NSM er bekymret for at bl.a samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak, og at tjenester driftes fra utlandet eller flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.
Anbefalingene under kan hjelpe din virksomheter med hensyn til vurderinger rundt tjenesteutsetting av IKT-tjenester, inkludert bruk av skytjenester samt arkitekturmessige valg.
https://nsm.no/regelverk-og-hjelp/rapporter/konseptvalgutredning-for-nasjonal-skytjeneste
https://nsm.no/aktuelt/ma-ha-kontroll-pa-datasentre
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/sikkerhetsfaglige-anbefalinger-ved-tjenesteutsetting/introduksjon/
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/beskytte-og-opprettholde/ivareta-sikkerhet-i-anskaffelses-og-utviklingsprosesser/
https://nsm.no/hold-deg-oppdatert/meninger/datasenter-mellom-to-stoler
https://nsm.no/regelverk-og-hjelp/rapporter/nasjonal-kontroll-av-ikt-tjenester
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/ofte-stilte-sporsmal-om-sky-og-tjenesteutsetting/sky-tjenesteutsetting-og-sikkerhet/
https://nsm.no/aktuelt/statens-muligheter-for-it-modernisering-og-digital-transformasjon-1
https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/landvurdering-ved-tjenesteutsetting-av-ikt-tjenester
https://nsm.no/hold-deg-oppdatert/meninger/samfunnskritisk-ikt-bor-leveres-fra-datasenter-i-norge
Konseptvalgutredning for nasjonal skytjeneste
https://nsm.no/regelverk-og-hjelp/rapporter/konseptvalgutredning-for-nasjonal-skytjeneste
NSM mener Norge trenger en nasjonal skytjeneste.
For enkelte datatyper og IKT-systemer er det sårbart å være avhengig av utenlandske skytjenester. Dette kan være personopplysninger, helsedata, finansielle data, IT-systemer til operasjonssentraler, eiendomsregister, valgsystemer og informasjon om infrastruktur- og transportsystemer i Norge.
Manglende kontroll over viktige data og systemer kan svekke statens evne til å levere sentrale offentlige tjenester, og må derfor beskyttes bedre, fastslår NSM i utredningen. I ytterste konsekvens kan manglende kontroll over IKT-systemer svekke Norges suverenitet, territorielle integritet og demokratiske styreform.
Kompleks utredning
På oppdrag fra Justis- og beredskapsdepartementet (JD) NSM har gjennomført en konseptvalgutredning for nasjonal skytjeneste for ugradert, skjermingsverdig informasjon og andre beskyttelsesverdige data. NSM har utredet flere ulike konsepter i tråd med statens prosjektmodell.
Alternativene spenner fra lovregulering, kommersielle løsninger med utvidet statlig kontroll, rene statseide løsninger og en kombinasjon av disse.
En omfattende behov- og interessentanalyse i statsforvaltningen viser at de ulike alternativene i ulik grad tilfredsstiller virksomhetenes behov. NSM har samtidig sett til nasjonale løsninger i land det er naturlig å sammenligne seg med.
NSMs anbefaling til Justis- og beredskapsdepartementet:
- Å samle, tydeliggjøre og eventuelt styrke dagens krav ved bruk av skytjenester. Å etablere eller styrke en statlig tilsynsmyndighet og rådgivningstjeneste.
- Å etablere nasjonale skytjenester, som kombinerer en statlig eid og driftet skyløsning på norsk jord underlagt norsk jurisdiksjon, og en skyløsning levert av et fåtall kommersielle virksomheter som skal eie, levere, videreutvikle og drifte disse tjenestene.
Anbefalingen av en kombinert løsning gir et høyere nivå av nasjonal kontroll og høyere funksjonalitet enn et rent statlig eller kommersielt konsept alene.
Last ned dokumentene fra utredningen:
- Nasjonal skytjeneste - konseptvalgutredning (KVU) (PDF, 65MB)
- Nasjonal skytjeneste - ekstern kvalitetssikring (KS1) (PDF, 14MB)
Enkelte deler i dokumentene er underlagt taushetsplikt eller kan påvirke statens forhandlingsposisjon og er følgelig sladdet med hjemmel i offentlighetsloven §13 jf. forvaltningsloven §13 og offentlighetsloven §23.
