Bygg egne skytjenester for det offentlige, Helleland

Skytjenester er en velsignelse og en forbannelse for offentlig sektor. Å gjøre lagring, programmer og tjenester tilgjengelig over nettverk heller enn å være avhengig av at dette drives på lokale servere og maskiner gir økt smidighet og fleksibilitet, og det kan spare store pengesummer. Blant annet av disse grunnene er skytjenester kommet for å bli. Men i sin nye trusselvurdering advarer Nasjonal Sikkerhetsmyndighet om skyggesidene: Den samlede nasjonale avhengigheten av utenlandske skyleverandører er for stor og vi har ikke tilstrekkelig nasjonal kontroll.

I sin nye trusselvurdering advarer Nasjonal Sikkerhetsmyndighet om skyggesidene

Vi mener et av svarene må være at staten bygger opp egne skytjenester for offentlig sektor, slik de gjør i flere andre land. Dette i skarp kontrast til skystrategien dagens regjering styrer etter, hvor linjen er at alle skytjenester skal kjøpes i markedet – i praksis fra store tech-selskaper som Microsoft og Amazon.

De store tech-selskapene har store, profesjonelle sikkerhetsmiljøer som har driftet systemene over tid og som har erfaring med å avverge komplekse angrep. Hva er da problemet?

Servere i utlandet gjør oss sårbare

Det trengs mer kontroll med hvor serverne befinner seg geografisk. En skytjeneste er ikke mer mystisk enn at det er en annen datamaskin enn din egen. I mange tilfeller vil disse serverne befinne seg i Irland – som i realiteten fungerer som et europeisk skatteparadis for tech-selskapene – men serverne kan i prinsippet befinne seg hvor som helst i verden. Fra et sikkerhetsperspektiv er dette vesentlig, fordi servere i utlandet vil innebære at data vil krysse avlyttingssystemene som er bygget inn i andre lands digitale grenseforsvar. Andre lands lovregulering vil også gjelde. Det er slett ikke ønskelig at data for offentlig sektor skal være tilgjengelig for fremmede etterretningstjenester.

Særlig alvorlig blir dette juridisk uklare rommet internasjonalt i møte med stater verre enn USA

Lovgrunnlaget for å beskytte data som lagres utenfor landets grenser er dessuten ikke alltid godt nok. Det illustreres tydelig av Schrems II-dommen fra i sommer, som slår fast at det trengs strengere regulering av personopplysninger som utleveres mellom EU/EØS-området og USA. Vi er ikke der i dag, og det har vist seg vanskelig å få dette regulert på en god måte. Særlig alvorlig blir dette juridisk uklare rommet internasjonalt i møte med stater verre enn USA.

Datasikkerhet for det offentlige handler også om å tenke hva hvis krigen kommer

I tillegg vil det være vanskelig for norske sikkerhetsmyndigheter å ettergå den fysiske sikkerheten til en server som befinner seg i et annet land. Den knallharde kritikken fra Riksrevisjonen mot Regjeringens arbeid med objektsikring tidligere denne stortingsperioden illustrerer hvor viktig slik fysisk sikring er for vitale samfunnsinteresser. Med tiltagende digitalisering vil også flere av de vitale samfunnsinteresser være knyttet nettopp til data som befinner seg på servere. Tenker vi hele krisespekteret opp til fullskala krig, ser vi også hvilken betydning geografisk plassering av servere kan ha. Datasikkerhet for det offentlige handler også om å tenke hva hvis krigen kommer. Tradisjonelt har det vært stor vekt i arkivloven på at offentlig sektors informasjon skal befinne seg i Norge, blant annet av denne grunnen.

