Moderna molnapplikationer för myndigheter: Så ökar ni säkerheten, effektiviteten och regelefterlevnaden

Molnapplikationer är inte längre bara en tekniktrend – de har på kort tid blivit en central del av hur organisationer utvecklar, driver och skalar digitala tjänster.
Moderna molnapplikationer för myndigheter: Så ökar ni säkerheten, effektiviteten och regelefterlevnaden
Tomas Persson
2025-04-11

Vad är egentligen en molnapplikation?  Varför kan en molnapplikation anses säkrare än en traditionell applikation? 

Det finns  en stor kunskapslucka kring modern applikationsförvaltning och vad som faktiskt krävs för att man ska kunna ta ett ansvar som lever upp till de högt ställda krav som idag finns inom EU. Varken leverantörer eller upphandlade myndigheter har tillräckligt hög kompetens vilket leder till att många system har stora brister. Detta försöker EU hantera genom ett stort antal nya lagar och regleringar som tex CRA (Cyber Resilience Act), NIS 2 (Network and Information Security) och EUCS (Molntjänst certifieringar).

Vi välkomnar dessa regleringar, det är viktigt att vi ställer höga krav!

Del 1 i en serie kring modern applikationsförvaltning

Detta är det första inlägget i den här bloggserien som kommer att handla om hur man förvaltar applikationer på ett modernt och säkert sätt, vår förhoppning är att vi kan lyfta kompetensen och därmed påverka Sverige i en positiv riktning. 

En molnapplikation kan köras internt eller externt

Det är viktigt att man förstår att definitionen molnapplikation inte handlar om var applikationen körs utan hur den byggs. Det fina är att om man bygger på detta sätt, kan man enkelt flytta applikationen till en extern leverantör eller så kan man köra den internt i sina egna datahallar. 

"Den stora poängen med att skapa en molnapplikation är automationsgraden och arkitekturen, inte var servrarna står.”

Traditionella metoder och deras begränsningar

I den traditionella världen av applikationsdrift och -förvaltning byggs ofta tunga, monolitiska system. De installeras i en statisk servermiljö, ibland med egna datacenter, ibland som virtuella servrar (VPS) i molnet men utan att dra nytta av moderna principer som automatiserad skalbarhet eller containerisering. 


Problemen blir tydliga när systemen växer och komplexiteten ökar:

  • Svårigheter att uppdatera. Uppdateringar riskerar att leda till driftstopp och kräver omfattande planering.
  • Låg flexibilitet. Att distribuera ny funktionalitet eller skala upp/ner kapacitet kräver ofta manuella ingrepp.
  • Ökad attackyta. Traditionella servrar är ofta mer komplexa att säkra och patcha löpande, vilket gör dem sårbara för kända och okända sårbarheter.
  •  Inlåsning mot enskilda leverantörer och system som begränsar innovationskraften och det driver kostnader över tid

Vad är Molnapplikationer och modern utveckling?

En molnapplikation är en applikation byggd för att köras i en dynamisk, ofta container- och mikrotjänstbaserad miljö där automatisering, skalbarhet och kontinuerliga uppdateringar är naturliga inslag. 

Några exempel på viktiga beståndsdelar:

  • Applikationen är uppsatt baserat på 12-/15-faktor-principer för applikationsutveckling. Dessa principer underlättar bland annat hur en applikation hanterar konfiguration, beroenden och loggning för att göra driften mer förutsägbar och säker.
  • Containerisering. Genom att paketera applikationen i containrar (t.ex. Docker) säkerställer man att alla beroenden följer med. Detta gör det enklare att uppdatera och därmen minska sårbarheterna.
  • Minimala containers för att minska attackytor. Användning av t.ex. Alpine Linux gör att man kan minska antalet potentiella säkerhetsproblem jämfört med traditionella system. 
  • Automatiserad miljö. Kontinuerlig integration och leverans (CI/CD) möjliggör frekventa, små och risekreducerade uppdateringar utan nedtid.
  • Öppen källkod - för att maximera innovationskraften. 100% av alla framgångsrika digitala innovatörer bygger på 100% open source. Det minskar inlåsning och ökar därmed kostnadskontrollen.
  • Öppen källkod - för att det skapar transparens kring sårbarheter och gör säkerhetsarbetet mer effektivt. 
  • SBOM (Software Bill of Materials) för att hålla koll på vilka komponenter som faktiskt ingår i ett system. En SBOM skall finnas för varje enskild förändring i systemet och alla ändringar skall vara versionshanterde. 

Säkerhet och regelefterlevnad

Att bygga moderna molnapplikationer handlar helt och hållet om att bygga långsiktigt hållbara lösningar. Vi får helt enkelt väldigt mycket fördelar när vi förvaltar, driftar och utveckla våra tjänster om vi bygger modernt jämfört ned de gamla sätten. 

Det går faktiskt att ifrågasätta om det idag ens går att med rimliga medel upprätthålla säkerhet, spårbarhet och kvalité med monolitiska system VPSer och servrar.. 

Molnapplikationer ger nya möjligheter att bygga in säkerhet från grunden:

  • Segmentering och minimerad attackyta. Mikrotjänster och containrar kan ge isolerade miljöer som försvårar rörelse för en angripare.
  • Automatiska säkerhetsuppdateringar. Molnbaserade plattformar implementerar ofta patchar och uppdateringar i bakgrunden.
  • EU-lagstiftning och regelverk. Nya lagar som NIS2 och Cyber Resilience Act (CRA) lyfter vikten av robusta säkerhetsåtgärder och tydliga leverantörsansvar. Att redan från början designa för regelefterlevnad gör det enklare att i efterhand visa på att kraven är uppfyllda.
  • Bättre insyn i leveranskedjan. Med SBOM kan det offentliga se exakt vilka beroenden som används och vilka risker som kan finnas – en nyckelfråga för säkerhetsmedvetna upphandlare.

Rekommendationer för strategiska teknikval och handlingar

För upphandlare i offentlig sektor är det viktigt att ställa tydliga krav så att leverantörerna kan leverera säkra molnbaserade applikationer:

  • Kräv modernt utvecklingsupplägg. Be om 12-/15-faktor-kompatibilitet och containerbaserad arkitektur.
  • Kräv SBOM. Säkerställ att leverantören öppet kan redovisa vilka beroenden som finns i applikationen och hur sårbarheter hanteras.
  • Efterfråga säkerhetsautomatisering. Undersök hur leverantören arbetar med kontinuerliga uppdateringar, patchning och övervakning.
  • Ställ krav på öppen källkod, detta säkerställer långsiktigt hållbara tjänster
  • Ställ krav på att leverantörer aktivt bidrar tillbaka till viktiga open source projekt, då stärker ni både er egen säkerhet och den större communityn.

Vill du lära dig mer? 

Håll utkik efter kommande inlägg i vår bloggserie, där vi fördjupar oss i bland annat SBOM, minimala containers och hur ni sätter upp en robust DevOps-kedja för era applikationer. 

Att gå mot molnapplikationer behöver inte vara komplext, men det kräver ett strategiskt och säkerhetsmedvetet angreppssätt – något som i längden gynnar både myndigheter och medborgare.

Kontakta oss om ni behöver hjälp med att förverkliga era molndrömmar

Skicka




Dela
Taggar
Arkiv
EUCS – EU:s nya cybersäkerhetscertifiering för molntjänster: Vad innebär det för offentlig sektor och svenska IT-leverantörer?
Vi måste gemensamt höja nivån på samhällets IT infrastruktur, EUCS är ett sätt att komma överrens om en minsta accepterbara nivå för en hållbara IT tjänster.