4 Vilkår for bruk av skytenester i offentleg sektor
Mange verksemder er utrygge på dei juridiske rammevilkåra for bruk av skytenester.17 Gjennomgangen av regelverk i kapittel 3 viser at det er stort rom for å bruke skytenester lovleg for verksemder i Noreg – òg innan offentleg sektor.
Prinsipp for bruk av skytenester
I tillegg til ei avklaring av regelverket, har både IKT-næringa og dei offentlege verksemdene sjølv etterlyst klare retningslinjer frå sentrale styresmakter når det gjeld bruk av skytenester.
Regjeringa har derfor etablert nokre prinsipp for bruk av skytenester i offentleg sektor:
- Skytenester skal vurderast på linje med andre løysingar når ein står overfor større endringar eller omleggingar av IKT-system eller -drift:
- ved innkjøp av nye system eller større oppgraderingar
- ved større utskiftingar av maskinvare
- når eksisterandedriftsavtalar går ut
- Når skytenester gir den mest hensiktsmessige og kostnadseffektive løysinga, og det ikkje ligg føre spesielle hindringar for å ta i bruk slike tenester bør einvelje å bruke skytenester.
- Den valde løysinga må tilfredsstille verksemda sine krav til informasjonstryggleik. Dette krev at verksemda kjenner verdien av eigne system og data, og gjer ei risikovurdering av den valde løysinga.
Sjølv om det kan vere fleire fordelar med å bruke skytenester, er det ikkje slik at denne typen tenester alltid er det som passar best. Det kan vere mange forhold hos ei verksemd som tilseier at andre løysingar for utvikling og drift er betre eigna for å møte dei behova verksemda har, for eksempel særskilde krav til nasjonal tryggleik, eller eksisterande system og infrastruktur i verksemda som gjer at bruk av skytenester ikkje vil vere kostnadseffektivt. Regjeringa vil derfor ikkje pålegge statlege verksemder å bruke skytenester, men gjennom prinsippa vil ein sikre at skytenester er med i vurderinga når statlege verksemder skal skaffe nye IKT-system eller driftsløysingar.
Prinsipp for bruk av skytenester i offentleg sektor er ein del av digitaliseringsrundskrivet frå 2016. Digitaliseringsrundskrivet er ei samanstilling av pålegg og anbefalingar om digitalisering som gjeld for alle departement, ordinære statlege forvaltningsorgan, forvaltningsorgan med særskilde fullmakter og forvaltningsbedrifter.
Digitaliseringsrundskrivet stiller blant anna krav til arkitektur og standardar for verksemder i statleg sektor.
Sjølv om kommunar og fylkeskommunar ikkje er omfatta av rundskrivet, er prinsippa eit viktig signal òg for desse, og dei kan sjølvsagt velje å følge prinsippa om dei ønsker det.
Prinsippa vil bli følgde opp med rettleiing og hjelpemiddel som skal gjere den praktiske anskaffinga av skytenester enklare for verksemdene.
Behov for rettleiing og kontroll
Offentleg sektor har eit spesielt behov for kontroll over kven som forvaltar informasjon, og kor dette blir gjort. Kva form for kontroll, og kor sterk kontrollen må vere, vil avhenge av kva type informasjon verksemda behandlar. Det finst ulike mekanismar for å utøve slik kontroll:
Gjennom kontraktar
I ein kontrakt kan ein stille særskilde krav til behandling og lagring viss det er behov for det. Ein kan òg tenke seg at det er mogleg å bruke standardkontraktar frå leverandøren dersom desse inneheld garantiar om bruk av bestemte teknologiar eller standardar, eller oppfyller krav til ei bestemt sertifisering, som gjer at avtalen tilfredsstiller dei krava den offentlege verksemda har. Ein kan òg avtale mekanismar for revisjon og oppfølging av kontrakten, om ein har særskilt behov for dette.
