https://www.regjeringen.no/no/dokumenter/meld.-st.-5-20202021/id2770928/
https://www.regjeringen.no/no/tema/samfunnssikkerhet-og-beredskap/innsikt/liste-over-kritiske-samfunnsfunksjoner/id2695609/
Liste over kritiske samfunnsfunksjoner
Listen tydeliggjør hvilke typer virksomheter og personellgrupper som er sentrale for å opprettholde driften av kritiske samfunnsfunksjoner.
https://www.regjeringen.no/no/dokumenter/meld.-st.-9-20222023/id2950130/?ch=4#kap4-3-1
4.3.1 Nasjonal skytjeneste
Mange norske virksomheter velger å kjøpe skytjenester fra store kommersielle, multinasjonale selskaper. Dette bidrar som oftest til å øke sikkerheten for virksomhetene siden de kan utfase utdaterte IT-løsninger, og få tilgang til sikker infrastruktur og profesjonelle sikkerhetsmiljøer. Samtidig er regjeringen opptatt av den samlede nasjonale avhengigheten til utenlandske skyleverandører, og hva konsekvensene av avhengigheten kan være ved potensielle kriser og konflikter. For noen virksomheter bør derfor bruk av skytjenester vurderes opp mot behovet for nasjonal kontroll og nasjonal beredskap.
Stadig flere virksomheter velger allmenne skytjenester for å imøtekomme behovet for nye og forbedrede IT-løsninger. For flere statlige virksomheter er det imidlertid en utfordring at det ikke finnes tilgang på funksjonelle og kostnadseffektive skytjenester med tilstrekkelig grad av nasjonal kontroll. Det kan føre til økt risiko dersom man likevel velger slike løsninger. Alternativet er at virksomhetene må velge lokale løsninger, noe som kan føre til høyere kostnader og begrenset tilgang til nye teknologiske verktøy. Problemet forventes å øke i tiden som kommer.
Regjeringen vil vurdere etablering av en nasjonal skytjeneste for å sikre økt nasjonal kontroll over kritisk IKT-infrastruktur og å beskytte viktig informasjon.
NSM fikk i november 2021 i oppdrag å utrede behovet for en slik skytjeneste. Flere sentrale aktører er involvert i arbeidet. Utredningsarbeidet er omfattende, komplekst og tar opp flere prinsipielle og tverrsektorielle problemstillinger, blant annet teknologiske, sikkerhetsrelaterte, organisatoriske, juridiske og økonomiske. Alternativene som vurderes skal ta utgangspunkt i nasjonal behandling og lagring av data. Sikkerhetsutfordringer som kan oppstå om en leverandør er underlagt utenlandske staters jurisdiksjon inngår i vurderingen. Det samme gjelder eiermodell, eksempelvis om den nasjonale skytjenesten skal eies og driftes av staten selv, men der kompetanse og innovasjonskraft fra det private benyttes. Utredningen skal leveres innen utgangen av 2022, slik at kvalitetssikring kan gjennomføres innen sommeren 2023.
https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/sky-tjenesteutsetting-og-sikkerhet/
Sky, tjenesteutsetting og sikkerhet
Erfaringer fra NSMs operative virksomhet og andre statlige tilsynsorganer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester som skytjenester.
NSM er bekymret for at bl.a samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak, og at tjenester driftes fra utlandet eller flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.
Anbefalingene under kan hjelpe din virksomheter med hensyn til vurderinger rundt tjenesteutsetting av IKT-tjenester, inkludert bruk av skytjenester samt arkitekturmessige valg.
https://nsm.no/regelverk-og-hjelp/rapporter/konseptvalgutredning-for-nasjonal-skytjeneste
https://nsm.no/aktuelt/ma-ha-kontroll-pa-datasentre
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/sikkerhetsfaglige-anbefalinger-ved-tjenesteutsetting/introduksjon/
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/beskytte-og-opprettholde/ivareta-sikkerhet-i-anskaffelses-og-utviklingsprosesser/
https://nsm.no/hold-deg-oppdatert/meninger/datasenter-mellom-to-stoler
https://nsm.no/regelverk-og-hjelp/rapporter/nasjonal-kontroll-av-ikt-tjenester
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/ofte-stilte-sporsmal-om-sky-og-tjenesteutsetting/sky-tjenesteutsetting-og-sikkerhet/
https://nsm.no/aktuelt/statens-muligheter-for-it-modernisering-og-digital-transformasjon-1
https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/landvurdering-ved-tjenesteutsetting-av-ikt-tjenester
https://nsm.no/hold-deg-oppdatert/meninger/samfunnskritisk-ikt-bor-leveres-fra-datasenter-i-norge
Konseptvalgutredning for nasjonal skytjeneste
https://nsm.no/regelverk-og-hjelp/rapporter/konseptvalgutredning-for-nasjonal-skytjeneste
NSM mener Norge trenger en nasjonal skytjeneste.
