Hopp til hovedinnhold

Samlet innspill fra Skate til Justis- og beredskapsdepartementet vedrørende KVU om mulig nasjonal skytjeneste for beskyttelsesverdige data fra statlig sektor.

Til Justis- og beredskapsdepartementet

Innspill vedrørende KVU om en mulig nasjonal skytjeneste for beskyttelsesverdige data fra statlig sektor

Innledning

Vi viser til Nasjonal sikkerhetsmyndighets (NSM) konseptvalgutredning (KVU) for en nasjonal skyløsning som er gjennomført på bestilling fra Justis- og beredskapsdepartementet. Skate ønsker å bidra med våre innspill i prosessen.

Hovedbudskap:

  • Det er behov for et klart juridisk rammeverk for bruk av skytjenester i offentlig sektor.
  • Vi er bekymret for tilgangen på tilstrekkelig kompetanse nasjonalt. Det kan gå utover sikkerheten i en nasjonal skyløsning, og gjøre at vi går glipp av tilgangen til innovasjon som er en viktig grunn til å benytte kommersielle skytjenester.
  • Vi er bekymret for kostnadene ved å etablere, drifte og vedlikeholde en nasjonal skytjeneste.
  • En nasjonal skytjeneste må legge til rette for deling av data på tvers av sektorer og forvaltningsnivåer. Datadeling må også skje mellom statlige og kommunale aktører. Det er derfor uheldig at kommunesektoren er utelatt fra mandatet for KVUen.

Dette brevet uttrykker et samlet innspill fra Skate. Skate tar forbehold om at innholdet i konseptvalgutredningen har vært unntatt offentligheten og vår uttalelse er gitt med bakgrunn i saksfremlegg fra NSM på Skates møter 12. oktober 2022 og 4. mai 2023 hvor de har presentert arbeidet med KVUen. Gitt at vi ikke har hatt tilgang til utredningen, er våre anbefalinger basert på et begrenset kunnskapsgrunnlag.

Bruk av skytjenester er en klar trend internasjonalt og nasjonalt, på tvers av sektorer. I Norge har flere offentlige virksomheter tatt i bruk skytjenester. Å gjøre lagring, programmer og tjenester tilgjengelig fra store felles datasentre over nettverk, fremfor å være avhengig av at det leveres fra lokale servere og maskiner, gir økt innovasjon og fleksibilitet, og innebærer ofte også økt sikkerhet og kostnadsreduksjon.

Offentlig sektor sitter på omfattende data som er av stor betydning for muligheten til å ivareta samfunnsoppdragene våre og levere nødvendige tjenester til innbyggere og næringsliv. Disse ressursene må ivaretas og forvaltes på en trygg og god måte, både i fredstid, krise og konflikt. Krigen i Ukraina har tydelig vist hvor viktig det har vært for offentlig sektor å ha tilgang til sentrale data i sky og, i det tilfellet, i skytjenester plassert utenfor egne landegrenser.

Tematikken som nå løftes gjennom NSMs KVU er viktig, og Skate ønsker å komme med innspill til flere aspekter ved det å skulle etablere en nasjonal skyløsning.

Skates hovedbudskap

Skate er enige i at det er viktig å få på plass et klarere juridisk rammeverk for bruk av skytjenester. En felles tilnærming til hva som regnes som beskyttelsesverdige data, hvor beskyttelsesverdige data kan lagres og hvem som kan drifte løsningene vil være positivt for alle offentlige virksomheter. Skate støtter derfor å klargjøre og eventuelt styrke dagens regelverk for bruk av skytjenester, i tillegg til at det etableres eller styrkes en eksisterende statlig tilsynsmyndighet og rådgivningstjeneste.

NSM viser til at vi gir fra oss noe kontroll over dataene våre ved å ta i bruk kommersielle skytjenester, blant annet gjennom at enkelte nasjonalstater har lovgivning som kan gi dem tilgang til data. Skate vil påpeke at risiko knyttet til bruk at skytjenester vil måtte fastslås basert på en totalvurdering. Ved å bruke kommersielle løsninger kjøper vi teknisk sikkerhet fra kommersielle aktører som investerer betydelige ressurser og kompetanse i kontinuerlig utvikling av skytjenestene. Videre leveres de fleste skytjenester som benyttes i dag av aktører i land som Norge allerede har sikkerhetspolitisk samarbeid med. Skate mener at dette er elementer som bør vektlegges i vurderingen av risikoen knyttet til kommersielle skyleverandører.