Gjennom prekvalifisering av leverandørar
Ein kan tenke seg at leverandørar kan prekvalifisere seg for behandling av gitte typar informasjon, enten generelt eller for bestemte sektorar. KMD vil vurdere om det er mogleg og ønskeleg å etablere ein marknadsplass for skytenester retta mot offentleg sektor i Noreg. Ein slik marknadsplass vil kunne fungere som ei form for prekvalifisering av leverandørar. I Storbritannia sin marknadsplass for skytenester er det òg mogleg for verksemder å bli akkrediterte for forvaltning av informasjon som krev eit gitt tryggingsnivå.18
Gjennom å inngå felles avtalar på vegner av offentleg sektor
Staten kan inngå avtalar med leverandørar av datasenter/skytenester på vegner av offentleg sektor. Avtalane kan settast ut på anbod i marknaden, med krav som tilfredsstiller dei verksemdene som har dei strengaste krava til tryggleik ved behandling og lagring av informasjon. Dette er òg ei form for kontroll gjennom kontrakt, men kontrakten blir forhandla og følgt opp av sentrale styresmakter og ikkje den enkelte verksemda.
Gjennom å etablere eigne datasenter for statleg eller offentleg sektor
Ein kan tenke seg at sentrale styresmakter sjølve etablerer eit eller fleire datasenter som tilfredsstiller dei strengaste krava til tryggleik, enten for bruk i statlege verksemder eller for heile offentleg sektor.
Kommunal- og moderniseringsdepartementet har gjennom ulike møte og aktivitetar kartlagt behov for kontroll knytt til skytenester og IKT-drift i offentleg sektor. Som ein del av dette har ein undersøkt landskapet for offentlege datasenter i Noreg, saman med dei planane og behova verksemdene har for framtida.19 Både statlege-, kommunale- og fylkeskommunale verksemder har vore med i kartlegginga. Gjennom dei aktivitetane Kommunal- og moderniseringsdepartementet har gjennomført, er det ikkje avdekka behov for at sentrale styresmakter forhandlar fram felles avtalar om datasenterdrift, eller etablerer eit felles datasenter for statleg- eller offentleg sektor. Desse alternativa er derfor ikkje drøfta nærare i strategien.
I dei undersøkingane Kommunal- og moderniseringsdepartementet har gjort, kjem det klart fram at det verksemdene treng mest, er rettleiing frå sentrale styresmakter for å sikre at dei sjølve gjer gode innkjøp, og at kontraktane dei inngår er balanserte og tilfredsstiller det norske regelverket. Verksemdene meiner òg at det ville vere enklare og sikrare å kjøpe skytenester om det fanst ei form for prekvalifisering, godkjenning eller akkreditering av leverandørar.
Regjeringa ønsker å etablere mekanismar som kan hjelpe verksemdene å sikre nødvendig kontroll gjennom gode innkjøp og kontraktar som tilfredsstiller offentlege krav, og oppfølging av dei inngåtte kontraktane. Som eit utgangspunkt bør inngåing av rett utforma kontraktar og oppfølging av desse vere tilstrekkeleg kontroll for verksemder som ikkje er omfatta av tryggingslova.
Kontroll gjennom kontraktar
Kontraktar er den viktigaste mekanismen for å regulere forholdet mellom kunde og leverandør. Når det gjeld skytenester retta mot forbrukarar, har det lenge vore ei utfordring at sluttbrukaravtalane er lange og vanskelege å forstå, og at det gjerne er stilt urimelege vilkår. Det er ikkje mogleg for forbrukaren å påverke korleis avtalen er utforma.
I bedriftsmarknaden er bildet meir nyansert. I denne marknaden er det òg mykje bruk av standardavtalar, ettersom det er standardiserte tenester og kjøpsprosessar som bidrar til å gjere skytenester rimelege. Det har likevel vore ein tendens mot meir balanserte avtalar enn i forbrukarmarknaden. Dette er blant anna påverka av stadig strengare krav frå offentleg sektor, og meir bevisste kundar. Det beste for alle partar er å kunne bruke standardavtalar som tilfredsstiller kunden sine krav. For at dette skal vere realistisk, er det viktig at det offentlege – helst på europeisk nivå – er einig om felles krav. Slike krav kan både vere sektorovergripande, og spesifikke for den enkelte sektoren. Fordi Noreg er eit land med tidleg adopsjon av teknologi på mange område, er vi i ein gunstig posisjon for å kunne påverke leverandørar som gjerne ønsker offentlege referansekundar. Samtidig er det viktig at Noreg òg arbeider aktivt med EU om å få på plass felles standardar og krav.
