Mahmoud Farahmand (H) [14:38:36 ] : Da jeg startet å skrive
dette innlegget, var det sol ute, så jeg skulle dra en liten vits
om skyløsninger, men heldigvis er været litt mer passende til å
snakke om skyløsninger og overskyet vær.
Denne debatten kan i motsetning til landbruksdebatten
oppleves mer abstrakt, mer fjern. Dermed er det viktig å begynne
med å klargjøre hva som menes med en skyløsning.
Nettskyen eller bare skyen er en betegnelse
for alt fra dataprosessering og datalagring til programvare på tjenere,
altså servere, i eksterne serverparker tilknyttet internett, også
kjent som skytjenester. Vi har flere slike datasenter i Norge som
anvendes til denne typen tjenester. Det kommende Google-anlegget
i Skien er ett av dem, og det blir ett av de større som kommer til
å tilby tjenester og skyløsninger.
Skyløsninger er som sagt mye mer enn lagring.
Skyleverandører har over 200 tjenester de leverer, og det lanseres
flere titalls nye tjenester hvert år. På den måten bidrar denne
teknologien til å muliggjøre innovasjon i privat og offentlig sektor
og bidrar til bedre løsning for innbyggere og til at offentlig sektor
når strategiske mål raskere, mer effektivt og ikke minst kutter
kostnader.
Under pandemien samarbeidet skyleverandører med
Verdens helseorganisasjon om å samle epidemiologiske data fra flere
land for å spore spredningen av covid-19 og hjelpe beslutningstakere
med å fatte beslutninger. Flere nasjoner har hatt stor glede av
skytjenester og skyleverandører under pandemien. Den skotske regjeringen
klarte ved hjelp av skyleverandører å overføre deler av trygdesystemet
sitt raskt over i skyen, noe som ga bedre tilgjengelighet og mer
pålitelighet for innbyggere og trygghet for de ansatte i en periode
der store deler av det skotske samfunnet var nedstengt.
En studie av Deloitte om tiltakene som ble
gjennomført i forbindelse med pandemien, viser at offentlig sektor
ikke hadde klart å gjennomføre den store omstillingen fra en analog
hverdag til en digital hverdag på en rask og god måte. Den overgangen
vil ikke være mulig uten skyløsninger.
Ifølge en studie utført av Public First kan
det å flytte 10 pst. av de offentlige IKT-systemene til skyen spare norske
skattebetalere for 320 mill. kr i året. Det er 320 mill. kr som
kan brukes på veier, forsvar, sikkerhet og beredskap og ikke minst
på bøndene som står her utenfor.
I denne diskusjonen kommer vi raskt over i
en debatt om sikkerhet versus ressursbruk, som jeg antar statsråden
vil berøre. Med ressursbruk mener jeg ikke kun penger, jeg mener
også personell. NSM gjennomførte en KVU om nasjonale skytjenester
og har konkludert med at Norge har behov for funksjonelle og konstandseffektive
løsninger. Videre viser de til ressursmessige utfordringer som kan
oppstå som et resultat av å velge en nasjonal løsning. Der pekes
det på kompetanse som en av de store utfordringene vi står overfor.
Videre må det legges til at NSM skulle ha startet
et forprosjekt i høst, men dette er fortsatt under planlegging.
Justisdepartementet sier at dette kan ta noe lengre tid, men gi
lavere risiko. Det kan være at politiske prioriteringer skygger
litt for disse viktige omstillingene vi må gjennom som samfunn,
og dermed forsinker arbeidet som NSM gjør.
Jeg går nå inn for landing og repeterer: Hvordan
vurderer statsråden potensialet og fordelene ved å utvikle en nasjonal
skyløsning spesifikt tilpasset Norges offentlige sektor, og ønsker
statsråden å nyttiggjøre seg av internasjonale aktører i allierte
land som tilbyr denne typen infrastruktur i Norge til å bli en nasjonal
skyløsning?
Statsråd Emilie Mehl [14:43:03 ] : Takk til representanten
Farahmand for interpellasjonen.
Bruk av skytjenester er en tydelig trend på
tvers av norske virksomheter. Fleksibilitet, skalerbarhet og tilgang
til moderne teknologi er noen av de viktige årsakene til at det
er mange virksomheter som velger skyløsninger når de skal utvikle
eller anskaffe digitale løsninger. I en verden hvor både offentlig
og privat sektor lagrer og bruker store mengder data, er det knapt
noen vei utenom. Derfor mener jeg vi trenger bedre sikkerhet for at
data som lagres av det offentlige, er trygge.
