Kan vi ha tillit til skytjenester?
KRONIKK: Offentlig innkjøpere kan ikke forvalte samfunnets midler basert på emosjonelle dimensjoner, skriver it-sjef Bjørn Jonny Villa i Trondheim kommune.
Et tema som til stadighet dukker opp i nyhetsbildet er den økende bruken av skytjenester, og problemstillinger relatert til dette. Det er utelukkende positivt at vi er engasjert og deltar i en debatt når viktige deler av vårt samfunn er i endring, for det er jo nettopp det vi snakker om: en samfunnsendring. Dagens samfunn er helt avhengig av internett, og de tjenester som idag leveres over internett er i stor grad skytjenester. Dermed treffes vi av dette med full tyngde både som privatperson og som arbeidstaker.
Selv om begrepet skytjenester har blitt definert til det kjedsommelige av et utall personer, så er det dessverre på sin plass atter en gang å påpeke at en skytjeneste ikke er noe magisk. Den aktuelle "skyen" er altså internett som kommersielt sett har eksistert i Norge siden tidlig på 90-tallet, og "tjenestene" er det vi har fått tilgang til gjennom dette globale nettverket.
De første skytjenestene vi tok i bruk som privatpersoner - epost og web - er dermed snart 30 år. Den engelske varianten av begrepet, Cloud Computing, oppsto allerede i 1996, den gang brukt av Compaq Computer for å beskrive utviklingen av internett (kilde: MIT Technology Review, 31. oktober 2011).
Grunnen til at det har blitt så stor oppmerksomhet rundt begrepet skytjenester nå de siste årene er primært fordi det brukes med stor tyngde i markedsføring av tjenester, både nasjonalt og internasjonalt. Idag er det helt utenkelig for en leverandør av it-løsninger å ikke ha en strategi for bruk av sky som del av en tjenesteleveranse.
Om vi nå har etablert en omtrentlig forståelse av hva disse skytjenestene egentlig er så kan vi reflektere litt rundt spørsmålet om vi har tillit til disse tjenestene, eller kanskje gå rett på sak og spørre oss selv om vi har tillit til de aktørene som står bak dem. Dersom vi igjen støtter oss litt på definisjoner så er tillit basert på om vi tror den aktuelle aktøren er ærlig, rettferdig og har gode hensikter. En aktør på internett i denne sammenhengen kan i prinsippet være hvilken som helst av de snart fire milliarder menneskene som er aktive brukere av internett (kilde: Internet World Stats, 25. mars 2017).
Dette kan kanskje høres litt dramatisk ut, men dette er faktisk realiteten.
Vår generelle bruk av internett med tilhørende tjenester idag er så tett koblet med alle samfunnsfunksjoner at jeg tror et fåtall av oss aner omfanget. Vi har allerede et ekstremt digitalt liv både privat og i arbeidslivet, og det er stadig forventninger om at dette skal økes ytterligere. Arbeidsoppgaver skal gjøres mer effektivt, med høyere kvalitet og til lavere pris. På hjemmebane så er vi på et enda mer avansert nivå; vi handler, deler, registrerer, søker og kaster oss over alt nytt som dukker opp. Resultatet av dette er at vi teknisk sett utvikler oss som samfunn ekstremt raskt.
Dette stiller dessverre store krav både til oss som individer og andre aktører. Det er fristende og ganske logisk å begynne med oss selv i denne sammenhengen. Hver dag så tar vi valg eller gjør ting som medfører "digitale fotspor", og det er helt naturlig at vi også har mulighet for. Men da må vi samtidig være bevisst på hva vi gjør, og at vi selv tar vår del av ansvaret for dette.
Retten til et privatliv er nedfelt som en menneskerettighet, og er grunnlaget for både internasjonale retningslinjer og nasjonal lovgivning. Som det står på Datatilsynet sitt nettsted: "Vi har alle noe vi ikke ønsker å dele med andre. Ikke fordi vi gjør noe ulovlig, eller har noe å skjule, men rett og slett fordi vi vil være i fred."
Det er videre klare retningslinjer for hvordan personopplysninger av ulik type kan klassifiseres, og basert på dette hvordan de skal behandles av de involverte aktører.