Konseptvalgutredning
- Nasjonal sikkerhetsmyndighet (NSM) har gjennomført en konseptvalgutredning (KVU) for etablering av en nasjonal skytjeneste for behandling av ugradert, skjermingsverdig informasjon (jf. sikkerhetsloven) og andre beskyttelsesverdige data på oppdrag fra Justis- og beredskapsdepartementet (JD).
- Ugradert, skjermingsverdig informasjon og informasjonssystemer er informasjon som må være tilgjengelig og korrekt, men samtidig må oppfylle sikkerhetslovens krav til sikring, selv om det ikke vil skade nasjonale sikkerhetsinteresser om innholdet blir kjent.
- Utredningen ble gjennomført i perioden februar 2022 til januar 2023. Fra februar til august 2023 har utredningsdokumentene vært gjenstand for ekstern kvalitetssikring (KS1).
- NSM har gjennomført en omfattende behov- og interessentanalyse i arbeidet. Det bygger på informasjon fra blant andre statlige virksomheter, leverandørindustri og andre land. Alle konseptene som er utredet har vært gjenstand for økonomiske kalkyler, samfunnsøkonomiske analyser og sikkerhetsmessige vurderinger.
- Statens prosjektmodell blir benyttet når store statlige investeringsprosjekter skal utredes. I konseptvalgutredningen beskrives problemet tiltaket skal løse, hvilke fremtidige behov samfunnet vil ha og angi hvilke mål som skal oppnås med å gjennomføre tiltak. Ulike løsninger og tiltak som er konseptuelt forskjellig fra hverandre skal vurderes og sammenlignes gjennom en samfunnsøkonomisk analyse. Det skal anbefales hvilket tiltak som bør gjennomføres og hva som er viktige forutsetninger i den videre planleggingen for å lykkes. Utredningen gjennomgås av uavhengige eksperter, den eksterne kvalitetssikringen (KS1), før konseptvalg kan fattes i regjeringen. Les mer om statens prosjektmodell på regjeringen.no.
https://lod.lovdata.no/journal/2022/3/m-370/Bruk_av_skytjenester_–_Hvilke_spørsmål_bør_virksomhetene_stille_seg_selv?
▼
Bruk av skytjenester
– Hvilke spørsmål bør virksomhetene stille seg selv?
Bruk av skytjenester utløser en rekke personvernrettslige plikter. Det er virksomheten som tar i bruk skytjenestene som er behandlingsansvarlig, og som har hovedansvaret for å etterleve personvernregelverket.
https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/skytjenester/
Skytjenester
Skytjenester (cloud computing) er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett.
Serverparkene kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden kan betale for det den faktisk bruker.
Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjeneste-leverandøren er i samsvar med norsk lovgivning.
Ulike former for skytjenester
Det er vanlig å dele skytjenester opp i tjenestemodeller. De tre vanligste er:
- Programvare som tjeneste (software as a service - SaaS), som er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter.
- Plattform som tjeneste (platform as a service - PaaS), hvor kunden innfører applikasjoner utviklet/kjøpt av kunden i leverandørens nettsky-infrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter.
- Infrastruktur som tjeneste (infrastructure as a service - IaaS), som gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden).
Skytjenester kan i tillegg deles inn i leveransemodeller som:
- Allmenn tilgjengelig sky (public cloud), hvor skytjenestene gjøres tilgjengelige av leverandøren for alle kunder.
- Privat tilgjengelig sky (private cloud), hvor skytjenestene gjøres tilgjengelige kun for devirksomheter som skytjenestene skal gjelde for. Her vil miljøet/miljøene som skytjenesten leveres fra, typisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky.
- Hybridsky (hybrid cloud), som kan være en blanding av modellene over.
Når virksomheten benytter skytjenester er det viktig at den kjenner pliktene sine og det for eksempel gjøres risikovurderinger og at personvernkonsekvensene vurderes.