NITO-kongressens uttalelse:

Stadig flere bruker skytjenester. Disse IT-tjenestene blir levert over internett og lar kunden bruke operativsystemer, sende e-post, jobbe med regnskapsprogrammer eller lagre data – alt uten at disse programmene eller filene ligger på den individuelle datamaskinen vedkommende benytter. Isteden blir alt lagret på servere i store datasentre – mange i utlandet.

Skytjenester kan bidra til rimelige og fleksible IT-løsninger for både offentlig og privat sektor. Bedrifter kan spare store summer ved å slippe å måtte kjøpe inn maskin- og programvare. Driften kan effektiviseres betydelig.

Samtidig vil tjenestene bli mer brukervennlig. Man kan få tilgang til dataene hvor som helst, så lenge det er nettforbindelse. Tjenestene prises etter bruk, og ved økt behov er tjenestene derfor raskt skalerbar.

Økt bruk av nettsky gir nytt risikobilde

NITO er opptatt av de sikkerhetspolitiske konsekvensene ved bruk av nettsky. Vi har tidligere sett eksempler på norske virksomheter som har hatt eller har ønsket å ha datasentre i land som har fått endret sin sikkerhetsmessige situasjon.

Inntil Ukraina-krisen var det få som tenkte på at det kunne være uheldig å ha kritiske ressurser i andre land. Norges politiske uavhengighet blir utfordret dersom vi er prisgitt et annet lands forvaltning av sensitive eller samfunnskritiske data.

For lagring i andre land løses mye ved hjelp av godt lovverk, internasjonalt samarbeid og solide avtaler. Det er likevel på sin plass å spørre hva dette vil være verdt, hvis vertsstaten velger å ignorere sine forpliktelser? Det holder ikke med bare juridiske avtaler dersom vertsnasjonen ikke følger spillereglene. Hvis for eksempel viktige offentlige registre eller elektronisk styring av vital infrastruktur blir utflagget til et datasenter i et annet land, risikerer vi at ikke bare bedrifter eller hackere, men også vertslandet og/eller andre stater bruker dette mot oss.

Mange offentlige virksomheter er anbefalt å lagre data i Norge for eksempel forsvar, politi og helsevesen. Det er likevel knyttet stor usikkerhet til kravene for lagring.

Regjeringen har oppe til vurdering en endring av forskrift om offentlige arkiv, for å tillate lagring av arkiver fra offentlige virksomheter i skyløsninger med servere i utlandet. (Kartlegging av hindringer i regelverk for bruk av skytjenester -Overlevert kommunal- og moderniseringsdepartementet 13. mai 2015.) Det vil også foretas en gjennomgang av regnskapsloven.

NITO mener at alle offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og at registrene driftes av norske selskap.

Videre bør det opprettes et felles minimumskrav for tilbydere av skytjenester til offentlig sektor med standarder for bl. a. grensesnitt og sikkerhetsnivå. Dette skal sørge for at det opprettholdes et gitt sikkerhetsmessig nivå. Det skal samtidig gjøre det enkelt for det offentlige å bytte leverandør.

Risikovurdering

Før man plasserer sensitiv informasjon i nettskyen skal den aktuelle offentlige eller private virksomhet gjøre en risikovurdering for å oppnå tilfredsstillende informasjonssikkerhet. En slik vurdering av sensitivitet krever solid kompetanse, og kan ikke bli gjenstand for kortsiktige økonomiske vurderinger. I tillegg utvikles teknologien svært raskt. Nye muligheter vil derfor oppstå før lovverket er på plass, noe som alene krever kompetanse på risikovurdering ute i virksomhetene. Alle kan likevel ikke ha toppkompetanse på risikovurdering.

Rådgivningsmiljøene i Datatilsynet og Difi må styrkes slik at det blir enklere å ta beslutninger om dataplassering for kommuner og andre virksomheter i offentlig sektor, som ikke har tilstrekkelig kompetanse på risikovurdering.

Informasjon om personvern og sikkerhet er vanskelig tilgjengelig for sluttbrukere

For mange privatpersoner (sluttbrukere) er det vanskelig å sette seg inn i vilkår om personvern og sikkerhet. En undersøkelse NITO har fått gjennomført viser at 50 % er helt eller noe enig i at det er for vanskelig å sette seg inn i hva man samtykker til når man benytter skytjenester. Samtidig bruker 17 % av sluttbrukerne nettskyløsninger i jobbsammenheng. Mange gjør dette uten at arbeidsgiver er klar over det. (69 % sier arbeidsgiver er klar over dette).

Alle har et eget ansvar for risikovurdering av sin bruk av skytjenester. Samtidig må det legges bedre til rette for at privatpersoner i større grad kan vite hva de samtykker til når de bruker skytjenester.

Det må utarbeides krav til brukervilkår som sikrer privatpersoner et minimum av kontroll på tilgang og eierskap til egne data.

Informasjonssikring berører også sikkerhet for industriell virksomhet. Sikkerhetssystemer på fabrikker og produksjonsanlegg på land og offshore er avhengig av robuste IT-systemer, som anleggene selv har kontroll på.

Regjeringen stiller seg positiv til skytjenester og arbeider nå for å fremme dette.

NITO ønsker at samfunnet benytter nettskyen på en trygg måte. Hvor mye tenker våre ledere på sikkerhetsaspektet?

NITO mener at:

  • Alle offentlige registre som lagrer sensitive eller samfunnskritiske data pålegges å lagre dette på servere i Norge, og at registrene driftes av norske selskap. Utflagging av data til skyleverandører i land må uansett kun gjøres til solide demokratier og rettsstater, som har strenge prosedyrer for informasjonssikkerhet.
  • Det må utarbeides felles minimumskrav for tilbydere av skytjenester til offentlig sektor med standarder for bl.a. grensesnitt og sikkerhetsnivå. Dette skal sørge for at det opprettholdes et gitt sikkerhetsmessig nivå. Det skal samtidig gjøre det enkelt for det offentlige å bytte leverandør.
  • Rådgivningsmiljøene i Datatilsynet og Difi må styrkes slik at det blir enklere å ta beslutninger om dataplassering for kommuner og andre virksomheter i offentlig sektor, som ikke har tilstrekkelig kompetanse på risikovurdering.
  • Norske data må lagres i henhold til norsk lovgivning også ved lagring i utlandet.
  • Offentlige og private virksomheter må ha kompetanse til å gjøre nødvendig risikovurdering av egne data.
  • Privatpersoner må i større grad vite hva de samtykker til når de bruker skytjenester. Det må utarbeides krav til brukervilkår som sikrer privatpersoner et minimum av kontroll på tilgang og eierskap til egne data.

Les mer om NITOs politikk for IKT