Skytenester passar dårleg inn i standardiserte rammeverk som Statens standardavtaler (SSA). Det vil derfor vere viktig å få på plass sjekklister som gjer at verksemder kan sjekke at leverandøren sine standardkontraktar ikkje bryt med norsk regelverk, og at dei dekker dei same områda som staten sine standardavtalar. Utvikling av slike sjekklister vil vere ein del av rettleiingsarbeidet til Difi (sjå under).
Det er sjølvsagt mogleg å bruke skytenester sjølv om ein har særskilde krav og treng å forhandle fram eigne avtalevilkår. Prosessen med å kjøpe inn skytenesta vil då bli meir som ein tradisjonell innkjøpsprosess.
Enten ein bruker ein standardavtale eller har forhandla fram eigne vilkår, er det viktig å sikre at ein har mekanismar for å følge opp kontrakten. Ein slik mekanisme kan vere bruk av ein uavhengig tredjepart til å gjennomføre revisjonar for å sjekke at leverandøren overheld dei vilkåra som ligg i kontrakten. Det er viktig å sikre at slike tredjepartar er reelt uavhengige frå leverandøren.
Rettleiing hos Direktoratet for forvaltning og IKT (Difi)
Kommunal- og moderniseringsdepartementet vil gi Difi i oppdrag å etablere eit kompetansemiljø og ein nettbasert ressurs der verksemder som ønsker å kjøpe inn skytenester, kan få rettleiing. På sikt er det ønskeleg at rettleiinga kan vere tilpassa ulike typar målgrupper som har liknande krav og behov, og spesielle sektorbehov.
Ein slik ressurs må dekke alle ledda i innkjøpsprosessen, og ikkje berre dei juridiske problemstillingane som er knytte til sjølve innkjøpet. Aktuelle problemstillingar og oppgåver kan vere:
- Korleis gjennomføre innkjøpsprosessen på ein korrekt måte når ein trur at ei skyteneste vil vere det beste alternativet?
- Risikovurderingar tilpassa kompleksiteten og behova til ulike typar verksemder – gjerne med eksempel på beste praksis.
- Krav til databehandlaravtalar
- Rettleiing i å sette opp ein kostnad-nytte-analyse for bruk av skytenester.
- Beste praksis på valde løysingar – gjerne med eksempel innanfor ulike typar representative verksemder, som grunnskule, kommuneadministrasjon eller fastlegekontor.
- Korleis kan ein sikre oppfølging av kontraktane gjennom for eksempel tilsyn og uavhengige tredjepartsrevisjonar?
I utgangspunktet vil tilbodet frå Difi vere retta mot offentlege verksemder – inkludert kommunane – og indirekte leverandørar til offentleg sektor. Det er samtidig klart at det òg er behov for denne typen ressurs i næringslivet, særleg for små og mellomstore bedrifter. Difi sine ressursar for det offentlege vil kunne danne modell for ei tilsvarande rettleiing retta mot næringslivet, for eksempel i regi av ein eller fleire bransjeorganisasjonar.
Sektorvise vurderingar av informasjon
Offentleg informasjon kan delast inn i tre kategoriar:20
- informasjon som berre bør lagrast i Noreg
- informasjon som kan lagrast i utlandet, men som ein kan ta heim når det er særleg behov for det, og på bestemte vilkår
- informasjon som kan lagrast i utlandet utan vilkår
Det er den enkelte sektoren som er best eigna til å vurdere kva for informasjon som fell inn under dei ulike kategoriane. Fleire sektorar er allereie i gang med å ta stilling til krav ved bruk av skytenester eller med å utarbeide rettleiarar for sektoren. Regjeringa vil be alle sektorstyresmakter om å sørge for å få utarbeidd ei vurdering av informasjonen i sektoren og korleis denne kan behandlast i nettskya.