Profesjonelle aktører som opererer i et internasjonalt marked må forholde seg til summen av alle lovgivninger, noe som i praksis betyr at de må etterleve de strengeste reglene. Eksempelvis så har dette medført at amerikanske aktører har tilpasset seg europeisk lovgiving da den innenfor dette området har vært på et vesentlig høyere nivå. Dette er en helt naturlig ting for en internasjonal aktør å gjøre fordi de ønsker å ta del i det europeiske markedet.
Som offentlig innkjøper av skytjenester forholder vi oss til reelle avtaler og aktuell lovgivning.
Når vi som offentlig aktør i dette landskapet skal leve opp til de forventninger som stilles til oss så kan vi ikke late som om skytjenester ikke eksisterer. Vi må ta del i denne utviklingen til det beste for innbyggerne og samfunnet som helhet. Dette gjør vi innenfor rammene av all relevant lovgivning som til tider gjør at noen kanskje opplever at det ikke alltid går så raskt, men det er vår hverdag og det aksepterer vi. Som en konsekvens av dette, som ikke like ofte fremsnakkes, er en grundighet og rettferdighet som vi er stolte av. Når vi velger en løsning og en leverandør så gjør vi det på et grunnlag som er etterprøvbart og som tåler innsyn fra samfunnet forøvrig.
Sakens kjerne i dette er at vi som offentlig innkjøpere ikke kan forvalte samfunnets midler basert på emosjonelle dimensjoner som hvem vi "liker" eller "hvem vi synes er skumle". Slik kan nok til en viss grad private aktører operere men i det offentlige er dette uakseptabelt.
Som offentlig innkjøper av skytjenester forholder vi oss til reelle avtaler og aktuell lovgivning, deriblant også avtaler som regulerer behandling av personopplysninger. Det sier seg selv at det ville hatt liten verdi for oss å be leverandørene våre om å bekrefte at de var ærlige, rettferdige og hadde gode hensikter slik at vi kunne ha tillit til dem. Avtaler mellom profesjonelle aktører forventes etterlevd, og skulle avvik oppstå så vil det også bli håndtert, som i noen tilfeller vil omfatte innrapportering til relevante myndigheter.
Det er mange som på generelt grunnlag ikke har tillit til store og suksessrike selskaper, og som i tillegg også misliker selskaper fra enkelte land, eksempelvis USA. Personlig så synes jeg det er flott at selskaper lykkes og setter stor pris på den kvaliteten som kommer fra selskaper av en viss størrelse. Er også gammel nok til å innse at det er aktører i USA som har gitt oss PC-er, operativsystemer, smarttelefoner og et hav av tjenester opp gjennom årene. Den norske skrytelisten av teknologiske bidrag på samme nivå er ikke lang, om den i hele tatt eksisterer.
Jeg har full tillit til at amerikanske aktører er profesjonelle og etterlever de avtaler som inngås.
Jeg har full tillit til at amerikanske aktører som eksempelvis Google, Microsoft og Amazon er profesjonelle og etterlever de avtaler som inngås. Den gjennomgående kvaliteten som kommer gjennom størrelsen på disse selskapene tror jeg det er tilnærmet umulig for en liten nasjonal aktør her i Norge å levere til en konkurransedyktig pris. Argumenter knyttet opp mot at datalagring i Norge er så mye sikrere enn i utlandet ser jeg heller ingen grunn til at man skal klamre seg fast i. Uansett hvilke serier man ser på TV-en så er det et faktum at informasjon kan krypteres på en slik måte at det ikke finnes nok energi i hele verden til å gjennomføre en "brute force" dekryptering.
Til dere "mørkemenn" som spiller skummel musikk og får spalteplass for å ytre deres bekymringer så oppfordrer jeg dere heller til å bidra med noe positivt. Hjelp oss i felleskap fremover på en sikker måte isteden for å late som om verden vil stoppe opp. Kom med realistiske og konstruktive forslag - opplev gleden av å bidra.
Bjørn Jonny Villa (ph.d.) er it-sjef i Trondheim kommune og førsteamanuensis ved NTNU.