Sett it-driften ut i skyen!

Gigantiske datasentre er nå tilgjengelige på internett ("i skyen"). Bruk av disse kan for mange virksomheter være både billigere, bedre og mer fleksibelt enn drift i egne datarom eller hos tradisjonelle driftsleverandører.

En risikovurdering gjort av Lånekassen indikerer at drift i skyen også kan egne seg godt for store virksomhetskritiske it-systemer med høye sikkerhetskrav.

Risikovurderingen er presentert for Datatilsynet uten å møte vesentlige innvendinger.

Denne typen skytjenester går under betegnelsen «infrastructure as a service» eller «IaaS», og eksempler på slike er Microsofts Windows Azure, Amazon Web Services og Google Compute Engine. Datasentrene brukes til selskapenes egne systemer og publikumstjenester til hundretalls millioner brukere. I tillegg tilbys kapasitet i datasentrene til virksomheter som kan sette opp sine egne systemer der.

Dette brukes i økende grad av store virksomheter over hele verden, for eksempel London-OL 2012, Toyota, Tesco, Canon, Samsung og Instagram.

Lånekassens systemer inneholder store mengder personopplysninger for nesten halve Norges befolkning.

Blant disse er det også en del sensitive personopplysninger, og systemene håndterer årlige inn- og utbetalinger på 20-25 milliarder kroner. En rekke tjenester i systemene er tilgjengelige på internett for publikum, og systemene har mange eksterne grensesnitt hvor det utveksles mye informasjon.

Informasjonssikkerhet er derfor helt sentralt. Kan drift av slike systemer gjøres i skyen med IaaS?

Driftsstabiliteten og sikkerhetsmekanismene er kjernen i IaaS-datasentrene. Den enorme datakraften, programvare som utnytter kraften raskt og fleksibelt, samt automatiske feilhåndteringssystemer, sørger for stabil drift døgnet rundt.

Solide separasjonsmekanismer mellom ulike kunder og systemer sørger for at feil og driftsforstyrrelser i ett system ikke påvirker andre og at én virksomhets data ikke er tilgjengelige for andre. Drifts- og sikkerhetsrutiner, samt databehandleravtaler og andre vilkår blir stadig mer profesjonelle.

Driftsleverandører og interne driftsavdelinger har lignende opplegg. Men det blir vanskeligere og vanskeligere å måle seg med internettgigantenes systematikk, profesjonalitet, kostnadseffektivitet, datakraft, driftskvalitet og kostnadsnivå.

Hva skal så til for å flytte driften ut i skyen?

Overordnet og prinsipielt er det to ting. For det første bør det gjøres en systematisk risikovurdering, som kan si konkret om risikoen ved utsetting i skyen er akseptabel for de aktuelle systemene. Risikovurderingen bør belyse om lovmessige krav kan etterleves og om risikoen for at dette ikke skjer er akseptabel. For det andre må virksomheten ha god tilgang til kompetanse på drift av sine systemer, for leverandørene av IaaS drifter ikke systemene, de drifter bare den grunnleggende infrastrukturen.

God kompetanse om egne systemer er noe virksomheten alltid bør ha tilgang til, enten man har drift i eget hus, hos en tradisjonell driftsleverandør eller i skyen.

Særlig gjelder dette for komplekse systemer som er vevet inn i kjernevirksomheten, kanskje også med store data- og transaksjonsvolumer. For slike systemer, uansett drifts- og sourcingmodell, er det viktig med tilgang til både teknisk driftskompetanse og kompetanse om produksjonsoppfølging – oppfølging av at systemene produserer de resultater de skal for virksomheten.

Om kompetansetilgangen er med egne ansatte, innleide konsulenter eller gjennom tjenestekjøp, er ikke det vesentlige i denne sammenhengen. Det vesentlige er at den finnes tilgjengelig.

Drift i skyen kan faktisk bidra til å tydeliggjøre hva slags kompetanse det er viktig for virksomheten selv å beholde nær tilgang til.

Det kommer av at det er veldig klart hva slags infrastruktur og tjenester man får ved bruk av IaaS og hva man selv må sørge for. Dette kan skape tydelige og enkle ansvars- og avtaleforhold og forenkle diskusjoner om strategier for outsourcing.

Det kan dessuten klargjøre hva slags kompetanse det er viktig for virksomheten selv å satse langsiktig på. Slike forenklinger er i seg selv besparende og kvalitetshevende.

