2 Kva er skytenester?
Skytenester er skalerbare tenester som blir leverte over nett. Den viktigaste forskjellen på skytenester og meir tradisjonell tenesteutsetting er forretningsmodellen, der kunden berre betaler for den kapasiteten han har brukt. Målet er å tilby kostnadseffektive, sikre, skalerbare IT-tenester til kundane.
Det å kjøpe tenester frå eksterne leverandørar er ikkje noko nytt. Bruk av skytenester inneber i utgangspunktet ein tilsvarande risiko som ved tradisjonell utsetting av IKT-drift, der risiko og sårbarheit er knytte til val av leverandør, lokalisering, kommunikasjonskanalar og arkitektur.2
Regjeringa har valt å bruke den amerikanske standardiseringsorganisasjonen NIST (National Institute of Standards and Technology) sin definisjon på skytenester.3
NIST trekker fram følgande kjenneteikn på skytenester:
- BehovsbaserteSkytenester blir levert etter kvart som ein har bruk for dei. Dei kan skaffast raskt, og kunden betener seg sjølv på nett når han har bruk for auka kapasitet (for eksempel servertid eller lagring), utan at han treng å involvere leverandøren.
- Leverte over nettTenestene er tilgjengelege over nettet, og kunden får tilgang gjennom standardmekanismar som kan nyttast gjennom ulike typar klientar – frå mobiltelefonar og nettbrett til PC-ar.
- Delte ressursarLeverandøren kan fordele dataressursane sine dynamisk etter dei ulike kundane sine behov.
- Umiddelbar fleksibilitetDei tenestene kunden treng kan skalerast opp eller ned etter kva kunden har bruk for, slik at ressursane i praksis blir opplevde som uendelege.
- Betaling etter brukRessursbruken blir målt, kontrollert og rapportert, og er gjennomsiktig for både kunden og leverandøren av tenesta.
Fem kjenneteikn | Tre tenestemodellar | Fire leveransemodellar |
Behovsbasert – gjerne sjølvbetent Levert over nett Ressursdeling Umiddelbart fleksibelt(Rapid elasticity) Betaling etter bruk | Programvare som teneste (SaaS)Eks: Kontorstøtte, CRM, Rekneskap Plattform som teneste (PaaS)Eks: Database, utviklingsmiljø, operativsystem Infrastruktur som teneste (IaaS) Eks: Lagring, behandling, virtualisering | Allmenn sky(Public Cloud) Gruppesky Liknandeverksemder går saman om ei nettsky Privat sky Hybrid skyAllmenn sky kombinert med privat sky/gruppesky |
Tenestemodellar
Det er mogleg å kjøpe tenester i skya på ulike nivå, avhengig av kva verksemda har bruk for. Programvare eller applikasjonar som køyrer på datasenter «i skya», og som kunden/brukaren får tilgang til gjennom internett, kallar vi programvare som teneste(Software as a Service, SaaS). Bruk av programvare i skya gjer at kunden slepp å kjøpe, installere, oppdatere og vedlikehalde programvara lokalt. I staden køyrer brukaren programmet gjennom ein nettlesar eller ein annan tynn klient. Eksempel på tenester er kontorstøtte som tekstbehandling og rekneark, rekneskapssystem eller system for å følgje opp kundar (CRM).
Plattform som teneste (Platform as a Service, PaaS) omfattar alt som trengst for å støtte bygging og levering av digitale tenester. Ei plattform kan vere ein database, eller heile utviklings- eller testmiljø som blir køyrt hos skyleverandøren.
Infrastruktur som teneste (Infrastructure as a Service, IaaS) omfattar alle dei dataressursane ein normalt vil ha i sitt eige datasenter eller datarom: serverar, nettverk og lagring. Sjølv om kjøp av programvare og plattformtenester i skya etter kvart blir meir utbredt, er det fortsatt kjøp av lagrings- og behandlingskapasitet som er mest vanleg.
Eksempel: UNINETT – ein skymeklar for UH-sektoren
UNINETT er eigd av Kunnskapsdepartementet og leverer nett og nettenester for universitets- og høgskulesektoren (UH) i Noreg. I 2016 har departementet gitt UNINETT i oppdrag å etablere ei felles skyteneste for norske universitet og høgskular. Med utgangspunkt i dette vil UNINETT etablere ein skymeklarfunksjon der heile UH-sektoren kan finne sikre skytenester, blant anna kommersielle skytenester som er lagde til rette for europeisk UH-sektor.
UNINETT har allereie etablert programmet UH-sky i samarbeid med universiteta i Trondheim, Oslo, Bergen og Tromsø. Arbeidet med skymeklarfunksjonen vil vere ei vidareføring av dette.
