Offentlige data bør ikke lagres hos Amazon eller Microsoft.

I Tyskland har Angela Merkels regjering sørget for at det finnes en «Bundescloud» for lagring av offentlige data. Norge bør få en statssky, mener Axel Fjeldavli. Foto: Peter Steffen, TT/NTB (arkiv)

Axel Fjeldavli Rådgiver i Tankesmien Agenda

En ny regjering må gi andre og bedre svar på styrking av beredskapen enn hva de borgerlige har levert. Beredskap har ikke blitt løftet høyt nok. Klimaendringene og en mer ustabil geopolitisk situasjon er to årsaker til at vi blir mer sårbare. Det er også den hurtige overgangen til nye digitale løsninger.

Riksrevisjonen har for eksempel nylig avdekket alvorlige sikkerhetshull hos Helse vest. I høst ble NHH rammet av et internasjonalt dataangrep. De siste årene har både Helse sør-øst, Nødnett og Stortinget vært rammet av store digitale kriser av ulike slag.

For offentlig sektor er et av de mest sentrale digitale utviklingstrekkene overgang til skytjenester, hvor blant annet lagring skjer over nettverk heller enn lokalt på egen maskin. Hvis vi skal styrke IKT-sikkerheten i offentlig sektor, bør sikrere skytjenester være ett av tiltakene.

Skytjenester har mange fordeler, men gjør oss også sårbare på nye måter. Nasjonal sikkerhetsmyndighet sier at den samlede avhengigheten av utenlandske skyleverandører er for stor. Vi har ikke tilstrekkelig nasjonal kontroll.

Tenker vi helt i ytterste konsekvens, blir det helt tydelig hvilken avgjørende betydning geografisk plassering av servere kan ha, skriver Axel Fjeldavli. Foto: Kaja Bruskeland / Elen Sonja Klouman

Et svar bør være å bygge opp egne skytjenester for offentlig sektor, slik de gjør i flere andre land. Regjeringens linje, senest slått fast i den ferske samfunnssikkerhetsmeldingen, er at alle skytjenester til det offentlige skal kjøpes inn i markedet – i praksis nesten utelukkende fra Microsoft og Amazon.

De store skyselskapene har profesjonelle sikkerhetsmiljøer med solid erfaring med å håndtere angrep og sikkerhetsbrudd. Likevel er det noen særlige ulemper med ukritisk bruk av disse selskapene for offentlig sektor. Basert på servere som typisk befinner seg i utlandet, vil data krysse andre lands avlyttingssystemer. Dessuten vil dataene være underlagt andre lands lovgivning.

Regjeringens linje er at alle skytjenester til det offentlige skal kjøpes – i praksis nesten utelukkende fra Microsoft og Amazon, skriver innsenderen. Han vil heller ha en statlig, norsk løsning. Foto: Illustrasjon: Shutterstock/BT

Det er slett ikke ønskelig at alle slags data fra offentlig sektor skal være tilgjengelig for fremmede etterretningstjenester. Vi kan heller ikke ettergå den fysiske sikkerheten med serverne om de ikke befinner seg i Norge.

Tenker vi helt i ytterste konsekvens – hva hvis krigen kommer? – blir det helt tydelig hvilken avgjørende betydning geografisk plassering av servere kan ha.

Flere av de store techselskapene bygger nå opp serverkapasitet i Norge som et svar. Det er bra. Men det svarer ikke på det faktum som Nasjonal sikkerhetsmyndighet peker på: Vi er i ferd med å blåse opp tech-gigantene til å bli så store maktfaktorer innen skytjenester, at det utgjør en strategisk sårbarhet.

I tillegg kan selskaper etablert med et separat norsk selskap bli tvunget til å utlevere data til morselskapets hjemland, noe blant annet en juridisk ekspertgruppe under den svenske digitaliseringsmyndigheten Esam har advart mot.

Solberg-regjeringen baserer seg ensidig på markedsløsninger for skytjenester. Norge burde bygge sine egne, mener Axel Fjeldavli. Foto: Terje Pedersen

Mens Solberg-regjeringen, i likhet med for eksempel Storbritannia, ensidig baserer seg på markedsløsninger for skytjenester, har andre land valgt annerledes. I Nederland finnes en egen «Rijkscloud» for offentlig sektor. I den franske skystrategien skal det bygges en egen, særlig sikker «Cloud interne» for det offentlige. I Tysklands «Bundescloud» er de fysiske høysikkerhetsserverne eid av staten, plassert flere steder i Tyskland.

Gjennom å stille krav i anbud om at programvaren er open source slipper man de problematiske innlåsingseffektene, hvor man binder seg til ett enkelt selskap sine løsninger over tid.

Vi burde lære av disse eksemplene, og bygge opp skytjenester på servere i Norge, eid av staten, hvor programvaren er open source. Sensitive data må bruke en slik intern offentlig skyløsning, fremfor å kjøpe dette inn. En vesentlig del av behovet for skytjenester i offentlig sektor vil falle i denne kategorien.

Statssky er en god idé. Det er slett ikke alle typer offentlige data vi bør lagre på servere hos Amazon eller Microsoft.