Dagens oppslag i digi.no om at NSA snoker i kryptert nettrafikk er ikke overaskende, men den bør få norske ledere til å tenke seg litt om når de skal ut å handle skytjenester. En ting er lover og regler, en annen ting er sunn fornuft, risikostyring og risikoreduksjon.
Tidligere har digi.no gjentatte ganger skrevet om problemer knyttet til Datatilsynets «ja» til nettskytjenester i norske kommune, blant annet Google Apps i Narvik og Office 365 i Alta.
Datatilsynets «ja» er betinget av følgende forutsetninger:
- Det må gjennomføres grundige risikovurderinger i forkant
- Tjenesteleverandøren må ha en tilfredsstillende databehandleravtale i tråd med norsk regelverk. Det er kommunen (den behandlingsansvarlige) som har ansvar for at lovens krav følges
- Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon og sikrer at databehandleravtalen følges.
- Det må forutsettes at databehandleravtalen gjelder og at leverandørens generelle personvernerklæring ikke går utover den.
Fint og flott det! Men hva med den amerikanske loven FISA (Foreign Intelligence Surveillance Act) som lar USAs etterretningstjenester overvåke utlendingers data lagret i amerikanske skytjenester?
Om dette har Datatilsynets direktør Bjørn Erik Thon uttalt: «Hvis dette viser seg å stemme kan det spille inn på lovligheten av å lagre ting på skyen.» Han har understreket at det skal gjøres en risikovurdering, og at mulig overvåking kan påvirke konklusjonen, hvis dataene er av sensitiv karakter.
Thon mener at faren for overvåking kan påvirke norske bedrifter og privatpersoners valg av skytjenester: «Selvfølgelig kan det tvinge seg frem at folk velger norsk eller europeisk lagring».
Thon berører dermed selv kjernen i hva norske leder må tenke på. Det er risikoen som teller, ikke om de får lov eller ei.
Dessverre opplever jeg at mange virksomheter jeg snakker med og møter, er mest opptatt av om de får lov eller ei til å velge sky. Det er feil inngang til problemstillingen.
Det er mange ting i livet som er lov, men som vi velger å avstå fra å gjøre, for eksempel med bakgrunn i risiko.
I en helt fersk IDC c-suite survey kommer det klart frem at det er Collaboration/ samhandling (her finnes også kjente løsninger som Office 365, Google+) som er den tjenesten flest kunder ser for seg å kjøpe som en skytjeneste.
Men det lederne må spørre seg om er: Er det greit for dine ansatte, kunder og selskapets rykte at man legger ting som mail, chat, dokumentdeling, videomøter og så videre i en sky underlagt amerikansk lovgivning?
Man vet lite om hva som finnes av lesetilganger, rapporter, overvåkning, osv.
Risikovurderingen har så langt kanskje vært mest forbundet med vurderinger om skytjenesten er sikker. Jeg stoler helt på at disse public cloud-løsningene er bygget på en meget god måte, effektivt, sikkert, kyndige personer. Men dette hjelper lite når man har lover som gir myndighetene tilgang til dine data…
Risikovurderingen rundt valg av skytjenesteleverandør må derfor også handle om «hvem kan lovlig få tilgang til mine data». Dette kommer til å komme på dagsorden i de fleste store offentlige selskap, mye grunnet varsleren Edward Snowden. Kan dette skje i Norge? Kan vi sikre oss mot dette?
Vi kan lite gjøre mot den økende mengde data, vi kan lite gjøre mot en dreining mot skytjenester, men du kan redusere risiko og få de samme fordelene med å kjøpe norske skytjenester, som både vi i Datametrix og flere andre kan levere.
Så mitt råd til næringslivsledere, IT-ledere og andre som vurderer skytjenester er at du man tenker på risiko, kost, hva man vil oppnå, og ikke bare hva er lov/ikke lov. Den beste beskyttelsen mot snoking er å velge en leverandør hvor dataene oppbevares et sted hvor du er trygg på hvem som har tilgang til dem – lovlig eller ulovlig.
Ha et godt valg, som det heter i disse dager.