Rapporter
Faktorer for nasjonal kontroll av IKT-tjenester
Det finnes ulike faktorer som påvirker graden av nasjonal kontroll av tjenester for Norge.
Viktige faktorer for nasjonal kontroll:
- Plassering av datasenter
- Plassering av personell for drift og støtte (support) av programvare og maskinvare
- Nødvendig beredskap for både fredstid, krise og væpnet konflikt
- Kontroll på eierskap og nasjonalitet i alle ledd av leverandørkjedene
- Tillit til programvare og maskinvare (IKT-produkter)
- Tilstrekkelig sikkerhetsskille mellom ulike kunder på samme infrastruktur
Faktorene er relevante enten man drifter selv eller om man tjenesteutsetter, og drøftes nærmere i avsnittene under.
Merk at slike faktorer for nasjonal kontroll har mindre effekt hvis man likevel ikke har god IKT-sikkerhet. Derfor bør alle aktivt benytte et sikkerhetsrammeverk som NSMs grunnprinsipper for IKT-sikkerhet, ISO/IEC 27000-serien eller lignende. Dette gjelder både egen IKT-infrastruktur og ved tjenestekjøp. IKT-arkitekturen bør følge moderne prinsipper som beskrevet i NSMs innspill til stortingsmeldingen om digital grunnmur (2021) og nevnte grunnprinsipper.
3.1 Plassering av datasenter
Et datasenter består av et eller flere datarom som leverer strøm, kjøling, dataforbindelse og fysisk sikring til datamaskiner (servere) og nettverksutstyr. Datamaskinene og nettverksutstyret, sammen med en del annet utstyr, produserer selve datatjenestene. Datasentre kan være små og store, noen produserer tjenester for mange kunder (herunder skytjenester), mens andre produserer tjenester utelukkende for en enkelt virksomhet. Datasentre kan være plassert i Norge og i utlandet.
Mange norske tjenester benytter datasentre i utlandet. Ofte er dette uproblematisk, men dersom det er et behov eller krav om nasjonal kontroll i forhold til tilgjengelighet, integritet og konfidensialitet på en tjeneste, så er dette ikke mulig å oppnå dersom tjenesten produseres i et datasenter utenfor Norge.
Risikoreduserende tiltak
- Generelt bør tjenester som har behov for nasjonal kontroll benytte datasentre i Norge. NSM har skrevet noen anbefalinger i en egen temarapport om norske datasentre og digital autonomi.
3.2 Plassering av personell for drift og støtte (support)
Drift
Selv om et datasenter befinner seg i Norge, kan programvaren og maskinvaren som kjører/plasseres i datasenteret være driftet fra utlandet.
Eksempler på drift kan være: sikkerhetskopiering, installasjon, avinstallasjon, oppdatering, konfigurasjon, tilgangsstyring, brukeradministrasjon, nettverksdrift, systemovervåkning, hendelseshåndtering, avhending, mm.
Drift omfatter både maskinvare og programvare. For å forstå hva slags maskinvare og programvare det siktes til, se lister lenger ned i kapittelet under punkt 3.5 om tillit til programvare og maskinvare.
Drift vil innebære stor grad av automatisering, men driftspersonell vil likevel ha tilgang.
Det er generelt teknisk mulig for driftspersonell å lese data, endre data, opprette ny data, slette data eller stoppe tjenesten hvis et annet lands myndighet skulle beordre dem til det. Driftspersonell utenfor Norge er underlagt sitt lands lovgivning, ikke norsk lovgivning. Disse kan aksessere norsk data hvis de pålegges det (hverken tilgangskontroll eller kryptering med egne nøkler hjelper mot slik beordret aksess, se kapittel sist i rapporten). Eksempelvis vil ofte det nederste programvarelaget, infrastrukturlaget (bl.a. virtualiserings-programvaren) som regel driftes fra utlandet.
Hvis deler av driften utføres fra utlandet, har man ikke reel teknisk nasjonal kontroll over tjenesten eller data.
Støtte (support)
Begrepet «brukerstøtte» er mest kjent som hjelp til sluttbrukere, mens «support» eller generell «støtte» er et bredere begrep som bl.a. også omfatter støtte til de som drifter systemet.
Personell som utfører støtte og har adgang til tjenesten kan ha 1) leserrettigheter til data, 2) skriverettigheter til data og 3) systemrettigheter (administrative eller privilegerte rettigheter). Sistnevnte er i praksis rettighetsmessig tilsvarende som systemdrift, selv om mange selskaper omtaler slikt som støtte. Merk at da er det først og fremst støtte til kundens driftspersonell.
