LEDER: Datasikkerhet fra middelalderen
Bokføringslovens krav om at regnskapsmateriale skal oppbevares i Norge hører mildest talt fortiden til.
I middelalderen bygget man en festning rundt det man ville beskytte. Kronjuveler, gull og andre verdisaker ble låst ned i en kiste og plassert i hjertet av en festning med høye murer og vakter væpnet til tennene. For å slippe inn måtte helst vaktene kjenne deg eller følget du kom med.
Tankegangen har fulgt oss helt opp til moderne tid. For fysisk sikring av kraftproduksjon, fabrikkanlegg og annen viktig infrastruktur er fremdeles lokalisering avgjørende. Selv om gjerder har erstattet festningsmurer, kameraovervåking har erstattet vakter og adgangssystemer begrenser tilgang, sikrer vi konkrete ting på fysiske lokasjoner.
I dataalderen er det informasjonen som har verdi, ikke først og fremst den fysiske representasjonen av dem. Egentlig ønsker vi ikke å ha noe forhold til hvor og hvordan informasjonen lagres, verdien ligger i å ha tilgang til den så vi kan sammenstille og analysere for å forbedre oss eller berike løsningen med andre applikasjoner. Å komme på innsiden av sikkerheten handler ikke lenger om å komme seg på innsiden av en festning, eller på innsiden av en brannmur.
Det betyr ikke at fysisk sikring av servere og disker er uten verdi. Anleggene til skyleverandørene har det som kreves av piggtråd og adgangskontroll, det er en selvfølge. Kun i enkelte tilfeller, som ved svært sensitive personopplysninger eller forsvarshemmeligheter, spiller både lokasjon og transportveier avgjørende rolle.
For andre er den resterende delen av sikkerheten mye viktigere. Det som ikke handler om fysisk plassering, men for eksempel avtalene som regulerer hvem som har tilgang til hva. Hvilke rettigheter kunden har overfor skyleverandøren. Eller kanskje hvorvidt nasjonal etterretning har et sugerør inn i datasenteret.
Lovverk og retningslinjer laget for en tid med fysiske dokumenter og ukrypterte data på sikrede serverrom må oppdateres slik at de speiler dagens situasjon. Hvis ikke blir lovverket enten et hinder for lønnsomhet og innovasjon i norske bedrifter, eller et sovende lovverk uten relevans.
