(Bilde: Simon D. Warren/Corbis/All Over Press)

Nettskyen: Monstre under senga?

Mange sover i timen, skriver IT-rådgiver Ole-Erik Thornquist.

Kronikkforfatteren har i flere år bistått Moss kommune i prosjektet med å flytte ut i nettskyen. Her redegjør han om hvilke forutsetninger som ligger til grunn.

DEBATT: Du har kanskje vært redd for monstre under senga selv? Eller du har forsøkt å forklare noen som er redd, at det er ingen fare? Da vet du at det eneste som fungerer er å skru på lyset og se nøye etter at det ikke er noen monstre under senga. Bare slik kan man vite. Dersom en har sjekket skikkelig, kan en sove trygt!

Med både marked og teknologi i konstant endring vokser mulighetsbildet, og enkelte ser risikobildet vokse i samme takt. IT og juridiske instanser jobber side om side, for å definere hva som er trygt å lagre hvor og hvorfor. Kundene på sin side ønsker en forståelse av hva «trygg» betyr for dem, når det i tabloidene snakkes om lekkasjer og usikker lagring. Med de økonomiske gevinstene og mulighetene skytjenestene bringer med seg, er dette en mulighet offentlig sektor ikke har råd til å se bort fra i sine vurderinger. Det skal de heller ikke behøve. Temaet er ikke hvem en skal skylde på dersom det går galt. Temaet må være: Hvilke vurderinger og tiltak må man gjennomføre for å sikre at data blir lagret på en juridisk korrekt og trygg måte, innenfor et akseptabelt risikonivå?

Ole-Erik Thornquist er IT-rådgiver i konsulentselskapet Skill.
Ole-Erik Thornquist er IT-rådgiver i konsulentselskapet Skill.

Datatilsynet har i det siste kommet med forholdsvis klare råd og sterke anbefalinger på hva en organisasjon bør og må gjøre før den vurderer bruk av en offentlig nettsky. En av de viktigste punktene som nevnes er å gjøre en grundig risiko- og sårbarhetsanalyse (ROS). En ærlig analyse med konsekvens og tiltak er verdifull uansett hva konklusjon blir. Vår erfaring er at ROS-analyser gir klare føringer for hvordan en kunde skal forholde seg til nettskyen, og ikke minst gir tydelige signaler på hvordan nettskyen kan brukes. Man ender ofte opp med et hybridsenario (nettsky/lokaldrift) og nye rutiner for behandling av data som skal lagres eller bearbeides. Det beste med slike analyser er at sluttresultatet nesten alltid ender med at kunden sitter igjen med et bedre totalbilde av risiko, og kan sikre sine data bedre enn før, uansett om de blir liggende igjen på eget datasenter eller blir flyttet til nettskyen.

Hvor skjuler monstrene seg?

Når man skal sjekke for monstre under senga er det viktig å vite hva man ser etter og hvor man skal lete. I vurderingen av skytjenester er det naturlig for mange å gå ut ifra det kjente. De eksisterende, tradisjonelle løsningene – som er helt sikre. Eller? Når ble det tatt en grundig gjennomgang av sikkerheten på de eksisterende løsningene? Dersom man skulle tatt de samme analysene og vurderingene på eksisterende løsninger er det store muligheter for at man hadde avdekket mer enn ett eller to små monstre under senga. Ikke bare i forhold til sikkerhet. Fra den eksisterende løsningen ble satt opp til nå, har markedet løpt videre, og nye spilleregler er etablert. Det er flere aspekter som bør vurderes, som tilgjengelighet, ytelse, kapasitet, skalerbarhet, økonomiske gevinster og en rekke andre muligheter teknologiens fremskritt bringer med seg.

Som konsulenthus kommer Skill sine rådgivere ofte inn på et tidspunkt hvor den første dialogen omhandler muligheter – og sikkerhet. Det er et par punkter de fleste er enige om, uansett hvilken teknologi man er tilhenger av; 1. Det teknologiske mulighetsbildet er under kontinuerlig endring i forhold til omfang og størrelse. 2. Man kommer ikke unna debatten om risiko.

Hvor skal slaget om mulighetene teknologien bringer med seg stå? Hvem skal få avgjøre om en organisasjon skal vurdere mulighetene? Er det de som er redde for jobbene sine, som tror ny teknologi truer deres arbeidsplass? Er det kritikerne, som mener skytjenester er et forbigående fenomen, fordi de bare ser risikoer? Eller er det de som ikke sover i timen?

