Norge er dømt til å bruke utenlandske skytjenester
LEDER: Men kostnaden kan bli stor.
Nasjonal sikkerhetsmyndighet (NSM) advarer i sin nyeste – og aldeles utmerkete – rapport «Nasjonalt digitalt risikobilde 2020» mot samfunnets stadig økende avhengighet av utenlandske skytjenester.
Statsorganet er spesielt opptatt av at lavere it-kostnader, som driver sky-utviklingen fremover, må vurderes opp mot nasjonal kontroll i forbindelse med ulike situasjoner – i spennet fred, krise, konflikt til krig. Må tjenesten fungere i hele krisespennet, eller bare i deler av det, spør NSM.
Samtidig innser NSM at skytjenester har kommet for å bli, og i mange tilfeller – særlig framover i tid – vil være vesentlige byggeklosser for morgendagens digitaliserte samfunn. Det er opplagt at norske virksomheter kommer til å være helt avhengige av utenlandsk teknologi for å implementere sine løsninger. Som i de fleste andre sammenhenger i en global verden er vi nødt til å stole på leverandørene vi har valgt, også de som ikke er norske. Ingen kan lage alt de trenger, og i alle fall ikke et lite land som vårt.
Problemstillingen ligner på konfliktene mellom myndighetene i USA og kinesiske Huawei. USA mener at det er en sikkerhetsrisiko å bruke utstyr fra Huawei, fordi Kina har lover som pålegger ethvert kinesisk selskap å samarbeide med myndighetene når de krever det. Gir Huawei sine myndigheter tilgang til sine data, eller enda verre: Er det mulig for myndighetene å avlytte kommunikasjon gjennom utstyret lagd av Huawei, hvor det enn er i verden? Vi vet ikke. Om Kina er i konflikt eller krig, vil dette skje da? Aner ikke, men usannsynlig tror vi ikke det er.
Men på den andre siden: Skaffer USAs myndigheter seg tilgang til dataene som finnes i Amazons sky-datasentre? Det vet vi heller ikke. Ville amerikanske myndigheter gjøre det i en konflikt- eller krigssituasjon? Samme svar igjen, men det er vel heller ikke så usannsynlig.
Poenget er at vi må ha et bevisst forhold til hvilke potensielle problemer vi kan risikere å havne i. Da vil det føles tryggere å vende seg til våre tradisjonelle og historiske allierte - selv om vi vet at også de kan både svikte og skuffe oss – enn å gå til selskaper i land der myndighetene eksplisitt har sagt at de ligger i en «ideologisk krig» med den vestlige verden.
Og så er det enkelte ting vi som nasjon alltid må gjøre selv. Ingen utenfor landets grenser kan ha makt til å skru av bank- eller helsesystemene våre. Ikke telesystemene, vann- og strømforsyningene våre heller. Disse og andre samfunnskritiske funksjoner må huses innenfor landets grenser, under nasjonal kontroll.
For andre mindre kritiske systemer må det også nøye vurderes risiko før det velges leverandør. Det stiller høyere krav til innkjøperkompetansen enn noen gang tidligere. Utfordringen for virksomhetene er om de kan og vil investere i den påkrevde kompetansen som kreves for å virkelig forstå alle sidene av å tjenesteutsette kritiske it-tjenester.
Det viktigste er å erkjenne at det finnes kostnader som ikke måles i kroner og øre.