For enkelte sektorar er det truleg personopplysningslova som avgjer kva kategori informasjonen fell inn under. Personopplysningar vil hamne i kategori 2 eller 3, så framt EU sine krav til overføring av personopplysningar til utlandet er tilfredsstilte. Datatilsynet har utarbeidd gode rettleiarar for lagring og behandling av personopplysningar i skya. For andre kan det vere eigne sektorregelverk som speler inn, slik som helseregisterlova eller beredskapsforskrifta for kraftforsyninga. Slike sektorar må gjere eigne analysar baserte på eigen informasjon og eigne behov. I slike analysar må ein òg vurdere kva omstende som kan krevje at ein tar informasjonen heim, korleis dette er regulert i kontrakten med leverandøren, og korleis ein kan gjennomføre det i praksis.
Skjermingsverdig informasjon er truleg den viktigaste informasjonstypen som vil falle inn under kategori 1, men ein kan òg tenke seg at enkelte sektorar eller verksemder kan vurdere annan type informasjon som så kritisk at ein vurderer lagring i Noreg som einaste alternativ.
For verksemdene som treng rettleiing er det viktig at det finst ein autoritativ ressurs der ein veit at informasjonen om klassifisering av data er oppdatert og korrekt, uavhengig av sektor. Difi si rolle som rettleiar bør derfor òg omfatte koordinering og samling av arbeidet i dei ulike sektorane. Dette arbeidet bør utførast i nært samarbeid med NSM.
Krav til sertifiseringar
Det finst ei lang rekke sertifiseringsordningar som er relevante for skytenester. I tillegg finst det krav både frå EU og frå enkeltland som mange av leverandørane vel å følgje. Slike krav kan vere:
- internasjonale standardar som ISO 27001
- krav frå styresmakter, slik som EU sine standardkontraktar og «EU-US Privacy Shield»
- standardar som ikkje er internasjonale, men som er blitt aksepterte som de facto standardar på sitt område, for eksempel FedRAMP, SOC, UK G-Cloud og Singapore MTCS
- standardar som er knytte til spesifikke sektorar, slik som HIPAA (helse), FISC (finans) og PCI DSS (betalingskort)
Dei store skyleverandørane, som Google, Amazon og Microsoft, har stort sett alle sertifiseringane. Mindre leverandørar har gjerne valt seg ut sertifiseringar som er spesielt relevante for deira sektor eller for den marknaden dei først og fremst retter tenestene sine mot. Det er dyrt for mindre leverandørar å bli sertifiserte – og å oppretthalde sertifiseringane – på så mange område. Derfor er det ønskeleg med eit mindre, sameint sett standardar som alle kan ta utgangspunkt i.
Vi veit at felles europeiske krav – for eksempel til behandling av personopplysningar eller til sertifiseringar innan tryggleik – gjerne fører til at skyleverandørar tilpassar tenestene og standardavtalane sine slik at dei møter desse krava. Dette gjer det enklare for verksemdene å vurdere tenestene. Regjeringa ønsker derfor å bidra i EU sitt arbeid med å få på plass sameinte kriterium for skytenester på ulike nivå.
Regjeringa vil òg stille krav om at leverandørar til offentleg sektor i Noreg har relevante sertifiseringar eller kan dokumentere at dei oppfyller dei standardane som er sette for den sektoren dei leverer tenester til. Dei enkelte sektorane må vurdere kva standardar eller sertifiseringar som bør gjelde på deira område, såframt det er relevant. Difi får ansvaret for å koordinere dette arbeidet.