Senterpartiet og Arbeiderpartiet har over lang
tid jobbet for å etablere en nasjonal skyløsning for mer kontroll
over sårbare data i offentlig sektor. Jeg vil bl.a. vise til behandlingen
av samfunnssikkerhetsmeldingen i mars 2021, Meld. St. 5 for 2020–2021,
jf. Innst. 275 S for 2020–2021. Senterpartiet og Arbeiderpartiet
fremmet der forslag om å utrede behov for og etablering av en felles
skytjeneste for forvaltningen. Dette ble avvist av daværende regjering
med Høyre, Venstre og Kristelig Folkeparti til fordel for å etablere
en markedsplass for skytjenester.
I Hurdalsplattformen gikk Senterpartiet og
Arbeiderpartiet inn for å utrede opprettelsen av en statlig skyløsning
for lagring av offentlige data som helsedata, finansdata og informasjon
om innbyggere og infrastruktur. Det har vi nå gjort.
Jeg mener behovet er understreket av den nye
tiden som oppsto etter invasjonen av Ukraina i februar 2022. Jeg
vil også nevne at regjeringen tidlig i perioden, i 2022, la fram
en stortingsmelding om nasjonal kontroll og digital motstandskraft,
Meld. St. 9 for 2022–2023. Meldingen staker ut en offensiv og målrettet
kurs for bedre sikkerhet på cyberområdet generelt.
Staten forvalter store mengder ugradert informasjon
som krever særskilt beskyttelse. Manglende nasjonal kontroll med
slik informasjon kan få store konsekvenser, særlig i krise eller
væpnet konflikt. Mange virksomheter velger å kjøpe skytjenester
fra store kommersielle, multinasjonale selskaper. Dette bidrar som
oftest til å øke sikkerheten for virksomhetene, siden de da kan fase
ut utdaterte IT-løsninger og få tilgang til sikker infrastruktur
og profesjonelle sikkerhetsmiljøer. Samtidig er regjeringen opptatt
av den samlede nasjonale avhengigheten til utenlandske skyleverandører,
og hva konsekvensene av denne avhengigheten kan være ved potensielle
kriser og konflikter.
Vi har flere hendelser den siste tiden som
bekrefter behovet for økt digital sikkerhet i Norge. Regjeringen
tar grep for å sikre økt nasjonal kontroll med kritisk digital infrastruktur,
viktige samfunnsfunksjoner og digitale verdier.
På oppdrag fra Arbeiderparti–Senterparti-regjeringen
gjennom Justis- og beredskapsdepartementet har NSM, Nasjonal sikkerhetsmyndighet,
utredet behovet for en nasjonal skytjeneste, som representanten
nevnte. Vi jobber nå videre med en etablering. Utredningen er omfattende
og omhandler teknologiske, sikkerhetsrelaterte, organisatoriske,
juridiske og økonomiske problemstillinger. Erfaringer fra andre
land er også vurdert, med særlig vekt på erfaringer av overføringsverdi
til norske forhold.
Det er vurdert konsepter av et bredt spekter.
Alle vurderte konsepter legger til grunn tydeliggjøring av regelverk
og etablering av et kravsett, men har ulik grad av samordning, konkurranseutsetting
og egenregi av skytjenester. Utredningen har vært til ekstern kvalitetssikring.
Regjeringen er på god vei til å realisere en
nasjonal skytjeneste. Arbeidet er tatt videre, og regjeringen har valgt
konsept for tiltaket. Det planlegges for en lukket skytjeneste,
der det inngås avtale med en eller få leverandører som skal eie,
levere, videreutvikle og drifte tjenesten. Det skal stilles krav
til nasjonal kontroll av skytjenesten som leverandører må tilfredsstille
og gi garantier for. I tillegg skal regelverket for skytjenester
tydeliggjøres og styrkes.
Arbeidet med nasjonal skytjeneste skal ta utgangspunkt
i at skytjenesten defineres som skjermingsverdig infrastruktur etter
sikkerhetsloven, og at det gjøres en sikkerhetsgradert anskaffelse.
