NSM slår alarm om sikkerheten på datasenter

NSM offentliggjør senere i dag en rapport om norske datasenter. CW har fått tilgang på rapporten som også vil bli lagt ut på NSM sine nettsider.

NSM påpeker blant annet at det ikke finner spesifikke reguleringer opp mot bruken av datasentre, så dermed er det høyeste nivå av regulering god forretningsskikk. Dagens virksomheter er avhengige av datasentre, og dermed vil regulering føre til bedre sikkerhet og mindre risiko.

NSM skal lede konseptutredningsprosessen for en nasjonal offentlig sky. Rapporten kartlegger flere av risikoene for trygge datasenter. Datasentre er det fysiske annlegget bak skyen, og dermed vil disse forslagene også treffe hvordan en forsvarlig og trygg norsk, offentlig sky kan se ut. Fristen for å melde anbud for konsulenter som vil bidra i konseptutredningsprosessen var 10.januar og dermed er et nytt utvalg for offentlig sky rett rundt svingen.

NSM kommer med fire anbefalinger i rapporten.

Datasentre i Norge

De funksjonene samfunnet er mest avhengig av bør leveres fra datasentre i Norge. Det offentlige i Norge benytter seg av IKT-tjenester som er lokalisert og driftet utenfor Norge. Så lenge disse sentrene er utenfor Norge vil det være utfordringer knyttet til sikkerheten og dermed vanskelig å bruke slike sentre til samfunnskritiske funksjoner eller skjermingsverdig informasjon.

Kartlegging

Nasjonal digital infrastruktur bør kartlegges. NSM sine analyser viser at dagens tjenesteleveranser er knyttet til et fåtall datasentre. Det skaper mulig sårbarhet og kan gjøre datasentrene til et attraktivt mål for sabotasje. Skulle Norge blitt utsatt for ransomware-forsøk, ville det vært utfordrende å holde sentrale tjenester i gang dersom de er knyttet til få datasentre. Stortinget viste at sikkerheten kan svikte, da hackere i 2020 fikk tilgang på flere representanters e-post.

Offentlige stiller krav

Det offentlige bør spesifisere krav til sikring av datasentre. Ved bruk av datasentre burde man ta i bruk internasjonalt anerkjente sikkerhetsstandarder, som for eksempel EN 50600 og ISO 27001. Det er også behov for fysisk sikring, og krav til personell med tilgang, inkludert mulige underleverandører.

Sektoransvar og regulering i EUs indre marked

Etablere sektoransvar og regulering for datasentre. NSM påpeker at datasenter ikke er underlagt særskilte lover. De ønsker at lovregulering av datasentre kommer på plass, og ønsker at Norge skal bli del av EUs indre marked under EØS-avtalen. Det stilles klare krav til datasenteraktørene og dermed ville norske datasentre blitt strengere regulert.

NSM sier også at dersom datasentre skal levere funksjoner som er avgjørende for nasjonal sikkerhet, så må de underlegges sikkerhetsloven og gis et forsvarlig sikkerhetsnivå. Det er per i dag ingen slike funksjoner, men heller ikke da noen regler for hvordan det ville sett ut.