Oslo Economics har i samarbeid med PROMIS og Systra (tidligere Atkins Norge), kvalitetssikret (KS1) Nasjonal sikkerhetsmyndighet (NSM) sin konseptvalgutredning «Nasjonal skytjeneste». Det sentrale spørsmålet i konseptvalgutredningen er hvordan Norge kan sikre effektiv og sikker lagring av beskyttelsesverdig data i statsforvaltningen ved bruk av skyteknologi.
Skyteknologi muliggjør effektiv og fleksibel lagring av data, og bruken av skytjenester for lagring og prosessering av data har økt, og forventes å øke ytterligere i fremtiden. Leverandørmarkedet av skytjenester er konsentrert, og domineres av noen få internasjonale leverandører. Disse leverandørene har ofte lange verdikjeder som krysser flere landegrenser, og dermed er underlagt andre lands jurisdiksjoner. I tillegg har flere land innført regelverk som gir myndighetene mulighet til å få adgang til data fra virksomheter som er underlagt deres jurisdiksjon, og det er i dag ulike regelverk som legger begrensninger på hvordan ulike data kan behandles og hvor de kan lagres. Dette gjør at det i dag er vanskelig for virksomheter å ta i bruk skytjenester for beskyttelsesverdige data.
Vi støtter NSM sin vurdering om at dagens regelverk bør tydeliggjøres. Vår konklusjon er likevel at det per i dag ikke er tilstrekkelig informasjon til å ta et endelig konseptvalg, og at det bør gjennomføres enkelte supplerende analyser før endelig konseptvalg tas. Videre er vår vurdering at en lukket statlig skytjeneste vil koste vesentlig mer enn en skytjeneste levert av en ekstern leverandør, at det kan medføre mindre fleksible skytjenester, og vi er usikre på hvilke gevinster dette vil gi i form av bedre sikkerhet. Derfor mener vi det er nødvendig å kartlegge i mer detalj hvilken type data som skal inngå i skyløsningen, og at det bør gjennomføres en risiko- og sårbarhetsanalyse (ROS) som blant annet vurderer konsekvens av å lagre data i allmenn versus lukket sky, for å avdekke om deler av datavolumet kan lagres i en allmenn sky. I tillegg mener vi at det bør gjøres en nærmere vurdering av hvilken ressurskapasitet staten har til å drifte en nasjonal skytjeneste, og en ny vurdering av mulighetene for samarbeid mellom virksomheter.
KVU og KS1 kan leses her.