Det er ofte krevende å finne nok personell i Norge for slike oppgaver. I tillegg er det ofte billigere å kjøpe slike tjenester fra utland.
Risikoreduserende tiltak
- Hvis man trenger nasjonal kontroll av en IKT-tjeneste så må drift av alle lag utføres av personell som arbeider i Norge. Det er ikke tilstrekkelig at maskinene står i Norge. Også brukerdatabaser bør plasseres i og driftes fra Norge.
- All støtte som innebærer les-, skriv- eller systemrettighet bør utføres av personell som er plassert i Norge. Dersom dette ikke er mulig, er systemrettigheter viktigere enn skriverettigheter, som er viktigere enn leserettigheter. Hvis ikke støtte kan utføres i Norge, vurder hvilke land som gir minst risiko, se punkt 2.2 i kapittelet om nasjonal kontroll. Påse at tilstrekkelig logging utføres, og at i alle fall logging er under nasjonal kontroll. Som minimum bør uansett støtte med systemrettigheter utføres fra Norge.
Se kapittel 4 om ytterligere informasjon for mer utfyllende om støtte.
Merk at det ikke nødvendigvis er et problem at IKT-tjenesten brukes fra en datamaskin eller mobiltelefon (klient) som er utenfor Norge. Tilstrekkelig IKT-sikkerhet er en forutsetning, slik at tjenesten ikke kan hackes på grunn av en for dårlig sikret klient.
3.3 Nødvendig beredskap for fred, kriser og væpnet konflikt
Mange av dagens IKT-kjøp baserer seg på en antagelse om at en normaltilstand alltid vedvarer. Noen virksomheter bør vurdere beredskapstiltak for å beskytte IKT-systemer mot enkelte uvanlige/dramatiske hendelser. Alle slike hendelser kan ramme Norge både indirekte eller mer direkte. Noen eksempler på slike hendelser kan være:
- Menneskelige eller teknisk svikt: Alvorlige hendelser behøver ikke være villede, men komme som resultat av menneskelige eller tekniske feil som i noen tilfeller kan ende opp med å ramme kundene. Det kan gjelde både telekominfrastrukturen og skytjenester. Eksempelvis stoppet en skytjeneste opp i februar 2023 (ekstern lenke) som rammet et stort antall kunder i mange land. Heldigvis ble dette løst etter ca. 1-2 døgn. Ved fremtidige globale tjenesteutfall er det ikke nødvendigvis slik at norske kunder vil bli prioritert.
- Naturkatastrofer: Orkaner, flommer, tørke, mm. kan påvirke elektrisitetsforsyning, datasentre eller telekominfrastruktur. Klimaendringer kan øke hyppighet av slike hendelser.
- Sabotasje: internasjonal og nasjonal telekominfrastruktur kan for eksempel bli ødelagt (eller avlest). Norges og Sveriges plassering på en halvøy er en utfordring, da alle internasjonale dataforbindelser må via havbunnen eller broer. Satellittforbindelser kan være et supplement, men kan ha begrenset kapasitet og kan også introdusere andre sårbarheter.
- Overbelastninger kan føre til at norske virksomheter blir nedprioritert i forhold til virksomheter i andre land.
- Væpnet konflikt i eller i nærheten av Norge. I verste fall kan Norge bli helt eller delvis okkupert. I dag er det liten fare for slikt, men kan oppstå i et lengre perspektiv.
- Sanksjoner: Akkurat som mat og energi, kan også IKT-tjenester bli brukt som et politisk virkemiddel mot et land, eksempelvis suspenderte Microsoft nye salg i Russland i 2022 (ekstern lenke). Slike avhengigheter kan benyttes for å redusere Norges handlefrihet i en krise eller en væpnet konflikt. Sanksjoner (eller trusler om sanksjoner) kan også forekomme i fredstid, som da Norge ble truet med sanksjoner på grunn av hvaljakt 1993 (ekstern lenke).
Noen eksempler på mulige konsekvenser:
- Tjenesten man er avhengig av blir utilgjengelig. Det kan bli alvorlig hvis dette rammer sektorer som kraftproduksjon, helse, telekom, politi, finans, forsvar, mm.
- Man kan ikke logge inn på sine maskiner og tjenester på grunn av at identitetstjenester (Identity-as-a-service) blir utilgjengelige.
- Norske folkevalgte politikere kan miste handlefrihet i utøvelse av sin politikk. Det vil si at de får færre valgmuligheter når de skal velge Norges kurs i for eksempel en krise.
