1.1    Oppsummering

Denne temarapporten beskriver faktorer som kan skape internasjonale avhengigheter i forbindelse med IKT-tjenester. Det drøftes hvordan slike avhengigheter kan forstås for så å oppnå bedre nasjonal kontroll på en IKT-tjeneste. Tematikken er relevant for virksomheter som drifter en tjeneste helt selv, eller når den helt eller delvis tjenesteutsettes til leverandør i Norge eller utland.

Slike avhengigheter kan bestå av flere faktorer, eksempelvis 1) geografisk plassering av datasenter, 2) geografisk plassering av personell som drifter og støtter de ulike delene av systemene og 3) eierskap i verdikjedene. Det kan også være viktig å forstå avhengigheter i forbindelse med 4) krisespekteret (fred, krise, væpnet konflikt). 

1.2    Bakgrunn

NSM får stadig spørsmål fra norske virksomheter om bruk av utenlandske skytjenester. Mange lurer på hvilke råd NSM og andre myndigheter har. Denne rapporten søker å konkretisere dette gjennom faktorer som kan være relevante å vurdere. Det kan være hensiktsmessig at både kunder og leverandører har en klar forståelse av faktorer som er relevante ved vurdering av nasjonal kontroll.

Regjeringen mener det er viktig å «å ivareta Norges suverenitet, territorielle integritet og politiske handlefrihet. Målet sikres gjennom et bredt sett av politiske, militære, folkerettslige, diplomatiske, teknologiske og økonomiske virkemidler» (Kilde: regjeringen.no). NSM er bekymret for at suverenitet og politisk handlefrihet kan bli utfordret dersom norske virksomheter ikke forbedrer den nasjonale kontrollen av viktige norske IKT-tjenester.

Det er en del misforståelser knyttet til bruk av skytjenester. Det kan være mange fordeler med bruk av utenlandske skytjenester, men samtidig kan slik bruk være vanskelig å forene med behovet for nasjonal kontroll. Flere misforståelser er nevnt i kapittel 4.1 - ytterligere informasjon.

For å oppnå nasjonal kontroll tror en del virksomheter at det er tilstrekkelig at serveren, med sin tjeneste, er plassert i Norge og at virksomheten selv står for applikasjonsdrift. De glemmer imidlertid ofte at plattformlagene «under» applikasjonen ofte driftes fra flere andre land. Tilsvarende gjelder for eksempel brukerdatabasene (inneholder brukerkontoer for sluttbrukere samt for de som drifter systemet). Virksomheter og personell som drifter disse underliggende lagene har teknisk tilgang til data og har teknisk kontroll på tjenesten selv om serveren er plassert i Norge - uansett valg av kryptering (forklart nærmere i kapittel 4 om ytterligere informasjon). Mange virksomheter i både offentlig og privat sektor har misforstått dette og tror deres tjeneste er under norsk teknisk kontroll.

Ta hensyn til krisespekteret. Norge er avhengig av en del tjenester og systemer gjennom hele krisespekteret (fred, krise, væpnet konflikt). Hvis slike tjenester helt eller delvis leveres fra utlandet, eller helt eller delvis driftes fra utlandet, er tjenesten utenfor norsk kontroll. Da kan vi som samfunn være sårbare.

Andre europeiske land har tilsvarende bekymringer. Flere land har etablert, eller er i ferd med å etablere, egne nasjonale skytjenester. Utfordringer med å få IKT-tjenester under nasjonal kontroll er ikke en særnorsk problemstilling og blir fremhevet både internt i andre land og i europeisk sammenheng (kilde: EU-parlamentet).

1.3    Avgrensing

Rapporten presenterer noen av de viktigste faktorene som gjelder internasjonale avhengigheter for norske virksomheters IKT-tjenester (egne og kjøpte). Vi fokuserer også på IKT-produkter (maskinvare og programvare) der disse benyttes til å bygge opp slike IKT-tjenester. 

Tematikken kan være relevant for alle IKT-tjenester som benyttes i Norge, enten de leveres av en utenlandsk leverandør, norsk leverandør eller av virksomheten selv. 
Rapporten har en generell tilnærming og går ikke nærmere inn på hvilke typer tjenester og data som bør være under nasjonal kontroll. 

Rapporten søker å være uavhengig av spesifikke lover. Den offentlige debatten rundt bruk av utenlandske skytjenester har hovedsakelig fokusert på personvernlovgivning, men tematikken kan også være relevant i forhold til andre regelverk. Rapporten unngår å knytte tematikken til et bestemt regelverk, men peker generelt på en rekke internasjonale avhengigheter for IKT-tjenester. 

Rapporten søker å være mest mulig uavhengig av utviklingen innen teknologi, lovgivning og internasjonal politikk. Rapporten bør leses uten at man kobler den for mye til dagens teknologi, dagens lovgivning og dagens internasjonale sikkerhetspolitiske situasjon. Rapporten søker å ta hensyn til at fremtiden alltid er uviss, og at enkelte av Norges mer prinsipielle valg rundt IKT-tjenester bør være robuste i et langsiktig perspektiv. 

1.4    Målgruppe

Alle virksomheter kan ha nytte av denne rapporten. Den kan bidra til bevisstgjøring om avhengigheter utenfor Norge ved valg av IKT-tjenester og IKT-produkter. 

Rapporten har et teknologifokus, men også ikke-teknologer vil ha nytte av den.