Nede i kjelleren i mange norske virksomheter står det noen hyllemeter med servere som kjører kritiske IT-systemer. Selv om dette er milevidt fra de glossy bildene vi forbinder med offentlig sky og industrielle datasentre, er små, private datasentre som dette den desidert vanligste formen for kjøremiljø som finnes.
Felles for brorparten av disse virksomhetene er at de har begrensede ressurser og kompetanse til sikring, vedlikehold og drift, slik at datasentrene utgjør en voksende operasjonell og sikkerhetsmessig risiko.
Løsningen for de fleste er å modernisere ved å flytte ugraderte IT-systemer til offentlig sky levert av en amerikansk hyperscaler som Google, Microsoft, Amazon eller kanskje Oracle.
Begrenses av sikkerhetsloven
Men for virksomhetenes digitale, skjermingsverdige verdier, altså utpekte IT-systemer eller IT-systemer som inneholder skjermingsverdig informasjon regulert av norsk sikkerhetslov, er valgmulighetene langt færre og mye mer kompliserte.
Et hovedproblem er at kommersielle datasenteraktører i utgangspunktet ikke er underlagt sikkerhetsloven og derfor mangler nødvendig hjemmelsgrunnlag for å sikkerhetsklarere personell før de får en kunde som er underlagt sikkerhetsloven.
Et annet hovedproblem er at det å designe en sikker skyplattform for mange kunder (multi-tenancy), adskilt med programvarebasert sikkerhet og godkjent for ulike graderingsnivåer fra skjermingsverdig ugradert til konfidensielt, ikke er noen triviell sak.
Mange utredninger
Det offentlige har produsert flere konseptvalgsutredninger (KVU-er) og startet skyplattformprosjekter som har utredet datasenterplattformer for ulike graderingsnivåer til forskjellige deler av offentlig sektor. Felles for utredningene er:
- Hyperscalernes nåværende skytjenester kan ikke benyttes.
- Det vil koste titalls milliarder å bygge plattformer for det samlede behovet til det offentlige.
- Private virksomheter er ikke tiltenkt plass.
Bevilgende myndigheter i Stortinget har så langt ikke satt av én krone til bygging, det offentlige har ikke nødvendig kompetanse til å starte implementering, og bruk av internasjonale aktører er uaktuelt. Så her står, enn så lenge, debatten.
Glimrer med sitt fravær
Private virksomheter underlagt sikkerhetsloven står i en svært krevende situasjon. Hyperscalerne jobber med noen produkter som på sikt kan bli til private skyløsninger som tilfredsstiller sikkerhetslovens krav, men er selv ikke villige til å lage et slikt tilbud til det norske markedet. Tradisjonelle norske og regionale datasenterleverandører glimrer med sitt fravær – de sliter med lønnsomheten og tilgangen til kompetanse i takt med kundenes migrasjon til offentlig sky.
De private virksomhetene har i realiteten bare to valg hvis de skal modernisere sine digitale, skjermingsverdige verdier:
Gyve løs på implementeringen av en moderne, privat skyplattform på egenhånd, eller betale en sikkerhetsgodkjent leverandør til å bygge og drifte den spesielt for seg. Men problemet er at antall ressurser med dyp sky- og sikkerhetskompetanse i Norge kan telles på noen få hender, og prislappen for å bygge en helt ny plattform med «forsvarlig sikkerhet» er astronomisk.
Bremser digitaliseringen
Mangel på gode alternativer for å modernisere eldre datasentre med skjermingsverdige verdier gjør at de fleste blir værende på eksisterende løsninger. Dette fører til at utvikling bremses, det begrenser tilgangen til moderne sikkerhetsløsninger og hindrer bruk av de nyeste plattformene og utviklingsverktøyene – der all innovasjon skjer. Resultatet er en betydelig brems i digitaliseringen av det skjermingsverdige domenet.
Samtidig øker sikkerhetsrisikoen, både for virksomheten selv, for kundene og for kritiske nasjonale tjenester som er avgjørende for totalforsvaret. Dette burde være en stor bekymring for både eiere av virksomhetene og norske sikkerhetsmyndigheter.
I den videre prosessen med nasjonal sky – hvor det nå skal piloteres løsninger, slik Justis- og beredskapsdepartementet har opplyst om – er det viktig at man også har dette perspektivet med seg. Ekomsikkerhetsutvalget har etterlyst at «Justis- og beredskapsdepartementet tydeliggjør videre ambisjonsnivå og plan, og gjør nødvendige midler tilgjengelig for arbeidet.»
For piloteringen og diskusjonen videre er det også viktig at etablerte aktører inviteres med i prosessen. Fra Telenors side bidrar vi gjerne.
Telenor må forholde seg til de krav som stilles til nødnummer-tjenesten
