Diskusjonen rundt bruk av amerikanske skytjenester har vært i «vinden» det siste året. Frykten for at den amerikanske presidentadministrasjonen skal benytte sin makt over de amerikanske techgigantene til å presse Europa, har vært overhengende. Spesielt etter truslene om å overta Grønland.
Den uforutsigbare presidenten har allerede benyttet økonomi og forsvar til å presse frem «deals». Vil teknologi bli det neste pressmiddelet?
Stater bruker enorme ressurser til å finansiere etterretningstjenester for å få best mulige fremtidsanalyser, likevel tar de tidvis feil. Ingen av oss vet med sikkerhet om amerikanske skytjenester noen gang vil bli benyttet som pressmiddel mot Europa eller Norge.
Ernas strategi for sky
Men selv om et scenario er lite sannsynlig, kan det likevel være gode grunner til å redusere konsekvensene dersom scenarioet inntreffer. Spesielt hvis de oppfattes som ikke-akseptable, slik en føre-var tilnærming tilsier. Dette er risikostyring i praksis.
En kartlegging utført av analyseselskapet A2 dokumenterte at store deler av offentlig sektor hadde tatt i bruk hyperscalernes tjenester (Microsoft, Amazon og Google) allerede i 2022. De fleste vurderte at bruken ville øke fremover.
Noe av bakgrunnen for at store deler av offentlig sektor flyttet deler av sin IT-portefølje til sky, kan tilskrives at Erna Solbergs regjering i 2016 vedtok en egen nasjonal strategi for bruk av skytjenester. Kostnadseffektivitet, fleksibilitet og sikkerhet var begrunnelsene.
Stor variasjon i avhengighet
Selv om skytjenester kan ha flere fordeler, har nok mange fått et mer nyansert syn på temaet nå enn for ti år siden. Spesielt etter at lisenskostnadene har økt, flere opplever «vendor lock-in» og sårbarheter blir utnyttet. Likevel er det stor variasjon i hva virksomhetene bruker skytjenester til, og hvor dypt avhengigheten stikker.
Enkelte får levert all sin IT-infrastruktur via skyen (Azure, AWS eller GCP). Andre bruker primært kontor-støttesystemer som M365, men drifter egen infrastruktur der bedriftens kjernesystemer kjører uavhengig av skyen. En tredje kategori har knapt tatt i bruk skytjenester og ville i liten grad blitt påvirket dersom amerikanske teknologiselskaper skulle blitt brukt som pressmiddel.
Nasjonal sikkerhetsmyndighet (NSM) har flere ganger advart om nasjonens samlede konsentrasjonrisiko når det gjelder tjenester levert fra enkeltstater og enkeltselskaper. Norge er nemlig ett av landene i Europa med desidert sterkest avhengighet til de amerikanske tech-selskapene.
Akseptabel risiko for enkeltbedrifter
Det er samtidig et tankekors at det som fremstår som akseptabel risiko for hver enkelt virksomhet, likevel kan gi en så stor konsentrasjon av risiko for nasjonen som helhet, at sikkerhetsmyndigheten ser seg nødt til å advare.
Det er hver enkelt virksomhet som inngår innkjøpsavtaler med teknologiselskapene. For hver og en av dem kan risikoen være akseptabel. For nasjonen som helhet kan risikoen i et unntakstilfelle (krise eller krig) likevel være for stor. Det kan gi en motstander muligheten til å legge press på staten Norge i en fremtidig høy-intensitets konfliktsituasjon.
Likevel er det ikke gitt at løsningen er å bruke mindre skytjenester, men derimot å ha et mer bevisst forhold til hvilke tjenester man benytter og hva de brukes til. Slik at man kan etablere forsvarlig sikkerhet og beredskapsrutiner for kjernesystemer som er kritiske for bedriften. Slik virksomheter underlagt Sikkerhetsloven allerede er pålagt å gjøre.
Det vil skape støy i kontorlandskapet dersom office-pakken blir utilgjengelig. Likevel skal statens grunnleggende nasjonale funksjoner fortsatt fungere. Inntil noen bestemmer seg for å sabotere systemene i våre egne datasentre. For også de har avhengigheter til andre.
Så lenge maskin- og programvaren som kjører våre egne datasentre og i skyen leveres fra amerikanske selskaper, må vi nok leve med avhengigheten til amerikanerne en god stund til.
IT-tabbe kan koste sjefen millioner av kroner
