Høringssvar til IT-driftsutredningen

Fredric Wallsten

CEO, Safespring

Safespring sammen med bransjekollegene Binero og City Networks takker for muligheten til å komme med våre synspunkter. Utredningen har gjort et meget omfattende og ambisiøst arbeid, og vi deler flere av de konklusjonene og anbefalingene dere har kommet frem til. Siden utredningen ble publisert, har den geopolitiske situasjonen endret seg vesentlig. Det endrer ikke noe i sak for utredningen, men understreker ytterligere viktigheten av suverene, sikre og robuste IT-tjenester.

Det finnes IT-system som staten absolutt egner seg best til å drive. Vårt svar adresserer ikke disse spesialsystemene i første omgang, men myndighetenes behov for innovative, standardiserte IT-system og -tjenester for å fortsette å digitalisere og utvikle virksomheten. Våre overordnede synspunkter kan oppsummeres som følger:

• DET MANGLER MARKEDSLOGIKK i finansieringsløsningen som foreslås av utredningen. Selv om fire myndigheter utpekes til «tjenesteleverandører», er det en overhengende risiko for at deres oppdrag som IT-driftsansvarlige blandes sammen med myndighetenes øvrige oppdrag. I en skarp situasjon vil sannsynligvis kjernevirksomheten bli prioritert foran rollen som tjenesteleverandør.
• VALG AV ÅPNE INFRASTRUKTURER og åpne standarder for å motvirke innlåsingseffekter er allerede utredet (SOU 2007:47). Det fremgår ikke av utredningen om dere har ivaretatt denne informasjonen.
• IT-DRIFT HOS MYNDIGHETER ER LIKE MYE NÆRINGSPOLITIKK som myndighetspolitikk. Vi etterlyser bærekraftige løsninger som støtter markedet.
• VI ETTERLYSER VERTIKAL SEGMENTERING AV MARKEDET som lar kommersielle aktører ta hånd om «kjernevirksomhet» på hvert markedsnivå, i kombinasjon med tydelige direktiver til myndigheter som Kammarkollegiet, Upphandlingsmyndigheten og Konkurrensverket om å motvirke innlåsing i hvert markedsledd.
• DEN KOORDINERENDE MYNDIGHETEN bør fungere som et sentralt knutepunkt for råd om informasjonsklassifisering, informasjonskartlegging, databeskyttelsesklausuler, maler for hendelsesrapportering og lignende. I dag er det særlig regelverket rundt faktiske data som er spredt ut på mange nivåer (nasjonalt, europeisk, personlig, statlig, sivilt, forsvar, og så videre). Vi utdyper disse tankene nedenfor.

Innledningsvis illustrerer vi vår overordnede forståelse av utredningens forslag. Deretter følger et avsnitt om markedslogikken vi opererer innenfor som leverandører av nettopp driftstjenester for IT-system. Avslutningsvis gir vi et antall internasjonale eksempler på cybersikkerhetskoordinering (Storbritannia og Nederland) som vi tror kan bidra til regjeringens videre arbeid på området.

Kilde: Illustrasjonen ovenfor er vår tolkning av bilder fra utredningens figur 5.1 og 11.1.

Markedsmodellen

Slik vi forstår utredningens forslag, skal fire sentralt plasserte myndigheter – Skatteverket, Trafikverket, Försäkringskassan og Lantmäteriet – bli IT-driftsansvarlige for andre myndigheter. Disse fire myndighetene skal kunne ta betalt for IT-drift fra andre myndigheter, og forventes med hjelp fra DIGG å samordne med og implementere råd fra en rekke tilgrensende myndigheter som har ansvar for informasjon- og kvalitetskontroll (markert 1–5 i figuren).

DIGG skal deretter også samordne med tredjepartsaktører som, oppå de fire IT-driftsmyndighetenes infrastruktur, kan bygge tjenester rettet mot hver enkelt kundemyndighet. I tillegg skal DIGG samordne råd og koordinering fra det store antallet myndigheter som i dag har tilsynsansvar for ulike aspekter av regelverk for informasjon og kvalitetsgranskning.