En nasjonal skyløsning vil ha andre sikkerhetsutfordringer enn de kommersielle skyløsningene. Etablering av en nasjonal skyløsning vil kreve betydelig kompetanse og kapasitet nasjonalt. Skate er bekymret for hvor realistisk det er å bygge opp og videreutvikle et slikt kompetansemiljø i Norge, gitt at teknologiressurser allerede er mangelvare i offentlig sektor og at vi vil mangle enda flere teknologer i fremtiden. En eventuell nasjonal skyløsning vil være sårbar for tilstrekkelig tilgang på kompetanse, og den vil også kunne ha geografisk sårbarhet. Dette er et forhold det er viktig å ta med i vurderingene av en mulig nasjonal skyløsning, siden en skytjeneste er avhengig av kontinuerlig drift og utvikling etter at den er etablert. Basert på behovet for kompetanse og ressurser er vi ikke sikre på om en nasjonal skyløsning vil gi bedre teknisk sikkerhet enn de kommersielle skyløsningene som benyttes i dag.

Kostnadene knyttet til å etablere og videreutvikle en nasjonal skyløsning er oppgitt å være «betydelige». Vi er kritiske til at det ikke har blitt gitt innsikt i de samfunnsøkonomiske analysene som ligger til grunn for anbefalingene NSM kommer med i KVUen. Skal det etableres en nasjonal skyløsning vil det påløpe store engangskostnader ved etablering, samt kostnader knyttet til bruk, vedlikehold og videreutvikling av valgt løsning. Hvordan disse kostnadene skal dekkes er viktig å få belyst. Med erfaringer fra andre nasjonale fellesløsninger er Skate bekymret for om budsjettene til en eventuell nasjonal skyløsning vil være tilstrekkelige til å sikre nødvendig videreutvikling etter etablering.

Et viktig spørsmål er hvorvidt løsningen vil bli obligatorisk å bruke, og eventuelt for hvilke virksomheter og hvilke data og tjenester. Mange virksomheter har allerede investert i og tatt i bruk kommersielle skytjenester. Migrering til en nasjonal skyløsning vil kunne utgjøre en vesentlig tilleggskostnad. For statlige virksomheter som allerede bruker andre skytjenester vil det trolig være lite attraktivt å migrere med mindre de blir pålagt å gjøre det. Det betyr at løsningen kan bli dyr for de virksomhetene den er mest aktuell å ta i bruk for, eller at virksomheter som allerede bruker andre skyleverandører må håndtere en betydelig ekstrakostnad. Skate er kritiske til at det ikke er opplyst noe om kostnader og mulige betalingsmodeller ved etablering og bruk av løsningen.

En viktig driver til at en velger å ta i bruk skytjenester er tilgang til innovasjon i markedet. Den drives av mange aktører, og gjenspeiler satsingsområder som mange leverandører har arbeidet med over lang tid. Dette er noe en vanskelig kan se at en nasjonal sky kan drive i samme skala som markedet, noe som kan være negativt for utviklingen av digitale tjenester dersom en pålegges å kun benytte en nasjonal sky for beskyttelsesverdige data.

Sett fra forvaltningens ståsted synes tilnærmingen til bruk av skybaserte løsninger å være for snever. Det er gjennomgående høyt fokus på lagring av data, samt styring, kontroll og tilgjengelighet. En vesentlig side ved bruk av de store, kommersielle skyplattformene, er imidlertid tilgangen på fullt integrerte tredjepartsapplikasjoner på plattformene. En «nasjonal skytjeneste, rettet mot statsforvaltningens behov» kan vanskelig dekke behovet for tilgang til denne typen tredjepartsapplikasjoner. En nasjonal løsning synes derfor å fremstå som et mulig supplement og ikke et reelt alternativ som kan erstatte bruk av allerede tilgjengelige kommersielle løsninger fullt og helt. Det er sentralt å definere hvordan selve skyløsningen skal bli etablert og forvaltet, og hvordan denne skal få jevnlige oppdateringer med hensyn til ny funksjonalitet, innovasjon og sikkerhet. Dersom etablering, forvaltning og utvikling alene skal skje innen den nasjonale skytjenesten, basert på norske offentlige virksomheters behov, vil det være mer naturlig å kategorisere tjenesten som et nasjonalt datasenter, mer enn en nasjonal sky, da tjenesten i mindre grad vil oppfylle hva det er naturlig å definere som skytjenester.