For enkelte datatyper og IKT-systemer er det sårbart å være avhengig av utenlandske skytjenester. Dette kan være personopplysninger, helsedata, finansielle data, IT-systemer til operasjonssentraler, eiendomsregister, valgsystemer og informasjon om infrastruktur- og transportsystemer i Norge.
Manglende kontroll over viktige data og systemer kan svekke statens evne til å levere sentrale offentlige tjenester, og må derfor beskyttes bedre, fastslår NSM i utredningen. I ytterste konsekvens kan manglende kontroll over IKT-systemer svekke Norges suverenitet, territorielle integritet og demokratiske styreform.
Kompleks utredning
På oppdrag fra Justis- og beredskapsdepartementet (JD) NSM har gjennomført en konseptvalgutredning for nasjonal skytjeneste for ugradert, skjermingsverdig informasjon og andre beskyttelsesverdige data. NSM har utredet flere ulike konsepter i tråd med statens prosjektmodell.
Alternativene spenner fra lovregulering, kommersielle løsninger med utvidet statlig kontroll, rene statseide løsninger og en kombinasjon av disse.
En omfattende behov- og interessentanalyse i statsforvaltningen viser at de ulike alternativene i ulik grad tilfredsstiller virksomhetenes behov. NSM har samtidig sett til nasjonale løsninger i land det er naturlig å sammenligne seg med.
NSMs anbefaling til Justis- og beredskapsdepartementet:
- Å samle, tydeliggjøre og eventuelt styrke dagens krav ved bruk av skytjenester. Å etablere eller styrke en statlig tilsynsmyndighet og rådgivningstjeneste.
- Å etablere nasjonale skytjenester, som kombinerer en statlig eid og driftet skyløsning på norsk jord underlagt norsk jurisdiksjon, og en skyløsning levert av et fåtall kommersielle virksomheter som skal eie, levere, videreutvikle og drifte disse tjenestene.
Anbefalingen av en kombinert løsning gir et høyere nivå av nasjonal kontroll og høyere funksjonalitet enn et rent statlig eller kommersielt konsept alene.
Last ned dokumentene fra utredningen:
Enkelte deler i dokumentene er underlagt taushetsplikt eller kan påvirke statens forhandlingsposisjon og er følgelig sladdet med hjemmel i offentlighetsloven §13 jf. forvaltningsloven §13 og offentlighetsloven §23.
Konseptvalgutredning
- Nasjonal sikkerhetsmyndighet (NSM) har gjennomført en konseptvalgutredning (KVU) for etablering av en nasjonal skytjeneste for behandling av ugradert, skjermingsverdig informasjon (jf. sikkerhetsloven) og andre beskyttelsesverdige data på oppdrag fra Justis- og beredskapsdepartementet (JD).
- Ugradert, skjermingsverdig informasjon og informasjonssystemer er informasjon som må være tilgjengelig og korrekt, men samtidig må oppfylle sikkerhetslovens krav til sikring, selv om det ikke vil skade nasjonale sikkerhetsinteresser om innholdet blir kjent.
- Utredningen ble gjennomført i perioden februar 2022 til januar 2023. Fra februar til august 2023 har utredningsdokumentene vært gjenstand for ekstern kvalitetssikring (KS1).
- NSM har gjennomført en omfattende behov- og interessentanalyse i arbeidet. Det bygger på informasjon fra blant andre statlige virksomheter, leverandørindustri og andre land. Alle konseptene som er utredet har vært gjenstand for økonomiske kalkyler, samfunnsøkonomiske analyser og sikkerhetsmessige vurderinger.