Risikovurderingen må baseres på god forståelse av hva de aktuelle systemene gjør for virksomheten og hva slags informasjon de behandler. En del av vurderingen gjelder de klassiske områdene innen informasjonssikkerhet – trusler mot konfidensialitet, integritet og tilgjengelighet. Nulltoleranse for risiko er sjelden mulig i større virksomhetskritiske it-systemer med grensesnitt til andre systemer og til mennesker.

Det er derfor nødvendig å sammenligne risikoen ved drift i skyen med andre reelle alternative driftsmodeller. Spørsmålene å stille seg er derfor ikke om det er mulighet for sikkerhetsbrudd i skyen, men om risikoen for sikkerhetsbrudd er større eller mindre enn hos den driftsleverandøren som benyttes i dag.

Hvor er for eksempel sikkerhetsrutinene mest profesjonelle? Hvor er teknologien mest solid?

Hvor er det mest sannsynlig at noen med onde hensikter kan få uautorisert tilgang til beskyttelsesverdig informasjon

I Lånekassens vurdering av Windows Azure ble blant annet følgende spørsmål gjennomgått: Er kommunikasjon til driftssentrene via internett trygg nok?

Kan det oppstå datalekkasje på grunn av mangelfull separasjon i Microsofts datasentre?

Er kontrollen med tilgang til data for Microsofts driftspersonell god nok?

Er det lovlig å overføre den informasjon systemet inneholder til de land datasentrene er plassert?

Ved større feilsituasjoner – kan data komme til å bli overført til et land utenfor lovlig område som reserveløsning?

Er kontrollmulighetene ved revisjon utført av ekstern tredjepart akseptable? Har vi tilstrekkelig kontroll over sikkerhetsovervåkningen?

Ved sikkerhetsbrudd – har vi tilstrekkelig mulighet til å undersøke dem?

Hva gjør vi dersom hele tjenesten endres så mye at vi ikke kan bruke den mer?

Får vi etablert en databehandleravtale som oppfyller lovens minstekrav?

Lånekassen vurderte i første omgang å bruke Azure i tillegg til infrastruktur hos en annen driftsleverandør. Lånekassen har utviklet automatiserte rutiner for oppbygging og reetablering av store tekniske miljøer (for utviklings-, test- og produksjonsformål). Dette reduserer risiko i en del av de nevnte spørsmålene. Det reduserer dessuten avhengighet av enkeltleverandører.

Hva med lagring av data utenfor Norge?

Det er viktig å kunne angi hvilke datasentre i hvilke land som kan brukes, også som reserveløsning. For Azure er det for eksempel mulig å begrense driften til datasentre som ligger i EØS-land, som Irland og Nederland. Det forenkler den juridiske vurderingen for systemer med personopplysninger. Det er en utbredt misforståelse at sensitive personopplysninger ikke kan sendes ut av Norge.

Slik er det ikke: Drift av systemer med personopplysninger, også sensitive, i datasentre innen EØS er fullt ut lovlig for de aller fleste norske virksomheter.

For mange virksomheter vil det kunne være lovlig å bruke datasentre også utenfor EØS, dersom man sikrer at det finnes et lovlig grunnlag for overføringen.

Hva med kontraktsmessige garantier og sanksjoner (SLA)? Stabil drift er målet. Garantier og sanksjoner er virkemidler for å få en leverandør til å prioritere stabil drift, men kontraktstekst i seg selv sikrer ikke evnen til å holde driften stabil. Den totale risikoen for ustabil drift består av mange flere faktorer.

Lånekassens vurdering av Windows Azure konkluderte positivt, ved drift av både utviklings-, test- og produksjonssystemer.

Risikoen ble vurdert å være på akseptabelt nivå, til dels også på et bedre nivå med Azure, sammenlignet med de andre aktuelle driftsmodellene. Det må presiseres at denne vurderingen ble gjort for et års tid siden mens jeg var it-direktør, og at nåværende it-ledelse ikke nødvendigvis ville gjort de samme vurderingene i dag.

Og Lånekassen har valgt foreløpig ikke å benytte Microsofts skytjeneste.

Konklusjonen er at mulighetene for kostnadsbesparelser og økt driftssikkerhet er store, og risikobildet ved drift i skyen er ofte minst like akseptabelt som ved andre driftsmodeller. Den riktige beslutningen for mange virksomheter er derfor å benytte infrastrukturtjenester i skyen i betydelig grad, også til store, virksomhetskritiske systemer med personopplysninger.

Takk for gode innspill og presiseringer fra advokat Kristin Haram, Advokatfirmaet Simonsen Vogt Wiig.

Jan Erik Ressem, daglig leder i Avante Consulting (tidligere it-direktør i Lånekassen)