. Utan för att den har gett ifrån sig kontrollen, lite i taget, utan att riktigt märka det.

Suveränitet är inte isolationism.
Här är det viktigt att nyansera. Digital suveränitet handlar inte om att stänga dörrarna och bygga egna lösningar för allt. Det är varken realistiskt eller önskvärt. Globala plattformar och externa leverantörer kan vara utmärkta val om de väljs medvetet, med öppna ögon och med en tydlig bild av vad man accepterar.

Det handlar om att fatta informerade beslut. Att förstå de avvägningar man gör. Att ha en plan för vad som händer om en leverantör försvinner, höjer priset dramatiskt, eller hamnar i geopolitiskt fokus.

Det handlar om att bygga motståndskraft, inte bara mot angrepp utifrån, utan mot beroendestrukturer som kan visa sig vara den egentliga sårbarheten.

Vart börjar man?
Det behöver inte vara komplicerat att börja. Men det kräver att någon faktiskt tar ansvar för frågorna.

Inventera var er kritiska data befinner sig och under vilken lagstiftning den hanteras.
Granska era leverantörsavtal med cybersäkerhets- och suveränitetsglasögonen på, inte bara den kommersiella. Identifiera vilka system ni är djupt beroende av och vad konsekvensen skulle bli om de inte längre var tillgängliga. Och ta sedan ett strategiskt beslut, är ni nöjda med det ni ser, eller behöver ni förändra något?

Det är inte en engångsövning. Det är ett sätt att tänka som behöver leva i organisationen, precis som cybersäkerhetsarbetet gör.

Friheten att välja är värd att skydda.
I slutändan handlar digital suveränitet om något ganska grundläggande, friheten att fatta egna beslut om sin verksamhet, utan att vara fast i strukturer man inte förstår eller kontrollerar.

Den friheten är enklare att bevara om man tänker på den från början. Betydligt svårare att återta när man väl har gett den ifrån sig.

//Andreas Hallgren CMO, ICT