Strengere regulering, en statlig eid og driftet lukket skyløsning, og en lukket kommersiell sky.
Nasjonal sikkerhetsmyndighet (NSM) anbefaler å planlegge videre både et såkalt reguleringskonsept og et kombinasjonskonsept, etter å ha utredet behovet for en statlig nasjonal sky, i en såkalt konseptvalgutredning (KVU).
Det viser dokumenter Digi har fått innsyn i.
Forslagene blir beskrevet som en «betydelig investering».
− Nasjonal kontroll og regulering vil være viktige rammebetingelser for en eventuell etablering av en nasjonal skytjeneste. Det søkes et løsningskonsept som gir en stor grad av fleksibilitet, med mulighet til å balansere mellom nasjonale sikkerhetsinteresser og behovet for kostnadseffektive og funksjonelle løsninger, skriver seksjonssjef i NSM, Harald Næss, i en e-post til Digi.
Nasjonal skytjeneste
Behovet for en offentlig eid nasjonal skytjeneste har vært diskutert siden 2020, da NSM i en risikorapport uttrykte bekymring for samfunnets avhengighet av et fåtall utenlandske skyplattformer.
I Hurdalsplattformen 2021 skriver regjeringen at de ønsker å «utrede opprettelsen av en statlig skyløsning for lagring av offentlige data som helsedata, finansdata og informasjon om innbyggere og infrastruktur».
NSM fikk i mandat å gjennomføre en konseptvalgutredning (KVU): En grundig utredning av behov, mulige konseptuelle tilnærminger og samfunnsøkonomiske effekter.
Skyløsningen skal dekke behovet for lagring av beskyttelsesverdig informasjon, det som på fagspråket kalles skjermingsverdig ugradert informasjon, for statsforvaltningen.
KVU-en ble levert i januar 2023. I første del av 2023 skal den kvalitetssikres av et uavhengig selskap. Mens kvalitetssikringen pågår er KVU-en unntatt offentligheten.
I andre del av 2023 kan et eventuelt forprosjekt starte. Forprosjektet beskriver konseptet som blir valgt ytterligere, og lager en overordnet plan.
En større investering kan først komme i 2024 eller 2025.
Les mer i disse sakene:
Februar 2022: Et steg nærmere norsk, nasjonal skytjeneste
Oktober 2022: Nasjonal skytjeneste: Her er alternativene
Økende behov
Rundt 70 prosent av de statlige virksomhetene bruker skytjenester i dag, de fleste av dem allmenne skytjenester levert av Microsoft, Amazon og Google. Hyllevaresystemer har lenge vært i skyen, nå står kjernesystemene for tur.
– Det øker risikoen for at mer beskyttelsesverdige data og systemer kan havne ukritisk i skyen, skrev NSM i en presentasjon til Skate-utvalget i oktober.
I dag sitter staten på mellom 210- og 320 tusen terabyte med beskyttelsesverdige data. Det volumet vil øke, mener NSM.
− Dersom dagens utviklingstrender fortsetter, vil om lag 80 prosent av beskyttelsesverdige data og systemer ligge i skybaserte løsninger innen ti år, skriver de i et saksfremlegg til topplederutvalget Skate i mai 2023.
Nasjonal kontroll
Konsekvensen over tid av at stadig flere offentlige virksomheter legger sine løsninger over i skyen, er at mange tjenester leveres fra utlandet. Dermed blir staten stående i et avhengighetsforhold til utenlandske aktører, mener NSM
Det kan svekke Norges nasjonale beredskapsevne.
− En lukket nasjonal skytjeneste for statsforvaltningen, som utvikles og driftes i datasentre plassert på norsk jord av personell i Norge, vil kunne bidra til å redusere avhengigheter til utenlandske skytjenesteleverandører og øke graden av nasjonal kontroll, skriver NSM.
Hvor selve datasenteret ligger er ikke uten betydning.
− Plasseringen av datasentre som inngår i løsningen har stor betydning for jurisdiksjonsspørsmålet og statens mulighet til å utøve reell teknisk kontroll over skytjenesten, skriver NSM.
Det samme har eierskapsstrukturen og hvor datasentrene driftes fra. At andre myndigheter kan få tilgang til norske data, eller omprioritere eller beordre ressurser i verdikjeden «i strid med norske interesser» blir også trukket frem som en risiko.