- Statens prosjektmodell blir benyttet når store statlige investeringsprosjekter skal utredes. I konseptvalgutredningen beskrives problemet tiltaket skal løse, hvilke fremtidige behov samfunnet vil ha og angi hvilke mål som skal oppnås med å gjennomføre tiltak. Ulike løsninger og tiltak som er konseptuelt forskjellig fra hverandre skal vurderes og sammenlignes gjennom en samfunnsøkonomisk analyse. Det skal anbefales hvilket tiltak som bør gjennomføres og hva som er viktige forutsetninger i den videre planleggingen for å lykkes. Utredningen gjennomgås av uavhengige eksperter, den eksterne kvalitetssikringen (KS1), før konseptvalg kan fattes i regjeringen. Les mer om statens prosjektmodell på regjeringen.no.
https://lod.lovdata.no/journal/2022/3/m-370/Bruk_av_skytjenester_–_Hvilke_spørsmål_bør_virksomhetene_stille_seg_selv?
▼
Bruk av skytjenester
– Hvilke spørsmål bør virksomhetene stille seg selv?
Bruk av skytjenester utløser en rekke personvernrettslige plikter. Det er virksomheten som tar i bruk skytjenestene som er behandlingsansvarlig, og som har hovedansvaret for å etterleve personvernregelverket.
https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/skytjenester/
Skytjenester
Skytjenester (cloud computing) er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett.
Serverparkene kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden kan betale for det den faktisk bruker.
Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjeneste-leverandøren er i samsvar med norsk lovgivning.
Ulike former for skytjenester
Det er vanlig å dele skytjenester opp i tjenestemodeller. De tre vanligste er:
- Programvare som tjeneste (software as a service - SaaS), som er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter.
- Plattform som tjeneste (platform as a service - PaaS), hvor kunden innfører applikasjoner utviklet/kjøpt av kunden i leverandørens nettsky-infrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter.
- Infrastruktur som tjeneste (infrastructure as a service - IaaS), som gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden).
Skytjenester kan i tillegg deles inn i leveransemodeller som:
- Allmenn tilgjengelig sky (public cloud), hvor skytjenestene gjøres tilgjengelige av leverandøren for alle kunder.
- Privat tilgjengelig sky (private cloud), hvor skytjenestene gjøres tilgjengelige kun for devirksomheter som skytjenestene skal gjelde for. Her vil miljøet/miljøene som skytjenesten leveres fra, typisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky.
- Hybridsky (hybrid cloud), som kan være en blanding av modellene over.
Når virksomheten benytter skytjenester er det viktig at den kjenner pliktene sine og det for eksempel gjøres risikovurderinger og at personvernkonsekvensene vurderes.
Andre lands nasjonale skytjenester
Flere av våre nærmeste naboland har aktiviteter knyttet til nasjonale skytjenester. Sverige har foreløpig ikke etablert en statlig tjeneste, men utført flere utredninger og avklaringer. Danmark har etablert en «GovCloud» som driftes av Statens It og som gir mulighet for å plassere applikasjoner i en offentlig eid og driftet skytjeneste. Tyskland har etablert «Die Bundescloud» som er en lukket skytjeneste som utvikles, eies og driftes av staten. Storbritannia har sin «G-cloud» som bidrar til å gjøre anskaffelser enklere med standardiserte rammeavtaler og godkjenning av leverandører.
https://nsm.no/aktuelt/nsm-bekymret-for-nasjonal-avhengighet-av-utenlandske-skytjenester
NSM bekymret for nasjonal avhengighet av utenlandske skytjenester
1. skytjenester og tjenesteutsetting.
2. digitale hendelser som rammer norske virksomheter og metodene som brukes mot oss
3. status for nasjonale digitale tiltak videre sikkerhetsarbeid
1. Skytjenester og tjenesteutsetting
Fordelene med skytjenester er større enn ulempene - for de aller fleste.
NSM er positive til at virksomheter bruker skytjenester dersom det gjøres gode og riktige vurderinger. Virksomhetene har selv ansvaret for sikring av egne verdier, og god sikkerhetsstyring blir dermed viktig. Økt bruk av skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene. Allerede i dag bærer utenlandske skytjenesteleverandører viktige norske samfunnsfunksjoner.
NSM er bekymret for den samlede nasjonale avhengigheten av utenlandske skytjenesteleverandører og hva denne avhengigheten kan medføre ved potensielle kriser og konflikter. For noen virksomheter bør bruk av skytjenester derfor vurderes opp mot behovet for nasjonal kontroll og nasjonal beredskap.