Et forprosjekt vil utrede detaljene. Et slikt
utgangspunkt gir staten tilgang på kompetanse og ressurser. Kompetanse
på IT og digital sikkerhet er en knapp ressurs både nasjonalt og
internasjonalt. Det er ingen tvil om at næringslivet også besitter
betydelig innovasjonskraft. I tillegg vil et slikt utgangspunkt
for en skytjeneste relativt raskt kunne levere tjenester. Realiseringen
av en nasjonal skytjeneste er, som jeg har gitt uttrykk for, et veldig
viktig prosjekt for Senterpartiet og Arbeiderpartiet i regjering,
hvor målet i bunnen er å styrke den digitale motstandskraften og
sikkerheten i samfunnet.
Mahmoud Farahmand (H) [14:48:04 ] : Jeg takker statsråden for
svaret. Vi er langt på vei enige om fordelene med skyløsninger,
og det virker også som statsråden og regjeringen har tenkt å bruke
private aktører som leverandører her, men som en sikkerhetsgradert anskaffelse,
slik jeg forsto det. Allerede der ser jeg noen utfordringer, og
da kommer vi tilbake til et annet felt som statsråden er ansvarlig
for, og det er sikkerhetsklareringer. Når vi vet at store deler
av ekspertisen innenfor dette feltet ikke har norsk statsborgerskap,
blir det kanskje litt vanskelig å kunne gjennomføre sikkerhetsgraderte
anskaffelser, med de begrensninger det muligens legger på hvilke
typer ansatte man kan ha.
Her er det viktig å påpeke at det å ha en nasjonal skyløsning,
statlig sådan, er helt avhengig av private aktører. Det er der kompetansen
sitter, og det er også der tempoet i endringer innenfor sikkerhetsspekteret
finnes. Det man vet, er at trusselaktørene er ganske raske til å
agere dersom de finner angrepspunkter eller gap i sikkerheten, og
de private aktørene er betydelig raskere til å oppdage dette enn
de statlige. Det har man sett i flere av de digitale angrepene som
har vært.
Statsråden viser til krigen i Ukraina, og jeg
vil påpeke at der er det flere erfaringer enn kun denne digitale autonomiteten
som kommer fram. Det å kunne spre datalagringen og tjenestebruken
over flere datasentre gir også beredskap og det vi kaller for kontinuitetsmulighet,
noe som man ikke får ved å ha alt samlet på ett sted. Så det er
flere sider ved krigen i Ukraina som kan dras inn her.
Flere store IT-forskningsorganisasjoner, både
Gartner og IDC, konkluderer med at den digitale sikkerheten i skyen
er betydelig bedre og lettere å skalere opp med flere internasjonale
aktører enn den vil være med bare en nasjonal aktør.
Det er andre land som har gjort seg noen erfaringer med
nasjonale skyløsninger, og det de har sett der, er at det ikke alltid
er like enkelt. Igjen kommer vi tilbake til det NSM peker på i sin
KVU: å anskaffe den riktige kompetansen og ikke minst riktig kompetanse
som er sikkerhetsklarerbar. I den situasjonen vi er i nå, med de
behovene vi har nå, må vi tenke oss veldig godt om med tanke på
disse ressursene.
Statsråd Emilie Mehl [14:50:52 ] : Jeg synes interpellanten
har mange gode poenger i sitt innlegg, og jeg er glad for at det
tilsynelatende er bred enighet om at vi må bli bedre på dette området,
og at det er behov for å se på bedre lagring av offentlige data
som kan være sårbare. Jeg ser fram til å jobbe videre med prosjektet
for å få på plass en nasjonal skyløsning – som vil være historisk,
og som er nødvendig i den tiden vi er i, både den digitale alderen
og den sikkerhetspolitiske situasjonen.
Vi er en del av en internasjonal økonomi, et
digitalisert samfunn, hvor det både kan være erfaringer fra utenfor
Norges grenser som det er viktig å ta med seg, og hvor også trusselaktørene
og virkemiddelbruken ikke forholder seg til landegrenser. Vi ser
at vi også er avhengig av leverandørkjeder og verdikjeder på tvers
av landegrenser. Så det er ingen tvil om at det er viktig å ha internasjonalt
samarbeid også for å oppnå bedre nasjonal kontroll. Som jeg nevnte
i mitt første innlegg, vil vi selvfølgelig også se til det private,
for næringslivet besitter betydelig kompetanse. De har ressurser,
og de har innovasjonskraft. Vi kommer til å ha utstrakt dialog,
både med nasjonale og internasjonale aktører, med potensielle brukere
av den nasjonale skytjenesten samt med leverandørmarkedet.
