Rapporter
Behovet for nasjonal kontroll
For noen virksomheter bør bruk av skytjenester også vurderes opp mot nasjonal kontroll og krisespennet. Med krisespennet mener vi i fred, krise, konflikt og krig. Vil tjenesten kunne fungere i hele krisespennet? Må den fungere i hele krisespennet? Kan tjenesten/verdiene flyttes raskt «hjem» ved en eskalering? Samtidig kan bruk av skytjenester med backup i andre land medføre fortsatt tilgjengelighet ved utfall av IKT-systemer innenfor landets grenser. Bildet er sammensatt.
Noen virksomheter vil sikkert måtte vurdere behovet for nasjonal kontroll allerede i en lavere del av krisespennet, mens andre vil se det som viktig først ved en eskalering. Noen IKT-systemer er så kritiske for samfunnet at de må fungere i hele krisespennet. Dette kan bety at det for enkelte typer tjenesteutsetting må stilles større krav til robusthet og tilgjengelighet enn det som tilbys i vanlige kommersielle skytjenester.
NSM er bekymret for den samlede nasjonale avhengigheten av utenlandske skytjenesteleverandører. Den første bekymringsaksen er hvorvidt virksomheten selv gjør gode og riktige vurderinger før de velger å tjenesteutsette. Her har NSM og andre kommet med gode råd og anbefalinger.1 Selv om alle virksomheter følger våre råd og anbefalinger og gjør riktige vurderinger isolert sett, så vil mange virksomheter kjøpe skytjenester fra en håndfull store utenlandske private selskaper. De aller fleste av disse har ikke installasjoner på norsk jord og tilbyr sine tjenester fra utlandet. Selv ved etablering av datasentre på norsk jord vil utvikling og drift av disse ofte skje fra utlandet. 2
Den andre bekymringsaksen er at resultatet over tid kan bli at flertallet av IKT-tjenestene til norske offentlige og private virksomheter leveres fra utlandet. Utenlandske skytjenesteleverandører bærer alt i dag viktige norske samfunnsfunksjoner. Konsentrasjonsrisikoen dette medfører kalles gjerne «too big to fail». Disse leverandørene har blitt så store i kraft av økonomisk styrke, markedsmakt og påvirkningsevne at de utgjør en betydelig maktfaktor. Flere viktige og kritiske samfunnsfunksjoner må fungere i hele krisespennet. Hvis samfunnsfunksjonene er avhengige av IKT-systemer som kjører på en utenlandsk skytjenesteleverandør, skaper det en strategisk sårbarhet som det må håndteres og planlegges for - både teknisk, juridisk og politisk.
I takt med den økte digitaliseringen av samfunnet vil digital sikkerhet være vesentlig for å oppnå god stats- og samfunnssikkerhet. Ved å tjenesteutsette IKT-systemer som bærer kritiske samfunnsfunksjoner, eksempelvis i form av skytjenester, kan vi komme til å svekke vår nasjonale beredskapsevne. Virksomheter som benytter skytjenesteleverandører med datasentre i utlandet får dermed de fysiske installasjonene underlagt et annet lands jurisdiksjon. I tillegg vil kommunikasjonen til og fra datasentre kunne gå gjennom ett eller flere transittland. Ved eskalering i krisespennet kan det tenkes scenarioer hvor skytjeneleverandøren blir nødt til å omprioritere ressurser i henhold til vertslandets egne beslutninger, herunder nedprioritering av support og lagrings-/prosesserings-/nettverkskapasitet. Dette er realiteter som må hensyntas både i virksomhetens egen beredskapsplanlegging, men også i arbeidet med vår samlede nasjonale beredskap.
[1] Generelle råd for tjenesteutsetting og skytjenester: https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/generelle-rad-for-tjenesteutsetting-og-skytjenester/sky-tjenesteutsetting-og-sikkerhet/
[2] Landvurdering ved tjenesteutsetting av IKT-tjenester: https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/landvurdering-ved-tjenesteutsetting-av-ikt-tjenester