UNINETT arbeider òg med skybaserte infrastrukturplattformer der dei vil gjere typiske datasenteroppgåver tilgjengelege frå skya. Nokre universitet samarbeider òg om å etablere ei sektorintern infrastrukturplattform i datasentera sine, slik at dei på sikt kan tilby infrastrukturtenester til andre i sektoren.
Kjelde: UNINETT
Leveransemodellar
Skytenester kan leverast på mange ulike måtar:
Den allmenne skya (Public cloud) er skytenester som blir selt i den opne marknaden – det vil seie standardiserte løysingar som stort sett er like for alle kundar. Dei største og mest kjende leverandørane er Google, Amazon og Microsoft.
Den allmenne skya kan òg vere ein del av arkitekturen til programvareleverandørar – òg norske – som tilbyr programvara si levert over internett. Ein sluttkunde kan dermed vere brukar av den allmenne skya utan sjølv å ha kjøpt ei slik infrastrukturteneste.
Ei privat sky (Private cloud) er ei lukka skyteneste som er avgrensa til ei verksemd, eller til ei gruppe verksemder (oftast omtalt som gruppesky). Her vil miljøet som skytenesta blir levert frå blir avsett til den enkelte kunden eller kundegruppa. Ei verksemd kan òg drifte si eiga sky, men dersom verksemda ikkje er veldig stor, vil ein ikkje oppnå dei same stordriftsfordelane som ein får med å bruke ei allmenn sky. Samtidig vil ein heller ikkje vere utsett for dei same risikoane.
Dersom ei verksemd bruker ein kombinasjon av den allmenne skya og tradisjonelle lokalt drifta IKT-system, ei privat sky eller ei gruppesky, kallar vi det hybrid sky.
Dei fleste verksemder har informasjon som dei av ulike årsaker synest det er vanskeleg å plassere i den allmenne skya. Det kan vere informasjon som er kritisk for verksemda, informasjon der gjeldande reglar ikkje tillèt lagring i utlandet, eller data der ein ikkje toler den forseinkinga behandling ein annan stad fører med seg. Samtidig kan allmenne skytenester vere eit godt alternativ når ein treng ekstra kapasitet, som ein plass å lagre tryggleikskopiar, eller for system verksemda brukar som ikkje er kritiske eller inneheld informasjon som må lagrast lokalt. Ein arkitektur med ei hybrid sky gjer at verksemda både kan utnytte fordelane med den allmenne skya, og samtidig halde kritiske komponentar under eigen kontroll. Hybrid sky er den leveransemodellen som veks raskast for tida.4
I denne strategien er det først og fremst problemstillingar knytte til bruk av allmenne skytenester som blir omtalte. Ei klargjering av kva som er lov og anbefalt når det gjeld allmenn sky, vil kunne overførast til ulike modellar med gruppesky eller hybrid sky der den allmenne skya inngår som ein del av arkitekturen.
Fordelar og utfordringar med skytenester
Økonomiske innsparingar er det som oftast blir trekt fram som fordelen med bruk av skytenester. Det er òg dette som har vore motivasjonen i mange av dei landa der styresmaktene allereie har etablert ein IKT-strategi der skytenester speler ei viktig rolle. Storbritannia har for eksempel innført ein preferansepolitikk for skytenester,5 og forventar at ein overgang til rimelige og standardiserte IKT-løysingar skal gi reduserte IKT-kostnadar for det offentlege.
I ein studie frå KS6 oppgir dei spurde kommunane at dei viktigaste drivarane for å ta i bruk skytenester er: økonomi, eit ønske om å fokusere på tenesteutvikling, skalering og fleksibilitet og auka tilgjenge til kommunen sine løysingar for innbyggarane.
Økonomi
Mange tenker automatisk på reduserte kostnadar når dei høyrer ordet «skytenester». Det er fleire grunnar til dette: Fordi ei skyteneste ikkje krev lokal infrastruktur, blir både investeringar og kostnadar til drift av IKT påverka. Skytenester kan òg føre til reduserte kostnadar til oppdateringar, administrasjon av programvarelisensar og liknande.
Prisingsmodellen for skytenester, med måling av og betaling for bruk, gjer òg at kostnadane for kvar teneste blir transparente. Ein slepp å betale for meir datakraft, meir lagring eller fleire programvarelisensar enn ein treng til kvar tid. Ein slik prismodell er spesielt gunstig dersom ein har prosessar som krev mykje kapasitet, men som ein sjeldan treng å køyre – for eksempel faste månadlege eller årlege jobbar som utsending av fakturaer eller køyring av lønn.
