Skytjenester og risikostyring

Samtidig skrives det at jeg har fremsatt påstanden «når Lånekassen kan, kan andre» og at jeg antyder at Lånekassen står som garantist for skytjenester fra de store leverandørene.

De som leser min artikkel ordentlig ser at det ikke er fremsatt noen slike påstander.

Budskapet mitt er tvert i mot at hver virksomhet selv må gjøre en konkret risikovurdering av sine aktuelle systemer i forhold til bruk av en spesifikk skytjeneste.

Årsaken til å trekke frem Lånekassen er at det for mange er nyttig å høre eksempler på andres erfaringer og vurderinger. Samtidig kan det være en fordel å slå hull på noen myter om temaet, som for eksempel at skytjenester av prinsipielle årsaker aldri kan brukes til personopplysninger, eller at sensitive personopplysninger aldri kan lagres utenfor Norges grenser. Flere fra resultatskapende it-fagmiljøer burde tørre å gå ut med erfaringer fra egen virksomhet om kontroversielle spørsmål, særlig fra offentlige virksomheter.

Tilbake til gjensidige utfordringer, Jostein: Risikostyring handler om å være konkret og om vesentlighet.

Ja, Snowdens avsløringer gir mange ny innsikt. Samtidig må hver virksomhet selv vurdere om for eksempel NSAs overvåking utgjør en konkret og vesentlig risiko for egne systemer og driftsmodeller; dagens eller nye. Det skal ikke utelukkes at NSAs overvåkingsmuligheter kan utgjøre en trussel mot informasjonen i Lånekassens systemer, men det er samtidig et ledelsesspørsmål om trusselen er vesentlig nok til å bruke tid og innsats mot den i egen virksomhet.

Dersom dette utgjør en svært alvorlig risiko for egne systemer – kan man da i det hele tatt bruke programvare og tjenester fra amerikanske virksomheter? Kan man vite sikkert nok at NSA ikke har installert bakdører i operativsystemer og databasesystemer som de kan nå via internett?

Risikostyring er å finne balansen mellom paranoia og naivitet.

Jan Erik Ressem, tidligere it-direktør i Lånekassen