Eksempel på standardar og sertifiseringar | |
ISO 27001: | ISO 27001:2013 spesifiserer eit styringssystem for informasjonstryggleik. Denne standarden ligg til grunn for dei fleste sertifiseringsordningar. |
ISO 27018: | ISO 27018:2014 spesifiserer retningsliner for vern av personopplysningar i den allmenne skya etter at ein har gjennomført ei vurdering av personvernrisikoen. Det finst p.t. inga publisert standard for å gjere slike vurderingar. |
SOC1, SOC2, SOC3: | Service Organization Control-rapportering. Rapportar utvikla av organisasjonen for sertifiserte amerikanske revisorar (AICPA). SOC1 rapporterer på finansielle data. SOC2 tar føre seg kontrollmekanismar som er meir spesifikke for datalagring og -behandling, slik som tryggleik, tilgjenge, behandlingsintegritet, konfidensialitet og personvern. SOC3 omfattar dei same elementa som SOC2, men er meir overordna og mindre teknisk. |
FedRAMP: | Federal Risk and Authorization Management Program. Standardisert tilnærming til verifisering av tryggleik, autorisasjon og overvaking i skytenester som blir brukte av føderale byrå i USA. |
UK G-Cloud: | Verksemder som ønsker å bli akkrediterte for eit høgre tryggingsnivå i Storbritannia sitt rammeverk, G-Cloud, kan søke om dette. Det er National Technical Authority for Information Assurance (CESG) som står for akkrediteringa. |
MTCS: | Multi-Tier Cloud Security. Frå Singapore. Open sertifiseringsordning for skyleverandørar, basert på ISO 27001. Tre tryggingsnivå, Tier 1 til Tier 3, der Tier 3 oppfyller strenge krav til informasjonstryggleik. Sertifiseringa blir gjort av uavhengige sertifiseringsorgan som DNV-GL og British Standards Institution (BSI). |
HIPAA: | The Health Assurance Portability and Accountability Act. Amerikansk lov som regulerer behandling av pasientinformasjon. Ein uavhengig tredjepart sjekkar om databehandlaren overheld krava i lova. |
FISC: | Center for Financial Industry Information Systems. Frå Japan. Retningsliner for tryggleik i finansielle informasjonssystem. |
PCI DSS: | Payment Card Industry Data Security Standard. Global sertifiseringsstandard for organisasjonar som behandlar betalingskorttransaksjonar. |
Marknadsplass for skytenester retta mot offentleg sektor
Regjeringa ønsker ei form for prekvalifiserings- og/eller akkrediteringsordning for leverandørar av skytenester. Kommunal- og moderniseringsdepartementet vil greie ut moglege modellar for ein marknadsplass for skytenester retta mot offentleg sektor og vurdere om dette er aktuelt å innføre i Noreg. Ein eventuell marknadsplass vil vere eit tiltak for å gjere det enklare for verksemdene å vurdere skytenester som eit alternativ når dei skal skaffe nye IKT-system, og kan blant anna omfatte mekanismar for sjølvdeklarasjon, prekvalifisering og/eller akkreditering for ulike tryggingsnivå. Utgreiinga skal gjennomførast i 2016.
Eksempel: UK Cloud Store – Digital Marketplace
Cloud Store er eit rammeverk for skytenester retta mot offentleg sektor i Storbritannia. Rammeverket fungerer slik at det med faste intervall (kvar 6. til 9. månad) blir opna for at leverandørar kan registrere seg.
På ei eiga nettside registrerer leverandøren informasjon om verksemda si, kva tenester han kan tilby, og til kva pris. Tenesta må tilfredsstille skytenestedefinisjonen til NIST. Leverandøren legg òg inn informasjon om seg sjølv og om måten tenesta blir levert på, kva tryggingsnivå verksemda er godkjend for, med meir. Dette er i hovudsak basert på sjølvdeklarering. Godkjenning av verksemder for eit gitt tryggingsnivå blir gjort av den britiske ekvivalenten til NSM.
Dei offentlege kundane kan gå inn i Cloud Store og søke etter leverandørar. Dei kan be om meir informasjon, for eksempel om dei har spesielle krav til tryggleik. Dei kan òg velje leverandør direkte, utan å gjennomføre ein tradisjonell prosess for anskaffing. Styresmaktene i Storbritannia reknar vilkåra for offentlege innkjøp som tilfredsstilte gjennom utlysinga til registrering i rammeverket. Prisane i rammeverket er transparente, slik at tilbydarane kan endre prisane sine for å vere konkurransedyktige.
Ein viktig tanke bak Cloud Store er at det skal vere enklare for små og mellomstore selskap å konkurrere om offentlege kontraktar.
Kjelde: UK Cabinet Office – Government Digital Service
Krav til samordning ved etablering av nye datasenter
Verksemder eller sektorar som vurderer at dei har informasjon som fell inn under kategori 1), informasjon som bør lagrast i Noreg, kan tenke seg å ville etablere eit eige datasenter, eventuelt kjøpe tenester frå ein (norsk) leverandør som kan levere særskilt sikre tenester.
