I april 2010 arrangerte Post- og teletilsynet, NorSIS og IKT-Norge Nasjonal Sikkerhetsdag. Tema for dagen var Cloud Computing eller nettskyen som er det norske ordet. I forbindelse med arrangementet valgte vi å forklare nettskyen på følgende måte:
“Nettskyen er IT-ressurser gjort tilgjengelig via Internett. Nettskyen gir mer effektiv bruk av servere ved at man leier en liten del av et stort datasenter i stedet for å ha uutnyttet kapasitet på eget serverrom. Miljømessig kuttes strøm til kjøling og drift, og man kan oppnå økonomiske gevinster ved at man unngår investeringer i servere og kostnadene forbundet med å drifte dem.”
Forklaringen henvender seg mot små og mellomstore bedrifter, men skytjenester brukes selvfølgelig også privat slik som Gmail, Facebook, Itunes og de fleste andre sosiale medier. Nettskytjenester er ikke bare teknologi i seg selv, men en måte å kjøpe og levere tjenester på over Internett.
For både bedrifter og private forbrukere er fordelene mange:
- Skalerbarhet - man kjøper det man til enhver tid har behov for
- Kostnader - man betaler for det man har behov for
- Evner raske endringer – fleksibilitet
- Vedlikehold utføres av andre
- Miljøvennlig
Men hva med sikkerheten til disse tjenestene? Kan det offentlige ta i bruk nettskytjenester og på den måten spare store kostnader eller vil det gå på bekostning av andre hensyn?
Analyseselskapet Garner har identifisert syv punkter man bør ta hensyn til og tenke på før man kjøper skytjenester:
- Tilgangskontroll. Får oversikt over hvem som har tilgang til hva av dine data.
- Regelverk. Sjekk at tilbyderen din oppfyller regelverk og nødvendige sertifiseringer i ulike land.
- Datalokasjon. I utgangspunktet vet man ikke hvor i skyen dataen er lagret, kanskje ikke heller i hvilket land de er lagret. Men det er mulig å be om å få det.
- Segregering av data. Sjekk ut hvilke metoder som benyttes, feks kryptering.
- Sikkerhetskopi. Selv om man ikke skulle vite hvor dataen er lagret, bør din tilbyder ha en plan for hvordan data kan gjennopprettes dersom det oppstår en kris og data skulle bli borte.
- Etterforske/undersøke. Det vil ofte være vanskelig å skulle bruke data til etterforskning og undersøkelser. Men man bør tilstrebe mulighet for dette.
- Levedyktiget. Sørg for at du får tak i dataene dine selv om tilbyderen din skulle gå konkurs eller bli kjøpt opp av andre.
Det offentlige vil nok tilstrebe alle disse råden dersom skytjenester skal tas i bruk. Likevel er det nok ikke “strake veien”!
Arve Føyen, advokat i Føyen advokatfirma, er ekspert på IKT-lovgivning.
- “Kunden må sikre at lagring ikke medfører brudd på regler og prosedyrer for lagring som er fastsatt i det norske lovverket”, påpeker Føyen i en artikkel i Computerworld. Personopplysningsloven krever særskilte prosedyrer som norske virksomheter må følge ved overføring av personopplysinger til land utenfor EU/EØS-området.
For det offentlige så vil det sannsynligvis være store besparelser ved å bruke tjenester i skyen. Samtidig er det kanskje fortsatt endel ting som vil gjøre det vanskelig å utnytte den helt åpne skyen. Spørsmålet er om det må gjøres så mange tilpasninger at gevinsten med nettskyen forsvinner.
Men det finnes andre alterantiver der man kan dra nytte av fordelene, men samtidig holde dataen innenfor et kontrollert område; privat sky.
Mange store bedrifter bruker dette, bla Telenor i Norge. Dette er en lukket sky, kun for Telenors tjenester.
Det kan kanskje være veien å gå for det offentlige!
Dette er interessante perspektiver. Det ville jo ikke vært noe problem om feks Uninett skapte sky-tjenester for universitets- og høgskolesektoren, og kanskje KS tok initiativ til å lage en kommunesky?
-arne
Kjempeinteressant! takk for tipset om analysen og de syv punktene.
-Heidi