Vil staten rote seg bort i en grå tåke?

Search in Cloud Computing ConceptSkattedirektør Hans Christian Holte publiserte før helgen et blogginnlegg på Skatteetatens innovasjonsblogg Vil staten sveve på en rosa nettsky? Det er ikke vanskelig å være enig i Holtes spådommer når han skriver at debatten om statens bruk av skytjenester kommer for fullt i 2014.

Han påpeker også at ulike behov og krav kan være noen av de utfordringene staten står ovenfor. Det er heller ikke vanskelig å være enig i Holtes vurderinger og spesielt ikke når det gjelder de forskjellige krav som stilles til behandling av personopplysninger eller enda vanskeligere; sikkerhetsgradert informasjon.

Bruken av skytjenester har mye positivt over seg og det kan være mye å hente når det gjelder effektivisering og ressursbruk. Vi kan sågar få bedre sikkerhet ved å bruke skyen fordi tjenester profesjonaliseres, men dette er avhengig av flere faktorer. Men skytjenester bør ikke ukritisk tas i bruk bare fordi det er “in” for tiden. Informasjonssikkerhet må være en vesentlig del av planen, produktet, implementeringen og driften av skyteknologi eller tjenester.

Sky eller tåke?

Sky eller tåke?

Er skyen noe nytt?
Jeg har i mange år hevdet at skytjenester egentlig ikke er noe nytt! Det bare markedsføres bedre og annerledes. Som databruker på 90-tallet kunne jeg lagre min informasjon utenfor egen PC eller utenfor min fysiske kontroll om du vil. Selvsagt har den teknologiske utviklingen endret seg drastisk siden den gang, men uten at prinsippet er vesentlig endret. Forstå meg riktig når jeg påstår at det er litt «Same shit, new wrapping» når begrepet skytjenester er innført av sterke markedskrefter. Ikke noe galt i det og det er ikke vanskelig å si seg enig med dem som sier: «Enorme muligheter i skyen» – Anonym IT Direktør

Men hva om vi endrer noe på ordlyden?
«Enorme muligheter i tåka» – Anonym hacker eller «Enorme muligheter i skyen» – Anonym etterretningsoffiser
Er vi like positive da?

De to siste uttalelsene er like aktuelle som den første. For skyen eller skytjenester er til syvende og sist bare et ord som beskriver den teknologiske muligheten til å lagre informasjon ett eller flere fysiske steder. Med lagring utenfor din eller min fysiske nærhet følger det en rekke risiko og sårbarhetsfaktorer som må håndteres.

Kontroll, kontroll, kontroll!
For meg handler skytjenestene om en ting. KONTROLL! – Kontroll over hvem som er leverandør, kontroll med hvem som har tilgang til data, kontroll med hvor informasjonen blir lagret, kontroll med hvordan informasjonen transporteres og sist og ikke minst, nasjonal kontroll over nasjonal informasjon.

Dersom Holte får rett i sine spådommer så kommer debatten om skytjenester i staten for fullt i 2014. Men i lys av det siste årets utvikling og avsløringer knyttet til global overvåkning og etterretningsaktivitet håper jeg vi virkelig starter diskusjonen på rett sted.

Selvsagt er spørsmålet om staten skal ta i bruk skytjenester i stor skala viktig. Men jeg våger å påstå at det er et spørsmål som allerede er avgjort. Utviklingen tvinger oss om ikke annet.

Jeg våger å påstå at et av de viktigste og sentrale spørsmål er om vi skal ha informasjonen vår i en nasjonal sky eller om vår nasjonale informasjon skal kunne transporteres og lagres utenfor landets grenser? Uten nasjonal kontroll og -lagring er ikke skytjenester bare et spørsmål om teknologi og forretningsjus, men internasjonal jus og andre lands nasjonale lovgivning blir plutselig trusselfaktorer som påvirker vår mulighet til å beskytte informasjonen.

Om den nasjonale skyen som jeg ønsker meg, skal være statlig drevet eller privat er jeg ikke så opptatt av, så lenge informasjonen holdes innenfor landegrensene.
Det blir mer enn nok av sikkerhetsutfordringer med en nasjonal sky om vi ikke skulle bestemme oss for at informasjonen skulle lagres i et annet land i tillegg.

De kortsiktige konsekvensene ved å ikke digitalisere samfunnet vinner som regel alltid over de langsiktige konsekvensene ved å ikke sikre resultatet av digitaliseringen. Men la oss allikevel skynde oss langsomt, selv om vi skriver 2014!

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Informasjonssikkerhet, Innovasjon, Internettsikkerhet. Bookmark the permalink.