I slike tilfelle ønsker regjeringa å legge til rette for betre utnytting av eksisterande datasenterressursar i offentleg sektor. Verksemder som har eit særleg behov for sikre tenester, skal vurdere om det er mogleg å utnytte ledig kapasitet hos – eller gå i samarbeid med – andre verksemder med tilsvarande behov. Dette krev ei oversikt over innrettinga og kapasiteten i offentlege datasenter, først og fremst i statleg sektor. Difi vil få ansvar for å vurdere korleis ei slik ordning kan settast ut i livet.
Eksempel: Skyscape
I Storbritannia har aktørar i marknaden etablert eit datasenter som møter behova til statlege verksemder med særleg strenge krav til tryggleik. Skyscape er ein leverandør av infrastrukturtenester (IaaS) i det britiske G-cloud-rammeverket. Utgangspunktet for Skyscape er ein allianse av ulike leverandørar: det delvis statseigde forsvarsindustriselskapet QinetiQ, VMWare, Cisco, EMC og Ark Data Centres. Selskapet sine datasenter- og skytenester er akkrediterte av britiske styresmakter for data opp til «official – sensitive». Skyscape er òg akkreditert av The Health and Social Care Information Centre (HSCIC) til å levere tenester til den britiske helsetenesta NHS.
Skyscape blir ikkje brukt av statlege verksemder med lågare krav til tryggleik. Skatt og toll i Storbritannia (HMRC) har for eksempel valt Google Apps i ei skyløysing for kontorstøtte. Som ein del av avtalen har dei godtatt at data kan lagrast i Google sine datasenter utanfor Storbritannia.
Kjelder: Skyscapecloud.com, digi.no, Financial Times
System som behandlar gradert og skjermingsverdig informasjon, inkludert elektroniske dokument som er omfatta av verneinstruksen, må i utgangspunktet vere lokaliserte i Noreg. Verksemder som er underlagde tryggingslova, vil måtte gjere særskilde vurderingar dersom dei ønsker å bruke tenester frå den allmenne skya. For desse er det naturleg å søke råd hos NSM.
Tiltak: Gjere det enklare for offentlege verksemder og næringsliv å vurdere skytenester som alternativ når dei skal skaffe nye IKT-tenester
Regjeringa vil:
- Etablere eit rettleiings- og kompetansemiljø som kan støtte verksemdene når dei skal vurdere, og eventuelt kjøpe inn, skytenester:
- På kort sikt vil ein samle og legge til rette eksisterande materiell for rettleiing ved innkjøp av skytenester.
- På lengre sikt skal det byggast opp eit miljø og utviklast meir omfattande ressursar for rettleiing ved innkjøp av skytenester i offentleg sektor. Viktige område der det er bruk for rettleiing, er verdivurdering av informasjon, risikovurderingar og informasjonstryggleik. Arbeidet må koordinerast med dei vurderingane av informasjon og utvikling av rettleiarar som blir utførde i sektorane.
- Miljøet vil komme med anbefalingar til sertifiseringar eller bruk av standardar som leverandørar av skytenester til gitte sektorar bør oppfylle. Dei enkelte sektorane må vurdere kva standardar eller sertifiseringar som bør gjelde på deira område.
- Det er naturleg at dette miljøet blir etablert hos Difi, og at arbeidet inngår som ein del av rettleiinga Difi gir innan IKT-innkjøp. Kompetansemiljøet vil ta initiativ til samarbeid med relevante organisasjonar for næringslivet, slik at dei – om dei ønsker – kan utnytte Difi sine ressursar til rettleiing mot eigne verksemder
- Gi Kommunal- og moderniseringsdepartementet i oppdrag å undersøke og vurdere ulike modellar for ein mogleg marknadsplass/innkjøpsordning for skytenester retta mot offentleg sektor.
- Legge til rette for betre utnytting av eksisterande offentlege datasenterressursar for dei verksemdene som har behov for så sterk kontroll at dei vurderer å kjøpe tenester eller etablere sitt eige datasenter i Noreg. I slike tilfelle skal verksemda vurdere om det er mogleg å utnytte ledig kapasitet hos – eller gå i samarbeid med – andre verksemder med tilsvarande behov. Dette krev ei oversikt over innrettinga og kapasiteten i eksisterande datasenter, først og fremst i statleg sektor. Difi vil få ansvar for å vurdere korleis ei slik ordning kan realiserast.