Ikkje alle verksemder som tar i bruk skytenester opplever at det er rimelegare enn andre løysingar. Dette gjeld spesielt om ein har særskilde behov som ikkje kan leverast som ei standardløysing, eller om skytenesta skal gå inn i ein komplisert arkitektur med mykje integrasjon mot eksisterande system.
Eksempel: Moss kommune
Moss kommune har 32 000 innbyggarar og 2500 tilsette. Kommunen forvaltar ca 100 applikasjonar og har 8,2 årsverk på IKT.
Kommunen måtte skaffe mange fleire e-postlisensar då han skulle gi alle tilsette tilgang til e-post. Kommunen fann at Office 365 i nettskya kosta mykje mindre enn tilsvarande programvare installert lokalt. Kommunen har valt ei hybrid løysing der delar av systemporteføljen (blant anna arkiv) blir drifta lokalt, mens for eksempel kontorstøtte blir drifta i ei allmenn skyteneste (Microsoft Azure). Kommunen vurderte òg tradisjonell outsourcing, men kom til at dette ville bli mykje dyrare enn ei skyløysing, og òg dyrare enn å halde fram med lokal drift.
Kjelde: Moss kommune
Skalering
Skytenester tilbyr nær uavgrensa kapasitet for databehandling og -lagring. Ressursane i nettskya blir allokerte til verksemda berre når det er bruk for dei. Dette gjer at verksemder ikkje treng uroe seg for å sleppe opp for kapasitet, dersom for eksempel ei publikumsteneste blir mykje meir brukt enn forventa. Dette er òg ein fordel dersom ein har tenester som er utsette for spesielle belastningar i korte tidsrom – gjerne utan at ein kan seie i førevegen at det kjem til å skje.
Dei elementa som gjer skytenester kostnadseffektive og skalerbare kan òg skape utfordringar for verksemder som skal forvalte personopplysningar, konfidensiell informasjon eller opplysningar innanfor andre område der det finst reglar for kva land ein kan overføre data til. For å kunne tilby rimelege tenester unyttar leverandørane den ledige kapasiteten dei har i systema sine. Dermed kan ein ikkje alltid vite kva datasenter – eller kva land – informasjonen er lagra i til kvar tid. Det kan òg vere at leverandøren av ei programvareteneste i skya bruker fleire ulike underleverandørar, utan at dette går tydelig fram av beskrivinga av tenesta.
Eksempel: Banedanmark
I desember 2010 flytta Banedanmark informasjonsnettsida si til ei skyteneste (Microsoft Azure). Om vinteren blei det store problem med transporttenestene i Danmark. Dei andre transportselskapa opplevde at informasjonstenestene svikta på grunn av stor pågang frå publikum. Dette skjedde ikkje med Banedanmark. På det meste hadde dei 5,5 millionar brukarar på ein dag, mot normalt 50 000. Den auka kapasiteten dei trong i denne perioden betalte dei 179 DKK for.
Kjelde: Center for Digital Forvaltning (2013): Public sector use of cloud based solutions – the Danish experience. Undersøking på vegne av Microsoft
Tryggleik
Utkontraktering av skytenester kan gi auka teknisk IKT-tryggleik når leverandøren har betre kompetanse og ressursar enn kunden.7 Dette gjeld ikkje minst fysisk sikring av lokala der maskinvara er plassert. Store datasenter har som regel omfattande sikringstiltak, og det er strenge restriksjonar på kven som får komme inn i anlegga. Leverandørane skifter ut maskinvare og oppgraderer programvare regelmessig. Det finst sertifiseringsordningar for datasenter som angir kva tryggleiksnivå datasenteret tilfredsstiller.
Når programvare blir levert i form av ei skyteneste, betyr det som oftast at kunden får ei standardisert løysing frå leverandøren. Det betyr òg at alle kundar får tryggleiksoppdateringar og andre programvareoppdateringar samtidig. For mange kundar kan dette føre til ei auke i tryggleik, fordi dei har mangla gode eigne rutinar for slik oppdatering.
Tryggleikskopiering er vanlegvis ein del av tenesteporteføljen når ein kjøper tenester i nettskya. Lagring av data på fleire stader (redundans) og automatisk overføring til ein ny lokasjon dersom noko går gale på primærlokasjonen, er òg som oftast ein del av standardtenesta.
Ei teneste som er i framvekst i nettskya er Security as a Service(SECaaS). Gjennom SECaaS kan ei verksemd abonnere på ulike typar tryggingstenester, som anti-virusprogram og kontinuerlege virusoppdateringar, autentisering, angrepsdeteksjon og administrasjon av tryggleikshendingar.
