Stortinget - Møte torsdag den 18. april 2024

Dato: 18.04.2024
President: Svein Harberg

Søk

Innhold

Sak nr. 3 [14:38:04]

Interpellasjon fra representanten Mahmoud Farahmand til justis- og beredskapsministeren: «Hvordan vurderer statsråden potensialet og fordelene ved å utvikle en nasjonal skyløsning spesifikt tilpasset Norges offentlige sektor, og ønsker statsråden å nyttiggjøre seg av internasjonale aktører i allierte land som tilbyr denne typen infrastruktur i Norge, til å bli en nasjonal skyløsning?»

Talere

Mahmoud Farahmand (H) []: Da jeg startet å skrive dette innlegget, var det sol ute, så jeg skulle dra en liten vits om skyløsninger, men heldigvis er været litt mer passende til å snakke om skyløsninger og overskyet vær.

Denne debatten kan i motsetning til landbruksdebatten oppleves mer abstrakt, mer fjern. Dermed er det viktig å begynne med å klargjøre hva som menes med en skyløsning.

Nettskyen eller bare skyen er en betegnelse for alt fra dataprosessering og datalagring til programvare på tjenere, altså servere, i eksterne serverparker tilknyttet internett, også kjent som skytjenester. Vi har flere slike datasenter i Norge som anvendes til denne typen tjenester. Det kommende Google-anlegget i Skien er ett av dem, og det blir ett av de større som kommer til å tilby tjenester og skyløsninger.

Skyløsninger er som sagt mye mer enn lagring. Skyleverandører har over 200 tjenester de leverer, og det lanseres flere titalls nye tjenester hvert år. På den måten bidrar denne teknologien til å muliggjøre innovasjon i privat og offentlig sektor og bidrar til bedre løsning for innbyggere og til at offentlig sektor når strategiske mål raskere, mer effektivt og ikke minst kutter kostnader.

Under pandemien samarbeidet skyleverandører med Verdens helseorganisasjon om å samle epidemiologiske data fra flere land for å spore spredningen av covid-19 og hjelpe beslutningstakere med å fatte beslutninger. Flere nasjoner har hatt stor glede av skytjenester og skyleverandører under pandemien. Den skotske regjeringen klarte ved hjelp av skyleverandører å overføre deler av trygdesystemet sitt raskt over i skyen, noe som ga bedre tilgjengelighet og mer pålitelighet for innbyggere og trygghet for de ansatte i en periode der store deler av det skotske samfunnet var nedstengt.

En studie av Deloitte om tiltakene som ble gjennomført i forbindelse med pandemien, viser at offentlig sektor ikke hadde klart å gjennomføre den store omstillingen fra en analog hverdag til en digital hverdag på en rask og god måte. Den overgangen vil ikke være mulig uten skyløsninger.

Ifølge en studie utført av Public First kan det å flytte 10 pst. av de offentlige IKT-systemene til skyen spare norske skattebetalere for 320 mill. kr i året. Det er 320 mill. kr som kan brukes på veier, forsvar, sikkerhet og beredskap og ikke minst på bøndene som står her utenfor.

I denne diskusjonen kommer vi raskt over i en debatt om sikkerhet versus ressursbruk, som jeg antar statsråden vil berøre. Med ressursbruk mener jeg ikke kun penger, jeg mener også personell. NSM gjennomførte en KVU om nasjonale skytjenester og har konkludert med at Norge har behov for funksjonelle og konstandseffektive løsninger. Videre viser de til ressursmessige utfordringer som kan oppstå som et resultat av å velge en nasjonal løsning. Der pekes det på kompetanse som en av de store utfordringene vi står overfor.

Videre må det legges til at NSM skulle ha startet et forprosjekt i høst, men dette er fortsatt under planlegging. Justisdepartementet sier at dette kan ta noe lengre tid, men gi lavere risiko. Det kan være at politiske prioriteringer skygger litt for disse viktige omstillingene vi må gjennom som samfunn, og dermed forsinker arbeidet som NSM gjør.

Jeg går nå inn for landing og repeterer: Hvordan vurderer statsråden potensialet og fordelene ved å utvikle en nasjonal skyløsning spesifikt tilpasset Norges offentlige sektor, og ønsker statsråden å nyttiggjøre seg av internasjonale aktører i allierte land som tilbyr denne typen infrastruktur i Norge til å bli en nasjonal skyløsning?