Jeg vil avslutte med å si litt om det generelle.
Den sikkerhetspolitiske situasjonen har ført til en høyere bevissthet
om at vi trenger økt nasjonal kontroll, når det gjelder både skyløsning
spesifikt og også generelt i samfunnet. Det er kommet mye høyere
på dagsordenen at vi har utfordringer knyttet til hvem som eier
Norge, hvem som har kontroll over ressurser, eiendom, infrastruktur, inkludert
digital infrastruktur. Både PST, E-tjenesten og Nasjonal sikkerhetsmyndighet
trekker i sine åpne trusselvurderinger fram cybertrusselen som en
vesentlig del av trusselbildet mot Norge. Vi ser eksempler på at
samfunnskritiske IT-tjenester tjenesteutsettes uten at det har vært
tilstrekkelige risikovurderinger og sikringstiltak, og at data flyttes
ut av landet uten at man har gjort tilstrekkelige sikkerhetsfaglige
vurderinger. Det er noe som innebærer en risiko for staten, og det
er også bakgrunnen for at vi må se nærmere på den samlede nasjonale
avhengigheten av bl.a. utenlandske skyleverandører og hva konsekvensen
av avhengigheten kan være.
Mahmoud Farahmand (H) [14:53:48 ] : Jeg tror ikke statsråden
og jeg er så uenige om det å opprettholde nasjonal kontroll og fokusere
på nasjonal sikkerhet. Samtidig må vi skille mellom det å få inn
tjenester og det å lagre data. Det vil være to forskjellige diskusjoner.
Med de datasentrene vi har i Norge på private hender, kan vi bruke
private leverandører på datalagring. Det gjør vi allerede på bl.a.
nødnett – både på tjenestesiden og på datalagringssiden – så det
er ikke det store problemet.
Det som blir viktig for meg og for oss i Høyre,
er å trekke på alle de gode kreftene vi kan få inn i dette, for
å kunne få best mulige tjenesteleveranser og mest mulig sikkerhet
for de ressursene vi bruker på det, både de menneskelige og de pengemessige.
Det virker ellers som statsråden er inne på at vi er ganske enige
på veldig mange punkter. Det jeg er litt ivrig på, er å få litt
tempo på dette, for tiden går fra oss, og sårbarhetene blir ikke
akkurat mindre med tiden.
Statsråd Emilie Mehl [14:55:03 ] : Når det gjelder tempo, er
jeg helt enig. Som jeg sa i mitt første innlegg, satt jeg selv i
Stortinget som representant i forrige periode og foreslo at vi skulle
begynne å etablere en nasjonal skyløsning. Det var Høyre da imot.
Derfor kom vi ikke i gang. Så kom jeg i regjering som justis- og
beredskapsminister, og vi begynte ganske raskt med å se på hvordan
vi kan gjøre dette. Heldigvis har vi nå kommet til det punktet at
vi har hatt en konseptvalgutredning, har valgt konsept og skal gå
videre med et forprosjekt. Det skjer ting på dette området som er
veldig bra.
Jeg har også sagt i interpellasjonen at vi
framover kommer til å ha god dialog med forskjellige leverandører,
og se på hvordan vi antakeligvis kan lande på en lukket skytjeneste
hvor man inngår en avtale med en eller noen få leverandører som
skal eie, levere, videreutvikle og drifte den tjenesten. Som alle
prosjekter i staten må det være kostnadseffektivt, men det må også
være sikkert. Derfor legger vi opp til at dette skal gjøres som
en sikkerhetsgradert anskaffelse.
Det er mulig at jeg misforsto noe helt i innledningen,
men det ble nevnt datasentre, og da har jeg også lyst til å nevne,
siden vi kom inn på det, at jeg mener sikkerheten rundt datasentre
i Norge har vært for dårlig. Derfor er jeg veldig glad for at regjeringen
nå har lagt fram forslag til en ny ekomlov, hvor vi bl.a. legger
opp til å stille strengere krav til datasentre i Norge generelt.
Vi må ha bedre oversikt over hvem som bruker det, og hvem som drifter
det. Det er også en del av sikkerhetsarbeidet, som er en tilliggende
diskusjon til det interpellasjonen i dag handler om.
Presidenten [14:56:54 ]: Dermed er debatten
i sak nr. 3 omme.