Sjølv om skytenester i mange tilfelle kan gi betre tryggleik, er det viktig at verksemdene vurderer om det er delar av informasjonen dei forvaltar som bør sikrast særskilt – av økonomiske, konkurransemessige eller andre årsakar. For mange verksemder kan det òg vere relevant å vurdere dei tryggingspolitiske konsekvensane av å bruke skytenester som er baserte utanfor EØS-området. I nokre land er det slik at styresmaktene har større rom for innsyn i utanlandske data enn i data til eigne innbyggarar og verksemder. Det kan vere aktuelt å vurdere slike forhold òg for verksemder som ikkje er underlagde tryggingslova.
Det er verdt å nemne at informasjon som i utgangspunktet ikkje er skjermingsverdig, kan bli betrakta som skjermingsverdig om han blir lagra i eit felles datasenter eller ei skyteneste der informasjonen til fleire samfunnsfunksjonar er samla. Då vil skadepotensialet ved tap av den samla informasjonen kunne få innverknad på den nasjonale tryggleiken. Dette kan gjere risikovurderingar meir kompliserte, ettersom ein risikerer å måtte vurdere ikkje berre sine eigne data, men òg summen av data som er lagra på same stad.
Mange verksemder føler det er trygt å ha eigne serverar og data nær seg. Det å lagre og behandle data langt unna – kanskje utan å vite nøyaktig kor informasjonen er til kvar tid – fører til ei kjensle av kontrolltap. Dette kan ein kompensere gjennom andre mekanismar for kontroll. Mekanismar for kontroll blir særskilt omtalte i kapittel 4.
Energieffektivitet
Leverandørar av allmenne skytenester kan dele maskinvareressursane mellom ei stor mengde kundar. Dette gir meir effektiv energibruk enn om alle kundane skulle hatt sine eigne datasenter med eiga maskinvare, kjøling med meir.
Det er ein trend at leverandørar av sky- og datasentertenester konsoliderer datasentera sine til store, og stadig meir energieffektive einingar. Desse datasentera blir gjerne lagde til stader der det er stabil tilgang på billeg energi.
Fleksibilitet
Bruk av skytenester gjer det i mange tilfelle lettare å legge til rette for at tenestene (for eksempel eit saksbehandlingssystem i ein kommune) kan nyttast frå fleire ulike stader og ulike typar klientar (PC, nettbrett, mobil).
Det blir stadig vanlegare for verksemder – òg offentlege – å la dei tilsette bruke eigne PC-ar, nettbrett og liknande. Dette blir gjerne omtalt som Bring Your Own Device, eller BYOD. BYOD fører med seg nye utfordringar, når det gjeld både tryggleik og tilgjenge. Skytenester kan gjere det meir naturleg for brukarane å lagre arbeidet sitt på verksemda sitt område i skya, i staden for lokalt på eigne terminalar som er utanfor verksemda si kontroll. I dei fleste verksemder finst det tilsette som allereie bruker uautoriserte skytenester berekna på forbrukarmarknaden for å kunne ha ein fleksibel arbeidskvardag. Dette utgjer ein risiko for verksemdene, ikkje minst fordi sluttbrukaravtalane for forbrukarmarknaden ofte gir leverandørane vide fullmakter for kva dei kan gjere med informasjonen frå kundane sine.
Etter kvart som verksemdene kjøper stadig fleire tenester som skytenester, vil dette påverke kva kompetanse ein treng lokalt. Dette kan gi redusert kompetanse på enkelte område fordi dei tilsette ikkje lenger arbeider med området i kvardagen. Samtidig kan det òg fri viktig kompetanse frå rutineoppgåver, slik at ein kan bruke meir energi internt på strategisk planlegging og tenesteutvikling.
Innovasjon
Bruk av skytenester kan redusere investeringane som trengst for å sette opp ei ny verksemd. Fordi ein ikkje treng å gjere store investeringar i maskinvare og infrastruktur eller programvarelisensar, blir behovet for startkapital redusert.
Dette er spesielt relevant dersom ein skal starte ei verksemd som leverer tenester til kundane over internett: Det kan vere vanskeleg å estimere kor mange kundar ein kjem til å få, og kor raskt. Samtidig er det risikabelt å ikkje ha tilstrekkeleg kapasitet til å levere ei teneste dersom ho raskt blir ein suksess. Ein skybasert infrastruktur som kan skalere etter kor raskt ein får kundar, og der ein betaler for bruken, reduserer risikoen for store tap på infrastrukturinvesteringane. Ein slik modell gjer òg at ein kan vere meir tolmodig og bruke tid på å tilpasse og vidareutvikle tenesta i startfasen om ein ikkje lukkast med ein gong.