- Norske virksomheter kan miste råderetten på egne eller andres data.
- Data og tjenester kan bli lest og misbrukt av annen stat ved militær overtagelse av et norsk datasenter. Enkelte bør derfor etablere evnen til raskt å slette visse data i visse datasentre.
- Data og tjenester kan gå permanent tapt ved helt eller delvis militær okkupasjon av Norge. Enkelte bør derfor etablere evne til raskt å flytte data og tjenester til alternative lokasjoner i Norge, norsk territorium utenfor fastlands-Norge eller lokasjoner i utlandet. Merk at dette kan gjøres på flere måter uten å miste nasjonal kontroll over tjenesten, det er ikke nødvendig å bruke utenlandske selskaper.
Disse eksemplene kan virke lite sannsynlig i dag. Imidlertid vil det oppstå endringer i den internasjonale sikkerhetspolitiske situasjon over tid. Utfordringen er å forutse hva disse endringene kan innebære, og hvor alvorlige de blir. Norske IKT-kjøp bør ikke baseres på forutsetninger om at slike scenarier aldri kan forekomme og at dagens internasjonale orden vil være uendret over IKT-systemenes levetid.
Risikoreduserende tiltak
- Noen virksomheter bør etablere beredskapsplaner for IKT for hele krisespekteret, bruk gjerne scenarieeksemplene over. For å planlegge slikt må man vurdere de ulike typer data og tjenester og deres beskyttelsesbehov.
3.4 Kontroll på eierskap og nasjonalitet i alle ledd
Eierskap og nasjonalitet ifm. IKT-tjenester kan gjelde blant annet:
- Eiere av skytjenesteleverandøren
- Eiere av underleverandører til skytjenesteleverandøren
- Eiere av selskaper eller underleverandører som utvikler eller distribuerer programvare og maskinvare (se liste under punkt 3.5 i dette kapittelet)
- Eiere av for eksempel serverne i et datasenter
- Eiere av datasentre. I tillegg bør man vurdere eiere av underleverandører som vaktselskapet, elektrikere, og andre entreprenører/underleverandører.
Slike eiere kan være underlagt andre lands lover. Når hele eller deler av verdikjeden er underlagt andre lands lovverk har man en situasjon hvor norsk regelverk kan bli «satt til side». Norske myndigheter har da mistet deler av sin myndighetsutøvelse, for eksempel det å verne om innbyggernes interesser. Man får en situasjon hvor norske og andre lands lover og interesser kommer i motsetning til hverandre.
Eierskap kompliseres av oppkjøp slik at eierskap og eieres nasjonale tilknytning endres. Eierskap består også av komplekse verdikjeder av ulike tjenester og «undertjenester» som en hovedleverandør bygger inn i sin tjeneste, men som kunden ofte ikke er oppmerksom på.
Denne tematikken drøftes delvis i stortingsmelding 9 (2022-2023) - Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet (ekstern lenke).
Risikoreduserende tiltak
Det kan være vanskelig for kunder å få oversikt over eierforhold. Noen sikkerhetsmessige kompromisser med hensyn til eierskap må man nok leve med.
- Kartlegg leverandørkjedene til de ulike produktene og tjenestene som skal benyttes, i den grad det er mulig og hensiktsmessig.
- Vurder hvilke land som gir minst risiko, ref. punkt 2.2 i kapittelet om nasjonal kontroll. Det kan hjelpe i de tilfellene leverandørenes opprinnelsesland og nasjonale tilknytning er oversiktlig.
- Det kan være mange ulike eiere i et selskap. Det mest praktiske er ofte å ta utgangspunkt i plasseringen til hovedkontoret.
3.5 Tillit til programvare og maskinvare (IKT-produkter)
Følgende er eksempler på programvare brukt i moderne IKT-tjenester: virtualisering-plattformer, verktøy for plattform-orkestrering, operativsystemer, kontainer-plattformer, database-plattformer, verktøy for systemovervåkning, verktøy for håndtering av brukere og rettigheter samt andre driftsverktøy. Disse produktene består av kode/algoritmer.
Følgende er eksempler på maskinvare brukt i moderne IKT-tjenester: serverskap, servere, lagringssystemer, nettverksutstyr, kabler, mm. Disse produktene inneholder blant annet kretslogikk, mikrokode, UEFI-kode, radiosendere, mm.
Overnevnte programvare og maskinvare benyttes både i systemene til store skytjenesteleverandører, andre tjeneste-leverandører og i vanlige IT-avdelinger.
