Jeg har gjort risikovurderinger av flere skyløsninger og sett kompleksiteten i vurderingen av skytjenestekontrakter. Med bakgrunn i det har jeg stilt meg noen spørsmål: Har virksomheter i Norge tilstrekkelig tilgang til spisskompetansen som må til for å ta i bruk store, internasjonale skytjenester på en sikker måte, innenfor lovens rammer? Eller er det slik at de som tar i bruk slike tjenester lukker øynene og håper at påstandene om at skyløsninger gir «økt sikkerhet» er sanne?
Strategiske føringer for bruk av skytjenester i det offentlige er lagt. Det vil også påvirke det private næringsliv. Offentlige etater skal vurdere skyløsninger som alternativ ved nyanskaffelser av IKT-infrastruktur og tjenester. Disse føringene ble lagt i regjeringens Digitaliseringsrundskriv av november 2015, og fulgt opp med Nasjonal strategi for skytjenester i april 2016. «Bruk av skytjenester kan gi økt fleksibilitet og mer kostnadseffektiv bruk av IKT», skriver regjeringen, men:
Jeg ønsker å peke på to viktige utfordringer som jeg mener er grunnlag for en fortsatt sunn skepsis til skytjenester hos de fleste virksomheter:
1: Tilgang til juridisk spisskompetanse
Kunnskaps- og moderniseringdepartementet (KMD) har skrevet rapporten «Kartlegging av hindringer i regelverk for bruk av skytjenester». Kort oppsummert står det: Dersom du skal behandle personinformasjon, data underlagt bokføringsloven eller arkivverdige data må du være ekstra på vakt ved kjøp og bruk av internasjonale skytjenester.
Tjenestevilkårene fra de store internasjonale skyleverandørene er som regel standardisert. Kunder må velge å godta kontrakten, eller la være å bruke tjenesten. Det viktige spørsmålet blir da: Tilfredsstiller vilkårene i kontrakten kravene som stilles i norsk lovverk? Slike vurderinger krever juridisk spisskompetanse, spesielt innenfor Europeisk personvernreglement, i kombinasjon med kunnskap om skyløsninger. Enkelte standardiserte skytjenestekontrakter oppdateres hvert kvartal. Endringene må revideres av kompetent personell. Slik kompetanse er ikke å oppdrive i hver enkelt virksomhet.
2: Tilgang til spisskompetanse om informasjonssikkerhet
For å kunne behandle personinformasjon digitalt er det nødvendig å ha gjennomført «planlagte og systematiske sikringstiltak», heter det i personopplysningsloven. Man må altså gjennomføre en risikovurdering, og sørge for at sikringstiltakene som er implementert i skyløsningen er tilstrekkelige. Det er komplekst å gjennomføre en risikovurdering på en løsning du ikke kan ta og føle på. En løsning som ligger et eller annet sted, eller mange steder, rundt omkring i verden. Man må forstå egenskapene som gjør en digital tjeneste til en sky; data flyttes automatisk mellom datasentre i ulike land. Vet du hvilke? Skytjenesten administreres via Internett. Er du komfortabel med å la viktige administrasjonsfunksjoner være tilgjengelig fra hvor som helst i verden? Tenk deg krisen når din virksomhets sky har blitt slettet av en skurk på andre siden av jordkloden.
Du må vurdere dette og mange flere risikoscenarier. Hvilke uønskede hendelser kan påvirke din virksomhet i skyen, og gi uheldige konsekvenser? Kan du risikere at noen kan kopiere ideene dine, eller stjele gullet ditt? Det er behov for spisskompetanse for slike vurderinger – kompetanse på informasjonssikkerhet, kombinert med kunnskap om skyløsninger generelt, skyløsningen du vurderer spesielt, og ikke minst domenekunnskap om virksomheten din. Slik kompetanse er ikke å oppdrive i hver enkelt virksomhet.
Skytjenester kan gi deg det de lover, men vær skeptisk
I skytjenestevurderingene jeg har vært gjennom, har jeg erfart at det er høy grad av faglig kompleksitet relatert til kjøp av skytjenester – både juridisk og sikkerhetsfaglig.
Noen ganger er skyen sikrere, andre ganger ikke
Skytjenester kan levere både kostnadseffektive og fleksible løsninger, slik påstandene sier. Din virksomhet kan spare penger, og samtidig få bedre funksjonalitet enn du ellers ville ha fått. Det er imidlertid stor variasjon mellom ulike skytjenester. Leveransemodell, geografisk plassering av datasentre, kontraktsgrunnlag og, ikke minst sikkerheten varierer betraktelig. Din virksomhet må ikke lukke øynene og håpe at en overgang til skyen går bra. Jeg hører alt for ofte salgsargumentet om at «overgang til skyen vil gi deg bedre sikkerhet». Noen ganger er skyen sikrere, andre ganger ikke. I alle tilfeller blir sikkerheten annerledes. Riktig fagekspertise må bidra i vurderingene. Finn den og bruk den.
Jeg er tilhenger av gode skytjenester, men på grunn av stor variasjon i skytjenesteleveransene råder jeg deg til å ikke spille bingo med virksomhetens verdier. Sørg for å ta kalkulert risiko. Da vil din drøm om skyen bli slik du hadde tenkt.