Av same grunn kan skytenester gjere det enklare for eksisterande verksemder å sette opp plattformer for utvikling og innovasjon, slik som testmiljø eller pilotprosjekt. Dette kan senke terskelen for å prøve ut nye løysingar, både internt og mot kundar.
For det offentlege kan slike plattformer gjere det enklare å teste ut og ta i bruk nye innbyggarretta tenester. Dette er ikkje minst viktig for kommunane, som gjerne har lite ressursar å sette av til slikt arbeid. Slik kan skytenester bidra til både effektivisering og tenesteutvikling i det offentlege.
Eksempel: Comoyo
Comoyo var Telenor si satsing på strøyme-TV. Tenesta blei etablert allereie i 2011.
Så seint som i mai 2013 uttalte Telenor: «Med nyetablerte Comoyo skal Telenor kapre 130 millionar forbrukarar i alle kanalar og på alle plattformer.»Telenor avvikla Comoyo i november 2013, etter at store internasjonale aktørar som Netflix og HBO etablerte seg med strøyme-TV i Norden og tok det meste av marknaden.
Telenor brukte Amazon sin infrastruktur til å levere tenesta på. Dermed betalte dei berre for den kapasiteten dei trong for å betene dei kundane dei hadde til kvar tid. Då tenesta blei lagt ned, satt dei derfor ikkje igjen med store investeringar i infrastruktur dei ikkje lenger hadde bruk for.
Kjelder: Teknisk Ukeblad/Comoyo/Telenor
Viktige vurderingar før anskaffing av skytenester
Regjeringa ønsker å gjere det enklare for offentlege verksemder og næringsliv å vurdere skytenester som alternativ når dei skal skaffe nye IKT-tenester. Eit viktig grunnlag for å kunne gjere dette er den avklaringa av regelverk som blir omtalt i kapittel 3. Men det finst òg mange omsyn ein må ta når ein skal vurdere skytenester som ikkje er direkte knytte til regelverket.
Sourcing
Dei strategiske vala ei verksemd gjer når det gjeld kva tenester som skal skaffast frå eksterne leverandørar, og kva tenester verksemda av strategiske grunnar vel å handtere sjølv, kallar vi sourcingstrategi.
Slik strategi omfattar ikkje berre IKT; ei verksemd kan òg velje å sette ut for eksempel økonomi og rekneskap, logistikk eller andre oppgåver verksemda ikkje ser på som ein del av kjerneverksemda si. Dette blir som oftast kalla outsourcing.Ein grunn til å sette ut tenester kan vere at ein gjennom dette kan oppnå stordriftsfordelar, slik at det blir meir kostnadseffektivt enn å produsere tenestene sjølv.
Kjøp av skytenester er ei form for sourcing. Det same er det å velje å produsere eller drifte IKT-løysingane sine internt i verksemda. Same kva for ein sourcingstrategi ein vel, må ein gjere ein analyse for å avgjere om den valde løysinga tilfredsstiller krava som gjeld for den typen informasjon systemet behandlar, og om risikoen med den valde strategien er akseptabel. Det å vurdere risiko eller passe på at ein har databehandlaravtalar på plass, er ikkje noko som er spesielt for anskaffing av skytenester – det må ein gjere uansett kva strategi ein vel.
Arkitektur
Difi har definert eit sett overordna arkitekturprinsipp8 som fungerer som felles retningslinjer for alt arbeid med IKT i offentleg sektor. Det er i utgangspunktet obligatorisk for statlege verksemder å følge prinsippa, mens prinsippa er anbefalte for kommunal sektor.
Sjølv om ei verksemd ikkje kan sjå at det finst skytenester i dag som tilfredsstiller dei krava ho har til det systemet ho skal utvikle eller skaffe, så vil ho, gjennom å følge Difi sine arkitekturprinsipp, sikre at ho ikkje har sperra for bruk av nettsky som plattform seinare.
Dei viktigaste prinsippa for å sikre at ein ikkje låser seg mot bruk av sky er:
- Teknisk interoperabilitet: Dette inneber å bruke tekniske standardar som legg til rette for veldefinerte grensesnitt, overføringsprotokollar og format.
- Fleksibilitet: IKT-løysingar skal utformast slik at dei ikkje avgrensar seinare endringar i arbeidsprosessar, innhald, organisering, eigarforhold eller infrastruktur.
- Skalering: IKT-løysingar skal kunne skalerast ved endringar i bruk. Endringar kan for eksempel vere knytt til talet på brukarar, volum, responstider eller liknande. Det må vere mogleg å skalere løysinga opp eller ned etter at ho er sett i drift.
