En sky for oss, en sky for deg

Datamaskinen min har nå som standard begynt å foreslå at jeg lagrer dokumentene jeg skriver i skytjenesten OneDrive. Jeg bad ikke om det, men det er egentlig ganske praktisk for meg, for da kan jeg hente ut dokumentet på en annen maskin når jeg trenger det. Det er også en sikrere løsning enn mange tror – det er langt mindre sannsynlig at Microsofts servere tar kveld enn at laptopen streiker, for å ta et litt banalt eksempel.

Denne overgangen til skytjenester skjer ikke bare hjemme hos meg – det er et av de store digitale utviklingstrekkene i verden. Stadig mer av lagringen, programvaren og ulike verktøy er tilgjengelig fra servere levert over nett, fleksibelt etter behov. Det er ofte en effektiv og smart løsning. Blant annet er det derfor Googles, Amazons, Microsofts løsninger har blitt så populære. Skytjeneste-delen av Amazon (Amazon Web Services) står nå for 62 prosent av selskapets driftsinntekter. Dette er big business!

I likhet med Nasjonal Sikkerhetsmyndighet er jeg bekymret for den samlede nasjonale avhengigheten av utenlandske skyleverandører

Også for offentlig sektor skjer en rivende utvikling i retning av skybaserte løsninger. I et innlegg i Bergens Tidende 31. januar problematiserte jeg at regjeringen i sin skystrategi i praksis utelukkende baserer overgangen til skytjenester i offentlig sektor på innkjøp av pakkeløsninger i markedet – i praksis fra de nevnte amerikanske selskapene.

I likhet med Nasjonal Sikkerhetsmyndighet er jeg bekymret for den samlede nasjonale avhengigheten av utenlandske skyleverandører, og særlig for IKT-systemer som er viktige for vår nasjonale beredskapsevne. Det er viktig at vi har servere i Norge for skytjenester, og dessuten mener jeg vi bør ha skytjenester eid av det offentlige, for å unngå problemstillinger knyttet til utlevering av data til andre land – slik juridiske eksperter har vært bekymret for. Dette er veldig kortfattet de viktigste grunnene til at jeg har tatt til orde for å gjøre som flere andre land, og etablere en egen skytjeneste for forvaltningen, eid av staten – en StatSky.

Kjetil Thorvik Brun i Abelia – NHOs forening for kunnskaps- og teknologibedrifter – svarer på mitt innlegg i en kommentar på abelia.no. Han reiser flere spørsmål som fortjener svar.

Sensitive data og applikasjoner – dersom de skal tilbys som en skytjeneste – bør tilbys gjennom en skytjeneste eid av staten

Hvis en statlig skytjeneste etableres, hvilke typer data, tjenester og verktøy er det denne skal tilby? Et godt spørsmål. Min motivasjon har hele veien vært IKT-sikkerhet, hvor prioriteten må være at sensitive data og applikasjoner – dersom de skal tilbys som en skytjeneste – bør tilbys gjennom en skytjeneste eid av staten, på servere i Norge. For eksempel kunne man la seg inspirere av den franske skystrategien og dele inn i ulike «nivåer» av behov. Øverst ligger det som er naturlig å kjøre på statens eget system, mens det for andre behov vil være helt greit å kjøpe inn skytjenester i markedet, men at det stilles særlige krav, for eksempel til at de skal lagres på servere i Norge. For andre behov igjen kan man se for seg at dette kravet ikke er nødvendig, men at det likevel er fornuftig å bygge opp bedre innkjøpskompetanse på statlig nivå, for å sørge for gode innkjøp som både er trygge og tilpasset behovene i den enkelte etat.