Statsråd Emilie Mehl []: Takk til representanten Farahmand for interpellasjonen.

Bruk av skytjenester er en tydelig trend på tvers av norske virksomheter. Fleksibilitet, skalerbarhet og tilgang til moderne teknologi er noen av de viktige årsakene til at det er mange virksomheter som velger skyløsninger når de skal utvikle eller anskaffe digitale løsninger. I en verden hvor både offentlig og privat sektor lagrer og bruker store mengder data, er det knapt noen vei utenom. Derfor mener jeg vi trenger bedre sikkerhet for at data som lagres av det offentlige, er trygge.

Senterpartiet og Arbeiderpartiet har over lang tid jobbet for å etablere en nasjonal skyløsning for mer kontroll over sårbare data i offentlig sektor. Jeg vil bl.a. vise til behandlingen av samfunnssikkerhetsmeldingen i mars 2021, Meld. St. 5 for 2020–2021, jf. Innst. 275 S for 2020–2021. Senterpartiet og Arbeiderpartiet fremmet der forslag om å utrede behov for og etablering av en felles skytjeneste for forvaltningen. Dette ble avvist av daværende regjering med Høyre, Venstre og Kristelig Folkeparti til fordel for å etablere en markedsplass for skytjenester.

I Hurdalsplattformen gikk Senterpartiet og Arbeiderpartiet inn for å utrede opprettelsen av en statlig skyløsning for lagring av offentlige data som helsedata, finansdata og informasjon om innbyggere og infrastruktur. Det har vi nå gjort.

Jeg mener behovet er understreket av den nye tiden som oppsto etter invasjonen av Ukraina i februar 2022. Jeg vil også nevne at regjeringen tidlig i perioden, i 2022, la fram en stortingsmelding om nasjonal kontroll og digital motstandskraft, Meld. St. 9 for 2022–2023. Meldingen staker ut en offensiv og målrettet kurs for bedre sikkerhet på cyberområdet generelt.

Staten forvalter store mengder ugradert informasjon som krever særskilt beskyttelse. Manglende nasjonal kontroll med slik informasjon kan få store konsekvenser, særlig i krise eller væpnet konflikt. Mange virksomheter velger å kjøpe skytjenester fra store kommersielle, multinasjonale selskaper. Dette bidrar som oftest til å øke sikkerheten for virksomhetene, siden de da kan fase ut utdaterte IT-løsninger og få tilgang til sikker infrastruktur og profesjonelle sikkerhetsmiljøer. Samtidig er regjeringen opptatt av den samlede nasjonale avhengigheten til utenlandske skyleverandører, og hva konsekvensene av denne avhengigheten kan være ved potensielle kriser og konflikter.

Vi har flere hendelser den siste tiden som bekrefter behovet for økt digital sikkerhet i Norge. Regjeringen tar grep for å sikre økt nasjonal kontroll med kritisk digital infrastruktur, viktige samfunnsfunksjoner og digitale verdier.

På oppdrag fra Arbeiderparti–Senterparti-regjeringen gjennom Justis- og beredskapsdepartementet har NSM, Nasjonal sikkerhetsmyndighet, utredet behovet for en nasjonal skytjeneste, som representanten nevnte. Vi jobber nå videre med en etablering. Utredningen er omfattende og omhandler teknologiske, sikkerhetsrelaterte, organisatoriske, juridiske og økonomiske problemstillinger. Erfaringer fra andre land er også vurdert, med særlig vekt på erfaringer av overføringsverdi til norske forhold.

Det er vurdert konsepter av et bredt spekter. Alle vurderte konsepter legger til grunn tydeliggjøring av regelverk og etablering av et kravsett, men har ulik grad av samordning, konkurranseutsetting og egenregi av skytjenester. Utredningen har vært til ekstern kvalitetssikring.

Regjeringen er på god vei til å realisere en nasjonal skytjeneste. Arbeidet er tatt videre, og regjeringen har valgt konsept for tiltaket. Det planlegges for en lukket skytjeneste, der det inngås avtale med en eller få leverandører som skal eie, levere, videreutvikle og drifte tjenesten. Det skal stilles krav til nasjonal kontroll av skytjenesten som leverandører må tilfredsstille og gi garantier for. I tillegg skal regelverket for skytjenester tydeliggjøres og styrkes.