Dei andre prinsippa – som tryggleik og tenestorientering – er sjølvsagt like viktige og relevante for eit IKT-prosjekt der ein vurderer å bruke skytenester som for andre typar prosjekt.
Dersom ei verksemd skal utvikle nye, lokale system, er det viktig at verksemda vel ein arkitektur som kan dra nytte av dei karakteristiske fordelane med skytenester, og som eignar seg for overgang til skya, om verksemda skulle ønske å gjere dette på eit seinare tidspunkt.
Informasjonstryggleik
Dei tryggleiksvurderingane ein må gjere dersom ein tenker på å ta i bruk skytenester, er ikkje så ulike dei vurderingane ein må gjere om ein elles skal sette ut tenester til ein ekstern leverandør. I praksis betyr dette at ein må ha eit forhold til dei formelle garantiane leverandøren gir, for eksempel for kor data vil bli lagra eller behandla.
Risikoen ved å bruke skytenester vil variere avhengig av kor sensitive data ein skal lagre eller behandle, og korleis den valde skytenesteleverandøren har implementert sine spesifikke skytenester. Kor omfattande vurderinga av leverandøren må vere, vil avhenge av kva som er verdien av den informasjonen det er snakk om, og kor alvorlege konsekvensane kan vere dersom noko går gale.
Informasjonstryggleik handlar om korleis integritet og konfidensialitet blir handtert, og kor tilgjengeleg informasjonen er.9
Integritet er tryggleik for at informasjonen er fullstendig, nøyaktig og ikkje utdatert. Integriteten seier òg noko om at det ikkje er gjort uautoriserte endringar i informasjonen.
Konfidensialitet er tryggleik for at informasjonen ikkje blir avslørt for uvedkommande, og at berre autoriserte personar – det vil seie personar som har rett til det – får tilgang til informasjonen.
Tilgjengeer tryggleik for at ei teneste fyller krav til stabilitet, slik at den aktuelle informasjonen er tilgjengeleg når det er bruk for han.
Tidlegare var hovudtyngda av uroa rundt tryggleik knytt til konfidensialitet. Ein var først og fremst uroleg for om uvedkommande kunne få tak i for eksempel forretningsløyndomar eller sensitiv informasjon om personar. Vi ser nå stadig meir uro knytt til integritet. Uautorisert endring av data kan skje både som følgje av tekniske faktorar og som ei vondsinna handling. Dersom ein ikkje kan føle seg trygg på integriteten i systemet ein brukar, kan det få alvorlege konsekvensar om ein skal bruke informasjonen til å ta viktige avgjerder, eller om han for eksempel inngår i system som er kritiske for verksemda eller kundane.
Etter kvart som samfunnet blir meir avhengig av å ha tilgang til IKT og nettverk for å fungere, blir òg tilgjenge stadig viktigare i vurderinga av informasjonstryggleiken. Dersom ei viktig teneste ikkje er tilgjengeleg over ei tid, kan det få alvorlege konsekvensar for ei verksemd. Mange verksemder har kritiske system der ein ikkje toler noko nedetid i det heile.
Utvalet som er sett ned for å vurdere den digitale sårbarheita i samfunnet har òg trekt fram eit fjerde tryggingsmål: sporbarheit.10 Sporbarheit dreier seg om å kunne finne ut kva som har skjedd i ettertid, for eksempel gjennom endringsloggar og loggar over andre typar hendingar.
Offentlege verksemder skal – og private verksemder bør – gjennomføre risiko- og sårbarheitsanalysar ved større endringar, som etablering av nye digitale tenester, omlegging av drifta, skifte av leverandørar og liknande. Om ein behandlar personopplysningar gjeld dette alle verksemder. Verksemda må då vurdere kva konsekvensar ulike hendingar kan få, både for brukarane av verksemda sine tenester, for verksemda sjølv og for sektoren i det heile. Verksemda må så vurdere kor sannsynleg det er at desse konsekvensane vil inntreffe. Risikonivået er gitt av kombinasjonen av konsekvens og kor sannsynleg det er at ei hending skal inntreffe.
På same måte må kvar verksemd vurdere kva konsekvensane vil bli dersom det skjer brot på informasjonstryggleiken innanfor dei tre dimensjonane: Kva vil skje dersom eit system eller ei teneste blir utilgjengeleg over eit gitt tidsrom? Kva er konsekvensen om uvedkommande får innsyn i informasjonen? Kva kan konsekvensane bli om uautoriserte personar kan endre på informasjonen slik at han ikkje lenger er til å stole på? Kor sannsynlege er dei ulike konsekvensane? Kva konsekvens gir den største risikoen? Kva krav bør ein stille til ein intern eller ekstern leverandør for å handtere slik risiko?