Offentlig sektor består av virksomheter av svært ulik størrelse og formål i statlig og kommunal sektor. Mandatet for utredningen avgrenser arbeidet til statsforvaltningen. Dette utelukker kommunesektoren som består av svært mange små aktører som i begrenset grad har tilstrekkelig kapasitet og kompetanse på teknologi og sikkerhet. Mandatet utelukker også helsesektoren som sitter på store mengder personsensitive data. Skate mener at mandatets avgrensning vil redusere nytten av en eventuell nasjonal skyløsning.

For Skate er datadeling i offentlig sektor viktig. Deling av data er en forutsetning for å levere gode offentlige tjenester. Dette er også et sentralt element i digitaliseringsstrategien fra regjeringen og KS (Én digital offentlig sektor - regjeringen.no). En nasjonal sky må legge til rette for og støtte opp under dette. Mange beskyttelsesverdige data deles mellom både forvaltningsnivåer og sektorer, og en rekke relevante data produseres først og fremst i kommunene. Så lenge en nasjonal skyløsning bare omfatter statsforvaltningen, vil store mengder data flyte mellom nasjonal sky og andre løsninger, noe som kan redusere effekten av en eventuell nasjonal skyløsning.

Gitt utfordringene vi ser knyttet til tilgang på kompetanse, sikkerhetsrisikoene manglende kapabilitet kan medføre og de ekstra kostnadene, vil Skate peke på at det er behov for en vurdering av hva som legges i «nasjonal kontroll». Et samarbeid med andre land kan være hensiktsmessig for å sikre tilstrekkelige ressurser og kompetanse til å ivareta sikkerheten på en god måte. Naturlige partnere kunne være de øvrige nordiske landene eller andre land vi har et sikkerhetspolitisk samarbeid med.

Skate ønsker å være en konstruktiv partner i viktige saker knyttet til digitalisering i offentlig sektor. Vi er tilgjengelig for eventuell videre dialog hvor vi kan utdype våre innspill. Skate vil gjerne involveres i det videre arbeidet med KVUen når den offentliggjøres og eventuelt sendes på høring.

Hvem er Skate

Skate er et strategisk samarbeidsråd og rådgivende organ for regjeringen. Skate består av direktørene i elleve statlige virksomheter og tre topplederrepresentanter fra kommunesektoren. KDD har fastsatt Skates mandat og oppnevner de statlige deltakerne i Skate, mens KS oppnevner representantene fra kommunesektoren. Skate skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Skate skal gi råd og være en pådriver i saker som er viktig for tverrgående digitalisering og gi råd om sentrale tverrgående strategier, tiltak og investeringer på IKT-området. Samlet sitter Skate på omfattende erfaring med digitalisering i offentlig sektor.

Med vennlig hilsen

Skate

  • Direktør Frode Danielsen, Digitaliseringsdirektoratet
  • Arbeids- og velferdsdirektør Hans Christian Holte, NAV
  • Riksarkivar Inga Bolstad, Arkivverket
  • Direktør Lars Peder Brekk, Brønnøysundregistrene
  • Direktør Mariann Hornnes, Direktoratet for e-helse
  • Områdedirektør Kristin Weidemann Wieland, KS
  • Kommunaldirektør Sølve Monica Steffensen, Oslo kommune
  • Kommunedirektør Roar Vevelstad, Halden kommune
  • Skattedirektør Nina Schanke Funnemark, Skatteetaten
  • Politidirektør Benedicte Bjørnland, Politidirektoratet
  • Kartverksjef Johnny Welle, Statens kartverk
  • Administrerende direktør Geir Axelsen, Statistisk sentralbyrå
  • Direktør Per-Arne Horne, Direktoratet for byggkvalitet
  • Direktør Roar Olsen, Sikt - Kunnskapssektorens tjenesteleverandør