Skytjenester vil være vesentlig for realisering av fremtidens teknologi og vil utgjøre sentrale byggeklosser for morgendagens digitaliserte samfunn. I arbeidet med vår samlede nasjonale beredskap må bruken av sky tas hensyn til.
https://www.næringslivnorge.no/digitalisering/dette-er-du-nodt-til-a-tenke-pa-for-du-tar-i-bruk-en-skylosning/
CLOUD COMPUTING
Dette er du nødt til å tenke på før du tar i bruk en skyløsning
Cloud computing, eller skytjenester, har i mange år ikke bare vært et buzzword, men en realitet både i offentlig og privat sektor. Kostnadene ved å ha en lokal IT-avdeling er for de fleste større enn det man må betale for å sette ut IT-leveransen til en profesjonell IT-leverandør som bruker skyløsninger.
Bedrifter har i mange år satt ut IT-tjenester til eksterne, og internett var tidlig brukt som basis for infrastruktur. Men med dagens antall av leverandører, underleverandører, nett-topologier, ulike behov for integrasjoner, med mer, gjør bildet mye mer komplekst. Selv om prosessen for å sette ut IT for en virksomhet ikke er så forskjellig fra tidligere, har en virksomhet i dag mange flere parametre å forholde seg til enn før.
Kjenn din virksomhet
Det kan virke som en selvfølge, men det aller viktigste er å kjenne sin virksomhet så godt at man vet hva som skal beskyttes. For å kunne omsette kjennskapen til krav som skal formidles til en leverandør, kreves en systematisk tilnærming. Dette er en viktig aktivitet, ettersom virksomheten fortsatt selv vil være den som er ansvarlig for IT-systemer, administrative eller produksjons-prosesser, ledelse som må selv stå til rette for både interne og eksterne prosesser.
For å kjenne sin virksomhet er det spesielt to aktiviteter som må gjennomføres:
1. Verdivurdering: Denne aktiviteten vil kartlegge de verdier virksomheten er avhengige av for å nå sine mål.
2. Risikovurdering: Denne aktiviteten er som regel todelt med risikovurdering knyttet til virksomheten slik det foreligger før en tar i bruk en skyløsning og hva det vil medføre å ta i bruk en skyløsning.
Resultatet av disse to aktivitetene og eksisterende sikkerhetspolicyer/sikkerhetsrutiner vil danne en kravliste for sikkerhet til skyleverandøren.
Krav-dokumentet
Skal du bruke en skyløsning som en del av produksjonen i din virksomhet, er det viktig at kravsettet som utarbeides for skyløsningen dekker helheten i en slik anskaffelse. Alt fra hvordan sikkerhet skal ivaretas når skyløsningen skal integreres i virksomheten og de eksisterende IT-systemer som fortsatt skal benyttes, via sikkerhet i forvaltning og oppfølging av leveranser, til hvordan tilbakeføring av data og funksjoner skal gjøres sikkerhetsmessig forsvarlig for virksomheten ved opphør av tjenesten.
For å kunne ha en god oppfølging av sikkerheten i skytjenesten er det nødvendig at virksomheten selv har et system for oppfølging. Med en strukturert tilnærming til oppfølging av sikkerhetskravene er man et godt stykke på vei. Det er viktig gjennom kravstillingen å sikre seg at leverandøren har et styringssystem for sikkerhet, og at virksomheten får nødvendig innsyn i dette til å kunne ivareta kontrollen av leveransen, samt at leverandøren står for avviks- og sikkerhetsrapportering til virksomheten.
En må kreve av leverandøren å få en oversikt over hvem som kommer i befatning med virksomhetens informasjon, hvor informasjonen lagres og hvordan den skilles fra andre virksomheters informasjon. Krav til kryptering for overføring og lagring, samt nødvendig detaljering av tilgangsstyring er en selvfølge i kravdokumentet. Det er viktig å sikre seg at leverandøren har nødvendig sikkerhetsmessig overvåking for leveransen, rutiner for varsling, og at hendelseshåndtering er koordinert din virksomhet. Krav i forbindelse med terminering må omhandle eierskap til informasjon, prosess for tilbakeføring av informasjon og sikker sletting hos leverandøren. En eventuell databehandleravtale skal inneholde hvordan sikkerheten ivaretas.
