– Når tjenester og systemer helt eller delvis leveres eller driftes fra utlandet, er de de utenfor norsk kontroll. Da kan vi som samfunn være sårbare, sier sikkerhetsleder i F24 Nordics, Jan Terje Sæterbø.
Sæterbø viser til den siste temarapporten som Nasjonal sikkerhetsmyndighet (NSM) publiserte i oktober om nasjonal kontroll av IKT-tjenester. Deres konklusjon er klar: «NSM er bekymret for at suverenitet og politisk handlefrihet kan bli utfordret dersom norske virksomheter ikke forbedrer den nasjonale kontrollen av viktige norske IKT-tjenester.» (Nasjonal kontroll av IKT-tjenester.pdf (nsm.no))
– Det NSM viser til, er at det kan være mange fordeler med bruk av utenlandske skytjenester, men samtidig kan slik bruk gjøre at tjenestene er utilgjengelige i en kritisk situasjon, sier Sæterbø.
Høyere beredskap
13. februar i år la Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet frem sine åpne trussel- og risikovurderinger. I NSMs rapport konkluderte da med at «Norske virksomheter må forberede seg bedre og ha høyere beredskap.»
Også i rapporten fra påpeker de blant annet at økt bruk av utenlandske skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene.
– Det er som NSM påpeker, to viktige sider ved det å ha nasjonal kontroll på viktige IKT-tjenester. Det ene, som har fått mye oppmerksomhet, er tilgang til data. Det å sikre at ikke uvedkommende får tilgang til for eksempel persondata eller annen kritisk informasjon. Men, et annet viktig aspekt som NSM også fremhever, er å sikre at data og tjenester fungerer i alle scenarioer, fra vanlig drift i fredstid, til kriser og væpnede konflikter. Hvis slike tjenester helt eller delvis leveres fra utlandet, eller helt eller delvis driftes fra utlandet, er tjenesten utenfor norsk kontroll. Da kan vi som samfunn være sårbare, og rett og slett miste tilgang til kritiske systemer, sier Sæterbø.
Mister oversikt over data som fraktes ut av landet
I Norge stilles det klare krav til personopplysninger som sendes ut av landet. I Personopplysningsloven heter det at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene». I praksis betyr det at persondata kan overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge. (Lov om behandling av personopplysninger (personopplysningsloven) – Lovdata)
– Dersom du eksempelvis bruker en tjeneste for beredskap og krisehåndtering som driftes i Norge, men med en leverandør som eies av et selskap som ikke er begrenset av EUs direktiver, vil det påvirke hvem som har tilgang på dine data. Det samme er tilfelle om du bruker en skylagringstjeneste som ikke er bundet av EUs direktiver. For lovgivningen i landet der skylagringstjenesten hører hjemme kan ha stor betydning for hvem som har tilgang på dine data. Da er det ikke sikkert at din virksomhet overholder regler for personvern og GDPR, selv om du har valgt det som i utgangspunktet er en norsk leverandør. Det er med andre ord viktig å ha oversikt over hvor data blir lagret, hvor data blir prosessert og hvor tjenester blir levert fra, sier Sæterbø
Trusselvurdering
Politiets Sikkerhetstjeneste (PST) sin nasjonale trusselvurdering trekker spesielt frem virksomheter knyttet til forsvar, beredskap, politikkutforming eller teknologi som særlig utsatt. (NTV-2023 (pst.no))
– I sin trusselvurdering for 2020 pekte de på at land som Kina, Russland og Iran er aktører som ønsker å vite mer om hvordan vi driver krisehåndtering i Norge. Hvis det viser seg at din skybaserte tjeneste ender opp med å ha denne type nasjonaliteter på eiersiden, kan det i verste fall få uheldige konsekvenser.
– I ytterste konsekvens kan informasjon fra ditt beredskaps og krisehåndteringssystem bli brukt sammen med andre data, og bidra til at fremmede makter kan finne strukturer og svakheter i norsk måte å håndtere sikkerhet og beredskap på, sier Sæterbø, som viser til at utfordringer med å få IKT-tjenester under nasjonal kontroll, ikke er en særnorsk problemstilling:
– Flere andre europeiske land har etablert, eller er i ferd med å etablere, egne nasjonale skytjenester, sier han.
F24 Nordics sin tilnærming
F24 Nordics drifter CIM fra sikre datasentre i Norge i henhold til anbefalinger fra Nasjonal Sikkerhetsmyndighet (NSM). Våre datasentre er ISO-sertifiserte, geografisk separerte og vi eier selv infrastrukturen.
----
Jan Terje Sæterbø er sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder. Han har en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet og en master i kriseledelse og beredskap fra Nord Universitet.
|