Hensikta med ei risikoanalyse er å hjelpe den verksemda som vurderer å skaffe skytenester til å gjere ei informert vurdering av om bruk av skytenester er innanfor eit risikonivå som er akseptabelt. Ei slik vurdering må ein òg gjere for andre former for sourcing der verksemda må gi kontroll over data til ein ekstern partner.
Det digitale sårbarheitsutvalet
I juni 2014 sette regjeringa ned eit utval som skulle kartlegge den digitale sårbarheita i samfunnet (Lysne-utvalet). Utvalet overleverte utgreiinga si til justis- og beredskaps¬ministeren 30. november 2015.
Om skytenester skriv utvalet blant anna:
- Ressurssterke tilbydarar av skytenester kan i mange tilfelle gi betre tryggleik enn det mange mindre verksemder kan greie sjølve. Dette vil sjølvsagt avhenge av tilbydaren. Det er brukaren av skytenesta som må vurdere om dei opplysningane han tenker å legge i skya er sårbare dersom dei kjem utanfor norsk jurisdiksjon, og vege konsekvensane og risikoen opp mot fordelane med skytenesta.
- Styresmaktene må ikkje gjere det vanskeleg å ta i bruk hensiktsmessig og kostnadseffektiv teknologi så lenge det finst løysingar som er trygge nok. Det er viktig at norsk lovgiving ikkje hindrar auka konkurransekraft.
- Arkivlova §9, som seier at arkiv ikkje kan førast ut av landet, blei til for over 20 år sidan, og tar ikkje omsyn til ei moderne teknologisk utvikling og nye behov.
Tilrådingar frå utvaletOpplysningar kan delast inn i tre kategoriar:
- informasjon som berre bør lagrast i Noreg
- informasjon som kan lagrast i utlandet, men som ein må kunne ta heim om det blir særleg behov for det, og på bestemte vilkår
- informasjon som kan lagrast i utlandet utan vilkår
Kategori 1 – informasjon som berre bør oppbevarast innanfor norsk territorium og jurisdiksjon, gjeld særleg for gradert informasjon. Utvalet meiner det er den enkelte sektoren som må vurdere kva informasjon som fell inn under dei ulike kategoriane. Samtidig peiker utvalet på at sektorane i mange tilfelle har vanskeleg for å koordinere seg på tvers, slik at det òg er bruk for krav og rettleiing på tvers av sektorane.
Utvalet meiner det er bruk for harmonisering av tilsynspraksisen på tvers av sektorar. Som ein del av dette arbeidet bør ein sjå nærare på korleis ein kan bruke tredjepartsrevisjonar.
Kjelder: NOU 2015: 13 Digital sårbarhet – sikkert samfunn
Behandling av personopplysningar
Det er viktig å sjekke at den databehandlaravtalen som blir brukt tilfredsstiller krava i personopplysningslova. Når den nye personvernforordninga (sjå kapittel 3) har tredd i kraft, slik at det same regelverket gjeld for all behandling av personopplysningar om innbyggarar i EU/EØS-området, vil ein truleg sjå meir standardiserte avtalar frå leverandørindustrien.
Merk at det i siste instans alltid er verksemda sjølv (den behandlingsansvarlege) som har ansvaret for at informasjon blir behandla forsvarleg. Dette ansvaret blir ikkje overført til leverandøren sjølv om ein har alle avtalar på plass. Med den nye personvernforordninga vil leverandøren (databehandlaren) òg ha eit ansvar, men det erstattar ikkje ansvaret til den behandlingsansvarlege.
Datatilsynet har laga ei sjekkliste med punkt verksemder må vurdere før dei tar i bruk skytenester som skal behandle personopplysningar.11 Sjekklista er basert på regelverket og beste praksis.
- Verksemda må gjere grundige risikovurderingar, inkludert analyse av risiko- og sårbarheit.
- Verksemda må inngå ein tilfredsstillande databehandlaravtale, i tråd med norsk regelverk. Det er den behandlingsansvarlege, det vil seie den enkelte verksemda, som har ansvar for at krava i loven er følgt. Det må komme klart fram kor data blir behandla, òg for underleverandørar.12 Avtalen kan ikkje innehalde noko om at leverandøren (databehandlar) kan bruke personopplysningar til eigne formål, for eksempel til å forbetre tenestene sine.