Sikkerhetskompetanse
For å være i stand til å vurdere risiko på en god måte, og kunne utforme gode sikkerhetskrav, vil det være nødvendig at virksomheten har egen sikkerhetskompetanse, eller leier inn en tredjepart. Da vil man utfylle den øvrige kompetansen som er nødvendig ved inngåelse av en kontrakt med en skytjenester.
https://www.regjeringen.no/no/dokumenter/meld.-st.-9-20222023/id2950130/?ch=4
▲
Meld. St. 9 (2022–2023) {kapittel 4}
Nasjonal kontroll over verdier av betydning for nasjonal sikkerhet
https://www.regjeringen.no/no/dokumenter/meld.-st.-9-20222023/id2950130/?ch=3
▲
Meld. St. 9 (2022–2023) {kapittel 3}
Virkemidler for å styrke nasjonal kontroll og bygge digital motstandskraft
https://www.regjeringen.no/no/aktuelt/regjeringen-vil-styrke-nasjonal-kontroll-i-ny-stortingsmelding/id2950574/
Regjeringen vil styrke nasjonal kontroll i ny stortingsmelding
"Regjeringen vil styrke nasjonal kontroll og digital motstandskraft og legger frem en ny melding for Stortinget. De siste årene har trusselaktører tatt i bruk stadig nye virkemidler for å ramme Norge. Sammensatte trusler er komplekse og berører alle samfunnsområder.
– Regjeringen mener vi må sikre oss bedre mot sammensatte trusler som sikkerhetstruende økonomisk aktivitet, skadelig skjult eierskap, digitale angrep, påvirkningsoperasjoner eller forstyrrelser i energiforsyningen. Vi trenger kraftfulle tiltak for å ivareta nasjonal sikkerhet,"
https://www.regjeringen.no/no/tema/samfunnssikkerhet-og-beredskap/innsikt/hovedprinsipper-i-beredskapsarbeidet/id2339996/
Hovedprinsipper i beredskapsarbeidet
Om regjeringens og departementenes beredskapsarbeid og krisehåndtering.
Hovedprinsipper
Beredskapsarbeidet bygger på fire grunnleggende prinsipper:
1. Ansvarsprinsippet
Den organisasjon som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området. Ansvarlig instans må ta stilling til hva som er akseptabel risiko.
2. Likhetsprinsippet
Den organisasjon man opererer med under kriser, skal i utgangspunktet være mest mulig lik den organisasjon man har til daglig.
3. Nærhetsprinsippet
Kriser skal organisatorisk håndteres på lavest mulig nivå.
4. Samvirkeprinsippet
Myndigheter, virksomheter og etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.
Justis- og beredskapsdepartementet
Justis- og beredskapsdepartementet skal være fast lederdepartement i sivile nasjonale kriser, dersom Kriserådet ikke bestemmer noe annet.
Justis- og beredskapsdepartementet har i tillegg samordningsansvar for samfunnets sivile sikkerhet og ansvar for tilsynsarbeid gjennom Direktoratet for samfunnssikkerhet og beredskap, Nasjonal sikkerhetsmyndighet og hovedredningssentralene
Den sentrale krisehåndteringen
Regjeringen har det øverste ansvaret for beredskapen i Norge, herunder det overordnede politiske ansvaret for styring og håndtering av kriser.
Kriserådet
Det øverste administrative koordineringsorganet på departementsnivå. Ivaretar og sikrer strategisk koordinering, blant annet mellom berørte departementer.
Rådet har seks faste medlemmer: regjeringsråden ved Statsministerens kontor samt departementsrådene i Justis- og beredskapsdepartementet, Helse- og omsorgsdepartementet, Forsvarsdepartementet, Kommunal-og moderniseringsdepartementet og Utenriksdepartementet. Rådet kan utvides ved behov.
Lederdepartementet
Lederdepartementet har ansvaret for å koordinere håndteringen av krisen på departementsnivå. Justis- og beredskapsdepartementet skal være fast lederdepartement i sivile nasjonale kriser, dersom Kriserådet ikke bestemmer noe annet. Lederdepartementet rapporterer og fremskaffer beslutningsgrunnlag til Kriserådet og Regjeringen. Utpeking av lederdepartement medfører ikke endringer i konstitusjonelle ansvarsforhold, og alle departement beholder ansvar og beslutningsmyndighet for sine respektive saksområder.
Er permanent sekretariat for Kriserådet og skal støtte lederdepartementene. I en krise bidrar Krisestøtteenheten med kompetanse i form av rådgivning og faglig bistand til lederdepartementets arbeid med samordning og helhetlig sentral krisehåndtering. Krisestøtteenheten bemanner sivilt situasjonssenter som understøtter Justis- og beredskapsdepartementets samordningsrolle med døgnkontinuerlig beredskap og er fast kontaktpunkt for informasjon til og fra departementet ved ekstraordinære hendelser og kriser.
Les mer