Arbeidet med nasjonal skytjeneste skal ta utgangspunkt i at skytjenesten defineres som skjermingsverdig infrastruktur etter sikkerhetsloven, og at det gjøres en sikkerhetsgradert anskaffelse.

Et forprosjekt vil utrede detaljene. Et slikt utgangspunkt gir staten tilgang på kompetanse og ressurser. Kompetanse på IT og digital sikkerhet er en knapp ressurs både nasjonalt og internasjonalt. Det er ingen tvil om at næringslivet også besitter betydelig innovasjonskraft. I tillegg vil et slikt utgangspunkt for en skytjeneste relativt raskt kunne levere tjenester. Realiseringen av en nasjonal skytjeneste er, som jeg har gitt uttrykk for, et veldig viktig prosjekt for Senterpartiet og Arbeiderpartiet i regjering, hvor målet i bunnen er å styrke den digitale motstandskraften og sikkerheten i samfunnet.

Mahmoud Farahmand (H) []: Jeg takker statsråden for svaret. Vi er langt på vei enige om fordelene med skyløsninger, og det virker også som statsråden og regjeringen har tenkt å bruke private aktører som leverandører her, men som en sikkerhetsgradert anskaffelse, slik jeg forsto det. Allerede der ser jeg noen utfordringer, og da kommer vi tilbake til et annet felt som statsråden er ansvarlig for, og det er sikkerhetsklareringer. Når vi vet at store deler av ekspertisen innenfor dette feltet ikke har norsk statsborgerskap, blir det kanskje litt vanskelig å kunne gjennomføre sikkerhetsgraderte anskaffelser, med de begrensninger det muligens legger på hvilke typer ansatte man kan ha.

Her er det viktig å påpeke at det å ha en nasjonal skyløsning, statlig sådan, er helt avhengig av private aktører. Det er der kompetansen sitter, og det er også der tempoet i endringer innenfor sikkerhetsspekteret finnes. Det man vet, er at trusselaktørene er ganske raske til å agere dersom de finner angrepspunkter eller gap i sikkerheten, og de private aktørene er betydelig raskere til å oppdage dette enn de statlige. Det har man sett i flere av de digitale angrepene som har vært.

Statsråden viser til krigen i Ukraina, og jeg vil påpeke at der er det flere erfaringer enn kun denne digitale autonomiteten som kommer fram. Det å kunne spre datalagringen og tjenestebruken over flere datasentre gir også beredskap og det vi kaller for kontinuitetsmulighet, noe som man ikke får ved å ha alt samlet på ett sted. Så det er flere sider ved krigen i Ukraina som kan dras inn her.

Flere store IT-forskningsorganisasjoner, både Gartner og IDC, konkluderer med at den digitale sikkerheten i skyen er betydelig bedre og lettere å skalere opp med flere internasjonale aktører enn den vil være med bare en nasjonal aktør.

Det er andre land som har gjort seg noen erfaringer med nasjonale skyløsninger, og det de har sett der, er at det ikke alltid er like enkelt. Igjen kommer vi tilbake til det NSM peker på i sin KVU: å anskaffe den riktige kompetansen og ikke minst riktig kompetanse som er sikkerhetsklarerbar. I den situasjonen vi er i nå, med de behovene vi har nå, må vi tenke oss veldig godt om med tanke på disse ressursene.

Statsråd Emilie Mehl []: Jeg synes interpellanten har mange gode poenger i sitt innlegg, og jeg er glad for at det tilsynelatende er bred enighet om at vi må bli bedre på dette området, og at det er behov for å se på bedre lagring av offentlige data som kan være sårbare. Jeg ser fram til å jobbe videre med prosjektet for å få på plass en nasjonal skyløsning – som vil være historisk, og som er nødvendig i den tiden vi er i, både den digitale alderen og den sikkerhetspolitiske situasjonen.

Vi er en del av en internasjonal økonomi, et digitalisert samfunn, hvor det både kan være erfaringer fra utenfor Norges grenser som det er viktig å ta med seg, og hvor også trusselaktørene og virkemiddelbruken ikke forholder seg til landegrenser. Vi ser at vi også er avhengig av leverandørkjeder og verdikjeder på tvers av landegrenser. Så det er ingen tvil om at det er viktig å ha internasjonalt samarbeid også for å oppnå bedre nasjonal kontroll. Som jeg nevnte i mitt første innlegg, vil vi selvfølgelig også se til det private, for næringslivet besitter betydelig kompetanse. De har ressurser, og de har innovasjonskraft. Vi kommer til å ha utstrakt dialog, både med nasjonale og internasjonale aktører, med potensielle brukere av den nasjonale skytjenesten samt med leverandørmarkedet.