For det er mange som sover i timen. Det offentlige har brukt lang tid på å ta sin plass i et marked fullt av muligheter og økonomiske gevinster. Når de nå kommer på banen, blir de møtt med kritiske spørsmål relatert til sikkerhet. Dette både må og skal de stå til rette for – offentlige instanser forvalter dine og mine penger og opplysninger om oss som individer. Og siden de gjør nettopp dette, burde det stilles krav til at de tar de samme vurderingene i forhold til mulighetene den nyeste teknologien bringer med seg. Det er nettopp dette Moss kommune har gjort med deres satsing på skytjenester. Deres avgjørelser er basert på grundige vurderinger av behov, analyse av mulighetsbildet, økonomiske betraktninger, risikovurderinger, dataklassifiseringer og mange gode diskusjoner med både juridiske og tekniske instanser. For en kommune er det mange sikkerhetsmessige aspekter å ivareta, og det er stor fallhøyde dersom de ikke titter godt nok under senga før de legger seg. Og å legge seg er noe man gjør mer enn én gang, det gjentas regelmessig.

Flere bransjer har mye å tjene på å se forbi det de oppfatter som særkrav, som gjør at de tenker de er for spesielle til å tenke forbi det tradisjonelle. Skytjenester er ikke et begrep forbeholdt utvalgte bransjer, det er en mulighet for deg og dine kunder. Bank og finans er gode på å forvalte penger. Er dere like gode på å vurdere teknologiske muligheter, med samme fokus på gevinster og fremtidig utvikling? Energisektoren stiller høye krav til beredskap for å sikre kritiske samfunnsinstallasjoner. Men er alle data og tjenester innenfor energisektoren underlagt et regelverk som hindrer selskapene i å utvikle gode og kostnadseffektive tjenester med bruk av offentlig nettskyteknologi? Vurderingsgrunnlag bør bygge på oppdatert kompetanse om man vil være med på utviklingen. Toget ruller videre, det er et tog mange flere er tjent med å kjøpe billetter til.

Å trekke forhastede konklusjoner kan skape unødvendig redsel Uansett utgangspunkt har man ett mål for sine kunder: Den beste løsningen for deres behov, vurdert etter nå-situasjon og det man kjenner til av fremtidige behov. Risiko er ett aspekt, økonomi og gevinst er ett annet. Det alle fleste kunder som vurderer å benytte seg av en offentlig skytjeneste gjør det enten av økonomiske årsaker, eller som en følge av fleksibiliteten som tilbys. Det er uansett umulig å ignorere klare økonomiske gevinster, og det blir derfor et spørsmål om hvordan disse kan realiseres innenfor et akseptabelt risikonivå. Kundene har ofte sine forestillinger om nettskyen, både muligheter og risikomomenter. Noen av dem er velbegrunnet, men konteksten de har tilegnet seg informasjonen innenfor stemmer sjelden. Noen monstre finnes rett og slett ikke, andre kan vise seg å være hybelkaniner som lett kan fjernes. Å trekke forhastede konklusjoner kan skape unødvendig redsel. Det samme kan forhastede prosesser.

Ja, leverandørene har sine garantier, offentlige tilsyn som Datatilsynet kan benyttes som sparringspartner, og man har andre lovgivende- og rådgivende organer å støtte seg til. Allikevel ligger ansvaret for sikkerheten til syvende og sist hos registereieren selv. Det må innebære at det foreligger et strukturert metodeverk for trygg innføring til grunn. Nøkkelen ligger i dataklassifiseringer og kjennskap til samspillet mellom systemene. Med en strukturert tilnærming vil risikoen for at sensitive data kommer på avveie reduseres til et akseptabelt nivå.

Konklusjonen må være, at alle bør vurdere mulighetene for å benytte skytjenester. Hvor stor del av dataene som faktisk havner i skyen, må bestemmes etter en trygg og god prosess. Målet er kostnadsbesparelse, bedre kvalitet på tjenester og gevinstrealisering. Ingen ønsker å investere i IT-prosjekter uten mål og mening. Men under sengen kan det være mange mørke kroker og små ting det kan gjemme seg noe bak. Det er viktig å sjekke nøye og ikke love at det er monsterfritt før man metodisk har undersøkt alle kriker og kroker.

Det handler om å ha gjennomført en god og grundig prosess, slik at man har den nødvendige tryggheten (når man skrur av lyset og går).

Delta i debatten
Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

    Les også:

Til toppen