Programvare og maskinvare omtales videre samlet som IKT-produkter.
Nesten ingen av disse IKT-produktene har norsk opprinnelse. Det er ikke realistisk at Norge kan bli selvforsynt med slike produkter.
Med tillit til IKT-produkter så menes det at i) man bør ha en trygghet i at det ikke er skjult funksjonalitet i produktene som kan misbrukes og som kan skade norske interesser. Det er også viktig å ha tillit til at ii) produktene blir støttet og videreutviklet mht. til å lukke sårbarheter, og at reservedeler er tilgjengelige. Til slutt iii) så må en kunde ha en tillit til at algoritmer produserer rett svar uten bias mm. slik at man tar avgjørelser basert på korrekt grunnlag.
IKT-produkter og IKT-tjenester kan ha det som kalles bakdører. Som alle andre stater må også norske myndigheter ta slike muligheter med i betraktning. Se kapittelet om ytterligere informasjon for nærmere forklaring på hva som menes med bakdører.
Risikoreduserende tiltak
Tilliten til IKT-produkter kan være vanskelig for kunder å ha oversikt over. Deres opphav likeså. Man kan ikke regne med å oppnå 100% tillit til IKT-produkter.
- Noen sikkerhetsmessige kompromisser må man leve med. Vurder hvilke land som gir minst risiko, se punkt 2.2 i kapittelet om nasjonal kontroll.
- Som et minimum kan det være en realistisk målsetning å unngå kundespesifikke bakdører. For maskinvare kan det da være hensiktsmessig å blant annet være diskret med å opplyse distributør/leverandør om bruken og formålet når man bestiller et produkt. Og ikke la produktet bli stående for lenge på distributørs og eget lager (potensielt ubevoktet) før det tas i bruk. For programvare (inkludert oppdateringer) kan det også være hensiktsmessig å være diskret mht. bruken av programvaren. Ytterlig forbedret tillit kan oppnås hvis det kan etablere felles krav til leverandører og distributører. Det kan være krevende uten et koordinert samarbeide på nasjonalt, nordisk eller europeisk nivå.
3.6 Tilstrekkelig sikkerhetsskille mellom ulike kunder
Dagens skytjenester leveres som regel fra fysiske servere og lagringsmedier som deles mellom mange ulike kunder fra ulike sektorer/bransjer, slik bruk av delte ressurser kalles gjerne «flerbruk» eller «multitenancy». Også virtuelle nett kan bli delt mellom ulike kunder.
Alle IKT-produkter (både maskinvare og programvare) har sårbarheter. Noen sårbarheter er kjente mens andre ikke er oppdaget eller offentliggjort enda. Noen av sårbarhetene kan svekke skillet mellom ulike kunders tjenester og data. Noen momenter her:
- Ulike kunder kan ha ulik nasjonalitet. Ved alvorlige sårbarheter kan det bli utført angrep fra en kunde til en annen kunde. Da kan den nasjonale kontrollen svekkes.
- Ulike kunder av samme nasjonalitet kan ha svært ulik risikovillighet med ulik IKT-sikkerhet. Kunder som er mindre nøye mht. IKT-sikkerhet kan bli hacket og kan da bli en trussel mot både leverandøren eller mot de kundene som er mer opptatt av sikkerhet.
- På sektor/bransje-nivå vil for eksempel sannsynligvis kunder i offentlig sektor eller i finansbransjen ikke ønske å dele kritiske ressurser med kunder i bransjer som er mindre opptatt av sikkerhet. Det er sannsynligvis større forskjeller på ønsket risikoeksponering mellom ulike sektorer/bransjer.
Risikoreduserende tiltak
- Undersøk om en leverandør har et tilfredsstillende sikkerhetsskille mellom de ulike kundene. Finn ut hvordan ressurser som nettverk, server, lagring, brukerhåndtering mm. fungerer på tvers av kundene.
- Grupper av kunder kan gå sammen og bestille egne, dedikerte fysiske ressurser fra en tjenesteleverandør. Det kan for eksempel være et samarbeid mellom flere virksomheter i offentlig sektor. For private selskaper kan koordinering utført av bransjeforeninger være en god tilnærming.
3.7 Andre faktorer
Det finnes andre faktorer som også er relevant når man vurderer grad av nasjonal kontroll. Samtidig så er det er ikke nødvendigvis slik at alle faktorene som er nevnt er like relevant i alle scenarier og for alle virksomheter. Faktorene som er nevnt er en slags fellesnevner som kan være relevante for de fleste.