Jeg vil avslutte med å si litt om det generelle. Den sikkerhetspolitiske situasjonen har ført til en høyere bevissthet om at vi trenger økt nasjonal kontroll, når det gjelder både skyløsning spesifikt og også generelt i samfunnet. Det er kommet mye høyere på dagsordenen at vi har utfordringer knyttet til hvem som eier Norge, hvem som har kontroll over ressurser, eiendom, infrastruktur, inkludert digital infrastruktur. Både PST, E-tjenesten og Nasjonal sikkerhetsmyndighet trekker i sine åpne trusselvurderinger fram cybertrusselen som en vesentlig del av trusselbildet mot Norge. Vi ser eksempler på at samfunnskritiske IT-tjenester tjenesteutsettes uten at det har vært tilstrekkelige risikovurderinger og sikringstiltak, og at data flyttes ut av landet uten at man har gjort tilstrekkelige sikkerhetsfaglige vurderinger. Det er noe som innebærer en risiko for staten, og det er også bakgrunnen for at vi må se nærmere på den samlede nasjonale avhengigheten av bl.a. utenlandske skyleverandører og hva konsekvensen av avhengigheten kan være.

Mahmoud Farahmand (H) []: Jeg tror ikke statsråden og jeg er så uenige om det å opprettholde nasjonal kontroll og fokusere på nasjonal sikkerhet. Samtidig må vi skille mellom det å få inn tjenester og det å lagre data. Det vil være to forskjellige diskusjoner. Med de datasentrene vi har i Norge på private hender, kan vi bruke private leverandører på datalagring. Det gjør vi allerede på bl.a. nødnett – både på tjenestesiden og på datalagringssiden – så det er ikke det store problemet.

Det som blir viktig for meg og for oss i Høyre, er å trekke på alle de gode kreftene vi kan få inn i dette, for å kunne få best mulige tjenesteleveranser og mest mulig sikkerhet for de ressursene vi bruker på det, både de menneskelige og de pengemessige. Det virker ellers som statsråden er inne på at vi er ganske enige på veldig mange punkter. Det jeg er litt ivrig på, er å få litt tempo på dette, for tiden går fra oss, og sårbarhetene blir ikke akkurat mindre med tiden.

Statsråd Emilie Mehl []: Når det gjelder tempo, er jeg helt enig. Som jeg sa i mitt første innlegg, satt jeg selv i Stortinget som representant i forrige periode og foreslo at vi skulle begynne å etablere en nasjonal skyløsning. Det var Høyre da imot. Derfor kom vi ikke i gang. Så kom jeg i regjering som justis- og beredskapsminister, og vi begynte ganske raskt med å se på hvordan vi kan gjøre dette. Heldigvis har vi nå kommet til det punktet at vi har hatt en konseptvalgutredning, har valgt konsept og skal gå videre med et forprosjekt. Det skjer ting på dette området som er veldig bra.

Jeg har også sagt i interpellasjonen at vi framover kommer til å ha god dialog med forskjellige leverandører, og se på hvordan vi antakeligvis kan lande på en lukket skytjeneste hvor man inngår en avtale med en eller noen få leverandører som skal eie, levere, videreutvikle og drifte den tjenesten. Som alle prosjekter i staten må det være kostnadseffektivt, men det må også være sikkert. Derfor legger vi opp til at dette skal gjøres som en sikkerhetsgradert anskaffelse.

Det er mulig at jeg misforsto noe helt i innledningen, men det ble nevnt datasentre, og da har jeg også lyst til å nevne, siden vi kom inn på det, at jeg mener sikkerheten rundt datasentre i Norge har vært for dårlig. Derfor er jeg veldig glad for at regjeringen nå har lagt fram forslag til en ny ekomlov, hvor vi bl.a. legger opp til å stille strengere krav til datasentre i Norge generelt. Vi må ha bedre oversikt over hvem som bruker det, og hvem som drifter det. Det er også en del av sikkerhetsarbeidet, som er en tilliggende diskusjon til det interpellasjonen i dag handler om.

Presidenten []: Dermed er debatten i sak nr. 3 omme.