Om noen år er skillet mellom det lokale datarommet og bruk av skytjenester visket ut. Skytjenester vil bli synonymt med IKT.
Bruk av skytjenester kan bære med seg mange fordeler for en
virksomhet, men ofte er det reduserte kostnader som er hovedargumentet
for å ta det i bruk. Samtidig erfarer vi at stadig flere virksomheter
tar i bruk skytjenester fordi det gir tilgang til mer innovasjon og
sikrere tjenester enn de selv kan levere.
Økt bruk
av skytjenester innebærer noen nye utfordringer som virksomheten må
være klar over. De færreste skytjenesteleverandører har infrastruktur på
norsk jord. Selv med infrastruktur på norsk jord vil hele eller deler
av skyinfrastrukturen fortsatt bli driftet fra utlandet. Dermed får vi
en avhengighet til landet hvor infrastrukturen er plassert og driftet.
Dine systemer og data blir plassert under et annet lands jurisdiksjon,
og det kan være grunn til å undersøke om det er politisk stabilitet i
landet. Respekteres lov og orden der? Er det mye korrupsjon? For å få
kontakt med skytjenesten er du avhengig av at Internettlinjene fungerer
gjennom en rekke transittland, også under kriser.
For de fleste norske virksomheter er bruk av utenlandske skytjenester en akseptabel risiko. Fordelen veier klart opp ulempene. Men for nasjonen Norge er det ikke sikkert det er så smart. Norge har viktige kritiske samfunnsfunksjoner som må fungere, også i en krise. Vi snakker om «krisespennet», det vil si «i fred, krise og krig». Så lenge vi er i nedre del av krisespennet fungerer det meste, men ved en større internasjonal hendelse, en større alvorlig internasjonal krise eller i verste fall krig – hva da? Vil våre skytjenester fortsatt fungere eller blir nettverk stengt og ressursene omprioritert hos skytjenesteleverandørene?
Lars Strand
Seniorrådgiver i Nasjonal sikkerhetsmyndighet (NSM)
Grunn til bekymring
NSM er bekymret for den totale nasjonale avhengigheten til bruken av utenlandske skytjenesteleverandører av to årsaker. Den første er i hvilken grad virksomheten selv gjør gode og riktige vurderinger før de velger å tjenesteutsette. Her har NSM og andre kommet med gode råd og anbefalinger for hva som bør tenkes på før man velger å tjenesteutsette til skyen. Men selv om alle virksomheter følger våre råd og anbefalinger, og gjør de riktige vurderingene, så vil mange virksomheter kjøpe skytjenester fra en håndfull store utenlandske private selskaper. Dette bringer oss til den andre årsaken.
NSM er bekymret for at skyadopsjonen over tid resulterer i at flertallet av IKT-tjenestene til norske offentlige og private virksomheter leveres og driftes fra utlandet. Utenlandske skytjenesteleverandører bærer i dag viktige norske samfunnsfunksjoner. Det snakkes om at de blir «too big to fail» og medfører en betydelig konsentrasjonsrisiko. Disse leverandørene har blitt så store i kraft av økonomisk styrke og påvirkning at de er en ny type aktører som nasjonalstatene er nødt til å forholde seg til. Det skaper en ekstra sårbarhetsdimensjon som må håndteres og planlegges for. Både teknisk, politisk og juridisk.
Nødt til å kjenne til risikoen
Noen IKT-systemer er så kritiske for samfunnet at de må fungere i hele krisespennet. Dette kan bety at det må stilles mye større krav til robusthet og tilgjengelighet enn det som kan tilbys i vanlige kommersielle skytjenester. Hvilke kritiske samfunnsfunksjoner, om noen, kan settes ut til skyen? Ved en eskalering i krisespennet, må vi ha beredskapsplanene klare til å flytte samfunnskritiske tjenester raskt hjem. Dette gjelder også hvis du er en virksomhet. Tenk igjennom hvor du har din backup, og hvilke muligheter du har for å flytte tjenestene din virksomhet er avhengig av til en annen skytjenesteleverandør eller i ytterste konsekvens hjem til Norge hvis uroen blir for stor.
En av statens viktigste oppgaver er å beskytte og ta våre på sine innbyggere – i hele krisespennet. Hvis vi velger å legge vår nasjonale kritiske infrastruktur og våre nasjonale digitale verdier ut i store internasjonale skytjenester, må vi være bevisst hvilken risiko vi løper. Om disse da er trygge og tilgjengelige i hele krisespennet, er høyst usikkert. Dette er blant problemstillingene du kan lese mer om i årets «Helhetlig digitalt risikobilde» som kommer i september.
Av Lars Strand, seniorrådgiver i NSM