Private servere i Norge ikke tilstrekkelig

Flere av de store tech-selskapene bygger nå opp server-kapasitet i Norge som et svar. Det er bra. Nasjonal Sikkerhetsmyndighet har beskrevet fraværet av slike som en «betydelig risiko» i seg selv. Men at offentlig sektor kjøper skytjenester fra utenlandske selskaper med servere på norsk jord svarer ikke på hele utfordringsbildet. Nasjonal Sikkerhetsmyndighet peker blant annet på at vi er i ferd med å blåse opp tech-gigantene til å bli så store maktfaktorer innen skytjenester at det utgjør en strategisk sårbarhet. Viktige samfunnsfunksjoner må fungere selv om det verste skulle skje oss, og da kan det det bli problem om vi er underlagt den gode viljen til de som til enhver tid utgjør aksjemajoriteten i disse selskapene eller statene hvor de hører hjemme. Geopolitisk makt flyttes fra stater til de store tech-selskapene.

Servere med plassering i utlandet er underlagt utenlandsk lov, og kan måtte utlevere data på serverne til en fremmed makt

I tillegg er det et viktig juridisk spørsmål om utlevering av data som lurer i bakgrunnen. Servere med plassering i utlandet er underlagt utenlandsk lov, og kan måtte utlevere data på serverne til en fremmed makt. Men dette kan være tilfelle også om selskapene etablerer seg med et separat norsk selskap og fysiske servere i Norge. En juridisk ekspertgruppe under den svenske digitaliseringsmyndigheten Esam advarte for eksempel at det ikke kan utelukkes at skytjenester levert av selskaper med bare en løs tilknytning til et ikke-europeisk selskap kan bli tvunget til å utlevere data fra servere i EU. Rettsområdet er uoversiktlig og i rask utvikling, men uansett vil rettstilstanden på dette området ikke kunne bestemmes av Norge alene, noe som i seg selv gir mindre kontroll på offentlig sektors data og digitale systemer enn hva vi hadde før overgangen til skytjenester.

Slik behøver vi ikke å ha det.

En ny skystrategi

Mens Solberg-regjeringen er i selskap med land som Storbritannia i å ha en sky-strategi som ensidig baserer seg på markedsløsninger, har andre land valgt annerledes. I Nederland finnes en egen Rijkscloud for offentlig sektor. I den franske skystrategien skal det bygges en egen, særlig sikker cloud interne for det offentlige.

Mest kjent er kanskje tyskernes variant: Bundescloud. Her er de fysiske høysikkerhetsserverne eid av staten, plassert flere steder i Tyskland. Gjennom å stille krav i anbud om at programvaren er open source slipper man de problematiske innlåsningseffektene, hvor man binder seg til ett enkelt selskap sine løsninger over tid. Bundescloud er også en bredspektret skytjeneste i den forstand at det ikke bare er snakk om skylagring for offentlig sektor, men også programvare og utviklingsverktøy tilgjengelig fra skyen.

Advarslene fra Nasjonal Sikkerhetsmyndighet er tydelige nok

Vi skal ikke spekulere i om ideologisk overbevisning ligger bak regjeringens ensidige vekt på markedsløsninger i sin skystrategi, men digitaliseringsminister Linda Helleland hadde gjort klokt i å være mer nøktern i møte med de hva de store tech-selskapene bør og ikke bør gjøre for offentlig sektor. Advarslene fra Nasjonal Sikkerhetsmyndighet er tydelige nok.

En ny skystrategi burde lære av land som Tyskland, og bygge opp skytjenester på servere i Norge, eid av staten, hvor programvaren er open source. Sensitive data må bruke en slik intern offentlig skyløsning, fremfor å kjøpe dette inn. En vesentlig del av behovet for skytjenester i offentlig sektor vil falle i denne kategorien.

For andre typer, mindre sensitive skytjenester, kan det være mer nærliggende å kjøpe inn i markedet. Men regelverket bør strammes til, slik at det for eksempel stilles krav om at serverne skal befinne seg i Norge for noen typer skytjenester. For andre, enda mindre sensitive tjenester trengs kanskje heller ikke dette kravet. Men det bør bygges opp innkjøpskompetanse sentralt i staten, som kan fasilitere gode innkjøp som både er trygge og tilpasset behovet i den enkelte etat.

Å bli ensidig avhengig av selskaper som Microsoft og Amazon og gir ikke den type trygghet offentlig sektor trenger.