- Verksemda må revidere bruken av skytenester jamleg. Det vil seie at verksemda sjølv, eller ein tredjepart, gjer ein tryggingsrevisjon og sikrar at databehandlaravtalen er følgt. Dersom det er kontroll, må verksemda kunne legge revisjonsrapporten fram for Datatilsynet.
- Den behandlingsansvarlege må sørge for at overføring av data til andre land følger loven.
- Det må vere sikker kommunikasjon, og kommunikasjonen må vere kryptert. Ein må kryptere sensitive personopplysningar.
- Personopplysningar frå ulike kundar (behandlingsansvarlege) må vere skilt frå kvarandre hos skyleverandøren (databehandlar).
- Løysinga som blir brukt må vere tilstrekkeleg dokumentert, og verksemda må kunne legge fram dokumentasjon for kontroll.
Innkjøp
Kjøp av skytenester bryt på mange måtar med den tradisjonelle måten å drive innkjøp på i offentleg sektor. Sjølv om regelverket for anskaffing i offentleg sektor ikkje i seg sjølv inneber noka avgrensing av høvet til å skaffe eller bruke skytenester, er det mange viktige ting ein må ta omsyn til ved innkjøp av slike tenester:
Samanlikning av prisar
Formålet med regelverket for offentleg anskaffing er å sikre best mogleg utnytting av ressursane i samfunnet. Derfor er det kostnaden for den innkjøpte vara eller tenesta gjennom heile levetida som er viktig. Dette omtaler vi gjerne som total levetidskostnad (Total CostofOwnership, TCO).
TCO ved eiga drift kan bereknast som summen av kostnadane til:13
- energiforbruk (straum til maskinane, nødstraum, straum til kjøling)
- tilsette (lønn og sosiale kostnadar)
- nettverk
- bygningar (nedskriving, vedlikehald, evt. leige, tryggingstiltak mm)
- lisensar og vedlikehaldsavtalar
- maskinvare
Det er særskilt relevant å ta omsyn til dette når ein skal vurdere kostnaden for ei teneste som består av ein kombinasjon av for eksempel programvare som teneste og drift av denne programvara hos skyleverandøren, opp mot det å kjøpe programvara som produkt og sjølv stå for drifta, eventuelt kjøpe driftstenester hos ein tredjepart.
Korleis spesifisere behov?
For å sikre at ein vel det mest fordelaktige tilbodet, er det viktig å spesifisere kva funksjonar ein treng, og ikkje først og fremst komme med detaljerte tekniske spesifikasjonar. Då er det mindre sjanse for at ein stenger ute nokon teknologiske plattformer frå starten av.
Val av kontrakt
For skytenester kan det òg vere vanskeleg for kunden å velje kontraktsform. Skytenester blir ofte selde med standard vilkår som er felles for alle kundar. Difi reviderte staten sine standardavtalar (SSA) i 2015, og dei nye avtalane er betre tilpassa skytenester enn dei gamle avtalane som skilde strengt mellom programvare og drift. Dei nye SSA-ane opnar for å ta inn standard lisens- og avtalevilkår frå leverandøren. Dei kan derfor brukast for kjøp av tilgang til standardsystem i skya. SSA-en blir då supplert med leverandøren sin standard tenesteavtale og eventuelt databehandlaravtale basert på Datatilsynet sin mal.
For meir kompliserte kjøp kan det vere vanskeleg å få skytenester til å passe inn i dei standardavtalane som finst, der ein skil mellom kjøp av program- og maskinvare14 og kjøp av driftstenester15.
Exit-kostnadar
Korleis får ein tak i eigne data hos leverandøren når kundeforholdet er avslutta – uavhengig av grunn? Korleis får ein flytta data til ein ny leverandør? Og kva skjer med data som oppstår som eit resultat av drifta, slik som bruksstatistikk? Som ved kjøp av anna programvare, er det viktig å passe på at ein ikkje endar opp med å vere låst til éin spesiell leverandør, eller at ein ikkje har kontroll over eigne data. Det er derfor viktig å sikre at ein kan få tak i opplysningane sine i eit format som ein kan bruke vidare. Det er verdt å merke seg at den nye personvernforordninga til EU inneheld krav om portabilitet. Dette gjeld for personopplysningar, men vil truleg i praksis få effekt for alle typar data.
Dei fleste verksemder vil ha nytte av å lagre data over tid, og det er derfor ikkje usannsynleg at ein vil flytte data mellom leverandørar. For det offentlege – som har arkivplikt – er det spesielt viktig å ta omsyn til bevaring for ettertida. Det er arkivskaparen sin plikt å sikre at alt arkivverdig materiale som er digitalt skapt blir fanga opp, og at det ikkje går tapt viss ein for eksempel bytter leverandør eller leverandøren går konkurs.