Norge i den digitale skyen – En beredskapsmessig tåkeheim?
Om noen år er skillet mellom det lokale datarommet og bruk av skytjenester visket ut. Skytjenester vil bli synonymt med IKT. Bruk av skytjenester kan bære med seg mange fordeler for en virksomhet, men ofte er det reduserte kostnader som er hovedargumentet for å ta det i bruk. Samtidig erfarer vi at stadig flere virksomheter tar i bruk skytjenester fordi det gir tilgang til mer innovasjon og sikrere tjenester enn de selv kan levere.
av Lars Strand, seniorrådgiver NSM
Økt bruk av skytjenester innebærer noen nye utfordringer, som virksomheten må være klar over. De færreste skytjenesteleverandører har infrastruktur på norsk jord. Selv med infrastruktur på norsk jord vil hele eller deler av skyinfrastrukturen fortsatt bli driftet fra utlandet. Dermed får vi en avhengighet til landet hvor infrastrukturen er plassert og driftet. Dine systemer og data blir plassert under et annet lands jurisdiksjon, og det kan være grunn til å undersøke om det er politisk stabilitet i landet. Respekteres lov og orden der? Er det mye korrupsjon? For å få kontakt med skytjenesten er du avhengig av at Internettlinjene fungerer gjennom en rekke transittland, også under kriser.
For de fleste norske virksomheter er bruk av utenlandske skytjenester en akseptabel risiko. Fordelen veier klart opp ulempene. Men for nasjonen Norge er det ikke sikkert det er så smart. Norge har viktige kritiske samfunnsfunksjoner som må fungere, også i en krise. Vi snakker om «krisespennet», det vil si «i fred, krise og krig». Så lenge vi er i nedre del av krisespennet fungerer det meste, men ved en større internasjonal hendelse, en større alvorlig internasjonal krise eller i verste fall krig – hva da? Vil våre skytjenester fortsatt fungere eller blir nettverk stengt og ressursene omprioritert hos skytjenesteleverandørene?
NSM er bekymret for den totale nasjonale avhengigheten til bruken av utenlandske skytjenesteleverandører av to årsaker. Den første er i hvilken grad virksomheten selv gjør gode og riktige vurderinger før de velger å tjenesteutsette. Her har NSM og andre kommet med gode råd og anbefalinger for hva som bør tenkes på før man velger å tjenesteutsette til skyen. Men selv om alle virksomheter følger våre råd og anbefalinger og gjør de riktige vurderinger, så vil mange virksomheter kjøpe skytjenester fra en håndfull store utenlandske private selskaper. Dette bringer oss til den andre årsaken.
NSM er bekymret for at skyadopsjonen over tid resulterer i at flertallet av IKT-tjenestene til norske offentlige og private virksomheter leveres og driftes fra utlandet. Utenlandske skytjenesteleverandører bærer i dag viktige norske samfunnsfunksjoner. Det snakkes om at de blir «too big to fail» og medfører en betydelig konsentrasjonsrisiko. Disse leverandørene har blitt så store i kraft av økonomisk styrke og påvirkning at de er en ny type aktører som nasjonalstatene er nødt til å forholde seg til. Det skaper en ekstra sårbarhetsdimensjon som må håndteres og planlegges for. Både teknisk, politisk og juridisk.
Noen IKT-systemer er så kritiske for samfunnet at de må fungere i hele krisespennet. Dette kan bety at det må stilles mye større krav til robusthet og tilgjengelighet enn det som kan tilbys i vanlige kommersielle skytjenester. Hvilke kritiske samfunnsfunksjoner, om noen, kan settes ut til skyen? Ved en eskalering i krisespennet, må vi ha beredskapsplanene klare til å flytte samfunnskritiske tjenester raskt hjem. Dette gjelder også hvis du er en virksomhet. Tenk igjennom hvor du har din backup, og hvilke muligheter du har for å flytte tjenestene din virksomhet er avhengig av til en annen skytjenesteleverandør eller i ytterste konsekvens hjem til Norge hvis uroen blir for stor.
En av statens viktigste oppgaver er å beskytte og ta våre på sine innbyggere - i hele krisespennet. Hvis vi velger å legge vår nasjonale kritiske infrastruktur og våre nasjonale digitale verdier ut i store internasjonale skytjenester, må vi være bevisst hvilken risiko vi løper. Om disse da er trygge og tilgjengelige i hele krisespennet, er høyst usikkert. Dette er blant problemstillingene du kan lese mer om i årets Helhetlig digitalt risikobilde som kommer senere i september.