Parallelt med etableringen av en lukket nasjonal skytjeneste, bør det planlegges for å ta sikkerhetskopi av data som kan oppbevares eller migreres til utlandet, mener NSM.
Det kan gi kontroll over data, selv om Norge mister kontroll over deler av territoriet. Slike grep har blant annet blitt pekt på som en av grunnene til at Ukraina ikke har tapt cyberkrigen mot Russland.
Vil styrke regelverket
I oktober 2022 kunne NSM dele hvilke alternativer de vurderte, selv om selve KVU-en er unntatt offentlighet til den er ferdig behandlet.
− Dette er jo ikke et veldig regulert område i dag, i motsetning til annen viktig infrastruktur i samfunnet, som kraft, ekom eller telekom, sa Næss til Digi den gang.
Regulatoriske hensyn må inn, mente NSM. De fikk støtte fra topplederutvalget Skate.
Nå viser dokumenter fra Skate-utvalgets mai-møte, at en viktig del av NSMs anbefaling er det såkalte Reguleringskonseptet.
− Dette innebærer å klargjøre og eventuelt styrke dagens regelverk, i tillegg til at det etableres eller styrkes en eksisterende statlig tilsynsmyndighet og rådgivningstjeneste, skriver NSM og anbefaler at konseptet gjennomføres uansett.
Lukket statlig, og kommersiell, sky
Men NSM vil også ta et annet konsept videre i planleggingsfasen: Kombinasjonskonseptet.
− Konseptet kombinerer en lukket statlig skyløsning for beskyttelsesverdige data og systemer som må sikres med høy grad av nasjonal kontroll, og en lukket kommersiell sky for beskyttelsesverdige data og systemer som må sikres med middels grad av nasjonal kontroll, skriver NSM.
Et slikt konsept skal bidra til å utnytte fordelene som ligger i privat sektor, og gi fleksibilitet i å finne rett balanse mellom sikkerhetsinteresser, og behovet for kostnadseffektive og funksjonelle løsninger.
Det er altså et «ja takk – begge deler»-konsept, og en kombinasjon av to konsepter NSM har utredet.
Dersom konseptet skal gjennomføres må staten enten etablere en ny virksomhet til oppgaven eller gi betydelig mer ansvar til en eksisterende statlig virksomhet, som «eier og drifter skyløsningen på norsk jord underlagt norsk jurisdiksjon».
I tillegg må staten inngå egne avtaler med kommersielle aktører som «eier, leverer, videreutvikler og drifter skyløsningene» med staten som kunde.
En betydelig investering
− Etablering av en nasjonal skytjeneste vil kreve en betydelig investering, skriver NSM.
Kostnadene er ikke tallfestet i dokumentene Digi har fått innsyn i.
− I påvente av at det foretas et konseptvalg er KVU-rapporten unntatt offentlighet, og NSM har på det nåværende tidspunkt derfor ikke anledning til å gå ut med detaljer om tallmaterialet i rapporten, svarer Næss på spørsmål om hva alternativene kan koste i kroner og øre.
Investeringen kan gjennomføres trinnvis over flere år, skriver NSM. Kostnaden kan også fordeles på mange statlige virksomheter.
− Med forbehold om at mange virksomheter tar i bruk løsningen, vil investerings- og driftskostnader kunne fordeles på et stort antall virksomheter, skriver NSM.
Enklere datadeling
I tillegg til økt standardisering vil investeringen gi både bedre sikkerhet og økt nasjonal kontroll over data og systemer, mener NSM.
− En nasjonal skytjeneste vil kunne bli en viktig og sentral kapasitet i et felles digitalt økosystem og slik understøtte en samordnet digitalisering av offentlig sektor med de samfunnsmessige gevinster dette gir, skriver NSM.
En standardisert løsning vil også gjøre det enklere å dele data på tvers.
Selv om NSM har hatt i oppdrag å utrede behovet for statsforvaltningen, ikke offentlig sektor i stort, anbefaler de at det «på sikt gjøres en vurdering om en nasjonal skytjeneste bør utvides til å dekke større deler av offentlig sektor».
Om det skal være obligatorisk for statlige virksomheter å delta i den nasjonale ordningen, avhenger av den endelige utformingen av en eventuell ny regulering.
Selve valget av konsepter for videre planlegging, blir trolig først tatt etter sommerferien. Etter det starter prosessen med å beskrive konseptene videre i mer detaljerte planer. En større investering vil derfor trolig ikke komme før i 2025, etter budsjettforhandlinger i 2024.