Vi kan inte sälja kontroll om vi inte bygger med kontroll

Bounded hjälper organisationer att få insyn i de digitala beroenden som verksamheten faktiskt vilar på: leverantörer, produkter, underleverantörer, avtal och risker. Det gör att våra kunder kan agera snabbare när något förändras, följa upp sina leverantörer mer systematiskt och stå bättre rustade när en incident, lagändring eller leverantörsförändring påverkar verksamheten.

Det gör också att det spelar roll vilka beroenden vi själva bygger in i plattformen.

Det hade varit enklare att bygga Bounded på någon av de stora amerikanska molnplattformarna. Microsoft, Google och Amazon erbjuder stark infrastruktur, färdiga moduler och tjänster som gör det snabbt att utveckla moderna SaaS-produkter. För många bolag är det ett rimligt val.

För oss hade det skapat fel utgångspunkt. Vi kan inte sälja kontroll över digitala beroenden om vi inte har motsvarande kontroll över vår egen plattform. Därför har vi byggt Bounded annorlunda.

När teknikval blir beroenden

Ett beroende är sällan bara ett namn på en leverantörslista. Det är ofta inbyggt i själva arkitekturen: var data lagras, vilka funktioner som vilar på leverantören och hur lätt eller svårt det är att ersätta en del utan att resten av tjänsten påverkas.

Det är stor skillnad på att kunna byta ut en avgränsad del av plattformen och att i praktiken behöva bygga om hela tjänsten. Den skillnaden uppstår inte av sig själv. Den kräver medvetna teknikval, tydliga gränser mellan olika delar av systemet och intern kompetens för att förstå och förändra arkitekturen när det behövs.

Annars blir “vi kan byta leverantör” mest en teoretisk möjlighet. Om plattformen är byggd som en black box, eller ovanpå tjänster som ingen internt behärskar, finns det ingen verklig handlingsfrihet när juridiken, hotbilden eller leverantörens villkor förändras.

Det är därför våra egna teknikval börjar i de mest grundläggande delarna av plattformen: drift, lagring och kontroll över den miljö där kunddata behandlas.

Europeisk drift

Bounded är ett svenskt bolag byggt för europeiska organisationer som behöver arbeta systematiskt med informationssäkerhet, dataskydd och leverantörsstyrning. Därför har vi byggt plattformen med europeisk drift som utgångspunkt.

Boundeds plattform hostas hos Hetzner, ett tyskt bolag med datacenter inom EU. Kunddata och avtalsfiler lagras krypterat på den infrastrukturen. Vi använder inte Amazon, Google eller Microsoft för plattformens system eller drift.

Frågan är inte om amerikansk teknik är bra. Ofta är den mycket bra. Frågan är vad man bygger in i sin egen plattform när man väljer den. Det är också så vi ser på digital suveränitet. Inte som isolering från omvärlden, utan som praktisk handlingsfrihet: att veta var de kritiska beroendena finns och kunna agera när förutsättningarna förändras.

Målet är alltså inte att vara oberoende av allt. Målet är att undvika att plattformens mest centrala delar vilar på beroenden som är större eller svårare att lämna än de behöver vara. Det gör inte plattformen immun mot risker, men det ger oss bättre kontroll över underliggande infrastruktur, var data lagras och hur vi kan agera om förutsättningarna förändras.

Samma princip gäller för hur vi använder AI. Frågan är inte om AI ska användas, utan hur vi kan använda den på ett avgränsat och kontrollerat sätt, utan att mer av våra kunders information än nödvändigt lämnar vår egen miljö.

Avgränsad och kontrollerad AI

AI är en viktig del av Bounded. Vi använder AI för att analysera avtal och leverantörsunderlag som ofta är långa, komplexa och svåra att överblicka manuellt.

Men AI-användningen är avgränsad. När vi granskar kunders avtal skickar vi till exempel inga originalfiler till AI-modeller. Vi behandlar först dokumentet i vår egen miljö: relevant text extraheras, materialet struktureras och information som inte behövs för analysen tas bort eller maskeras. Därefter skickas endast avgränsade textutdrag som behövs för den aktuella bedömningen.

Det gör att vi kan använda AI för att skapa konkret nytta utan att våra kunders hela avtal blir en del av AI-flödet. Det hade varit enklare att låta en extern modell ta emot hela dokument och analysera dem direkt, men när materialet rör avtal, säkerhetskrav, leverantörer och verksamhetskritiska beroenden är den enklaste vägen inte alltid den mest ansvarsfulla.

Säkerhet som märks i produkten

I Bounded lagras kunddata och avtalsfiler krypterat. Åtkomst till kunddata är begränsad, behörighetsstyrd och loggad, och användare loggar in med tvåfaktorsautentisering. Vi håller också produktions-, test- och utvecklingsmiljöer separerade, så att kunddata inte blandas in i utvecklingsarbete eller testflöden.

Det här är grundläggande kontroller, och de spelar stor roll. Många säkerhetsrisker uppstår inte för att organisationer saknar ambitioner, utan för att det i praktiken är otydligt var data finns, vem som har åtkomst och vilka externa tjänster som är inblandade.

Därför bygger vi annorlunda

Bounded är byggt för att ge organisationer bättre insyn och kontroll över sina beroenden. För att det ska vara trovärdigt behöver vår egen plattform vara byggd på ett sätt som ger oss motsvarande insyn och handlingsfrihet.

Det innebär att teknikval inte bara bedöms utifrån vad som går snabbast att bygga, utan också utifrån vilka beroenden de skapar, hur kunddata påverkas och om vi kan agera om förutsättningarna förändras. Den principen gäller både vår underliggande arkitektur och de vägval vi kommer att göra framåt.

Det är inte alltid den snabbaste vägen. Men om vi ska hjälpa andra att få kontroll över sina digitala beroenden, måste vi börja med våra egna.