Hvordan miksen mellom offentlig og privat i dette bildet skal se ut er også et interessant spørsmål

I Tyskland har man etablert en «Bundescloud» som klart dekker mer enn det mest sensitive, som heller dekker en bredde av behov for skytjenester for forvaltningen. Begrunnelsen for etableringen er heller ikke bare sikkerhet og digital autonomi, men også at det offentlige skal kunne være fleksibel i møte med nye utviklingstrekk, at man skal være en attraktiv arbeidsplass for de flinkeste IT-folkene, samt at man skal spare penger. Det er antakelig fornuftig å bruke en statlig skytjeneste til mer enn et minimum, fordi kapitalkostnadene først og fremst kommer up front, mens kostnadene ved å bredde ut til flere bruksområder er mindre. Dessuten er konsolidering og samling av IKT-systemer i det offentlige i seg selv kostnadsbesparende. Generaldirektør i direktoratet Statens servicesenter i Sverige mener den svenske staten kan spare 850 millioner svenske kroner hvert år på å etablere en statlig skytjeneste som det offentliges bruk konsolideres til.

Regjeringens linje for det offentlige er å oppfordre til å prioritere innkjøp fra de private tilbyderne, motsatt av den tyske tilnærmingen

Hvordan miksen mellom offentlig og privat i dette bildet skal se ut er også et interessant spørsmål. Som Thorvik Brun korrekt påpeker, er heller ikke Bundescloud, som er det mest omfattende skyinitiativet fra en stats offentlige sektor jeg kjenner til, et gjennom-offentlig prosjekt. De fysiske serverne er eid av staten, og programvaren er eid av staten. Imidlertid har utvikling, vedlikehold, support og videreutvikling av programvare blitt satt ut på et anbud som ble vunnet av selskapet NextCloud. Med begrunnelsene over har Tyskland valgt et «privat bare hvis ikke staten kan levere»-prinsipp, men man kan i og for seg se for seg ulike blandingsforhold. Sourcingstrategien til Meteorologisk institutt i Norge er for eksempel bygd på en hovedlinje om at man skal ta i bruk og utvikle egne IKT-ressurser knyttet til kjernevirksomheter, men kjøpe tjenester i markedet når det er kostnadseffektivt, når det finnes et modent marked med flere tilbydere. Regjeringens linje for det offentlige som helhet er å oppfordre til å prioritere innkjøp fra de private tilbyderne, motsatt av den tyske tilnærmingen.

Et prinsipp i anbudet innen den tyske Bundescloud-modellen, er at programvaren skal være åpen kildekode. Da unngår man en viktig utfordring også den nevnte sourcingstrategien til Meteorologisk institutt i Norge tar opp: Man skal forsøke å unngå å gjøre seg kritisk avhengig av enkeltleverandører. Åpen kildekode er en klok tilnærming i så måte.

Hvis vi tar et steg tilbake og spør: Hvordan får vi til en kostnadseffektiv overgang til skytjenester i offentlig sektor som samtidig ivaretar hensyn til IKT-sikkerhet og digital suverenitet, ja, så mener jeg en statlig skytjeneste er et sobert forslag.

Flere europeiske land har ulike initiativer innen skytjenester, og det finnes også potensiale for samarbeid og koordinering av ressurser på europeisk nivå. Mellom land i Europa eksisterer ikke de samme utfordringene knyttet til utlevering av data, for eksempel – fordi man i vesentlig grad har felles regelverk. Norge er også omfattet av dette gjennom EØS. Thorvik Brun nevner Gaia X, et viktig og spennende initiativ med hensikt å bygge et felleseuropeisk data-økosystem. Hvor store er egentlig motsetningen mellom et slikt initiativ på EU-nivå og en statlig sky som Bundescloud? Det bør være tilstrekkelig å peke på at den tyske regjeringen har store ambisjoner på vegne av både Gaia X og Bundescloud – samtidig.

Hvis vi tar et steg tilbake og spør: Hvordan får vi til en kostnadseffektiv overgang til skytjenester i offentlig sektor som samtidig ivaretar hensyn til IKT-sikkerhet og digital suverenitet, ja, så mener jeg en statlig skytjeneste er et sobert forslag.