Problematikk og risiko

Ut fra våre erfaringer med IT-drift er dette et lite ambisiøst forslag som risikerer å gi kundemyndighetene utilstrekkelige eller mangelfulle muligheter både til effektiv IT-drift og til spesialiserte tredjepartstjenester. En av grunnene til at mange myndigheter de senere årene har ønsket å satse på skytjenester, er at en rendyrking av driftsoppdraget er det som skaper best forutsetninger for pålitelige, stabile og sikre systemer. At noen av løsningene som er utforsket for å oppnå disse fordelene har hatt andre ulemper, for eksempel interoperabilitetsproblemer, innlåsingseffekter og uklarhet rundt rettslige faktorer, skal ikke ses som grunn til å avfeie private tjenesteleverandører, men som en indikasjon på at de tjenesteleverandørene myndighetene tidligere i første rekke har vendt seg til, ikke leverer de tjenester myndighetene trenger.

Å spre ansvaret for sentralisert IT-drift på fire myndigheter kan være utfordrende: fire ulike IT-driftssystemer skal innlemmes i fire forskjellige administrative myndighetskulturer, og som hvert år må gis oppmerksomhet i fire ulike oppdrag som utstedes av (muligens) fire forskjellige departementer. Vi savner også en gjennomgang av de praktiske forutsetningene for «samordning»: DIGG vil ikke kunne styre tilsynsmyndighetenes oppdrag og virksomhet, så hvordan skal DIGG kunne skape riktige forutsetninger for samordning og sammenheng?

Ta lærdom fra før

Vi mener det er viktig at regjeringen våger å vise lederskap i sine ambisjoner for en svensk IT-infrastruktur. I dette tilfellet kan det innebære at regjeringen bør avvike fra sterke viljer i sentralt plasserte myndigheter som forsvarer sitt eget IT-driftsterritorium. På 1990-tallet lyktes Sverige i å bli et fremstående IT-land som følge av en rekke strategiske beslutninger om infrastruktur. For det første gjorde regjeringen det enkelt for ansatte å få datamaskiner hjemme, og for det andre ble det skapt insentiver for investeringer i nettverk. I kombinasjon med europeiske regelverk for liberalisering av telekommarkedet kunne Sverige raskt bygge opp en bred base av kompetanse innen nettverksteknologi, IT-sikkerhet og webhosting som vi, i egenskap av privat skyleverandør, nyter godt av den dag i dag.

Mange av satsingene som ble gjort på 1980- og 90-tallet skapte rom for private tjenesteleverandører til å ta plass i nye markeder, og fordi sluttbrukerne også var på nett, kunne markedene raskt vokse. Digitaliseringen av daværende Televerkets svitsjer hjalp for eksempel Ericsson til å bli en av de dominerende mobilnettleverandørene, en posisjon de fortsatt har i dag. I dag har svensk skyindustri lignende muligheter, men selskaper blir som regel ikke sterke hvis de ikke har et sterkt hjemmemarked. Vi mener bestemt at den svenske regjeringen, når den først skal reformere de nåværende formene for IT-drift blant statlige myndigheter, bør ta slike industripolitiske aspekter i betraktning. Da bør regjeringen åpne for privat konkurranse om nettopp drift av basisinfrastruktur, og får på kjøpet tjenesteleverandører som ikke har målkonflikter.

Heller ikke i databehandlingens barndom forventet staten å bygge og drifte samtlige IT-systemer selv (se f.eks. SOU 1973:6). Snarere forsto regjeringen at de statlige forvaltningene ville være avhengige av private tjenesteleverandører og skapte et sett nye regler for disse omstendighetene (SOU 1972:47 m.fl.). Ved planlegging av infrastruktur bør regjeringen også ta i betraktning humankapital: For å ligge i front på kompetanse innen driftssikkerhet og IT-systemer, trenger en vanlig IT-arbeider ofte å kunne tilegne seg variert erfaring i løpet av et yrkesliv. Da passer private ansettelsesformer bedre enn jobber i forvaltningen. En gjennomgang av dagens innkjøp av konsulenttjenester hos myndighetene i utredningen kunne ha gitt regjeringen bedre innsikt i hvordan kunnskapsoverføring mellom offentlig og privat skjer i dag.

Synspunkter å ta i betraktning

Vi foreslår at utredningen tar med følgende synspunkter i betraktning:

• Vi ønsker et fortsatt fokus på åpne standarder (SOU 2007:47), samt åpne API-er, som oppdateres for ny teknologi. Private tjenesteleverandører er ikke i seg selv et problem; det er først når innlåsingseffekter oppstår at myndighetene får problemer.
• Med vertikal segmentering av markedet for IT-tjenester for myndigheter mener vi i prinsippet et syn på selve markedsstrukturen som tilsvarer de hvite boksene kalt «Potensielle IT-driftstjenester» i figuren på s. 3. Hver av de hvite boksene bør ses som et eget tjenestemarked (noe som innebærer at det også finnes naturlige horisontale segmenteringer). På disse markedene kan myndighetene anskaffe tjenester fra en privat leverandør eller fra myndigheten selv. Det viktige er hvordan man garanterer interoperabilitet mellom de ulike markedene og leverandørene, samt skaper konkurranse innenfor rammen av hver boks.
• Det mangler et samhandlingsforum med privat sektor.
• Vi støtter at Kammarkollegiet får oppgaven med å anskaffe rammeavtaler. Det er viktig at samordningen ivaretar den ovennevnte vertikale segmenteringen. Rammeavtale(ne) kunne sees som en tjenestekatalog eller markedsplass

På sikt kan imidlertid regjeringen måtte vurdere om man vil gjøre mer overgripende endringer i hvordan databaserte forretningsmodeller brukes i myndigheter (sammenlign diskusjonen om åpne myndighetsdata, SOU 2020:55), og om endringer av disse forretningsmodellene også kan bidra til en sikrere og mer effektiv IT-drift.

Samordning av tilsyn

Vi ser et større potensial i å samordne tilsynsorgan for informasjonslovgivning ut fra kundemyndighetenes perspektiv enn i å samordne tjenestekataloger fra tjenesteleverandørmyndigheter med tilsynsmyndigheter. Ettersom den svenske sikkerhetsbeskyttelseslovgivningen er skrevet slik at hver virksomhet selv må vurdere om den har samfunnsviktig eller sikkerhetsfølsom informasjon, og derfor også vurdere hvilke IT-grensesnitt som kan være passende gitt sin egen vurdering, vil det likevel være vanskelig å samordne mer enn de generelle retningslinjene som eksisterende tilsynsorgan produserer.

Det kan omfatte retningslinjer for hendelsesrapporter, veiledninger for styringssystemer, rutiner for informasjonssikkerhet og lignende, som ofte kommer fra flere myndigheter samtidig og fra ulike perspektiver. En slik samordning kan også gi tredjepartsleverandører som ønsker å levere spesialiserte tjenester til kundemyndigheter en naturlig portal for å avstemme de ulike kravene som stilles i svensk og europeisk lovgivning. Internasjonalt: Cybersikkerhetssenter I dag er ansvaret for svensk cybersikkerhet spredt på flere myndigheter. De samordningsformene man tidligere har arbeidet med for å skape enighet mellom disse institusjonene, har ikke ført til åpenbart positive resultater. Vi mener at regjeringen i stedet for ytterligere samordning i det abstrakte bør sette konkrete mål.

DIGG kan få i oppdrag å samle eksisterende retningslinjer. Men et svensk nasjonalt cybersikkerhetssenter etter britisk modell kan også hjelpe myndigheter og privat sektor til å få et bedre grep om sikkerhetsspørsmålene.

Storbritannia

NCSC er den offentlige grenen av GCHQ (Storbritannias motstykke til FRA) og samler myndigheter, private selskaper og etterretnings- samt sikkerhetstjenester i én statlig organisasjon. NCSC har en egen «GD» og egen finansiering (ca. 5 milliarder SEK/år ifølge en presentasjon på Cyberforsvarsdagen 2020.

I Storbritannia leder bokstavelig talt NCSC landets proaktive cyberforsvar gjennom vellykkede og godt finansierte initiativer. Videre burde man la seg inspirere av NCSCs vellykkede samarbeid med akademia og forskningen, der særlig CyBOK bør fremheves. I tillegg har NCSC et tett samarbeid med både privat næringsliv og universitetene, med mål om å sikre nåværende og fremtidige jobber i Storbritannia.

Nederland

I Nederland ble grunnlaget for det nasjonale cybersikkerhetsrådet lagt allerede i 2011. For det første ble det satt tydelige mål på regjeringsnivå for hva cybersikkerhetsarbeidet skulle føre til:

• «Arbeid som omfatter både private og offentlige aktører»,
• «Gjennomføring av risiko- og sårbarhetsanalyser»,
• «Bedre motstandskraft mot driftsforstyrrelser»,
• «Bedre responsevne ved driftsforstyrrelser»,
• «Bedre oppfølging av IT-kriminalitet»,
• «Stimulering av forskning og utdanning»,

For det andre ble det gitt tydelige mandater til tidligere GOVCERT om å delta i utviklingen av gjennomførende tiltak. Resultatet er at cybersikkerhetsrådet nå er et samlingssted for ulike aktører som både respekterer hverandre og respekterer forumet der de samhandler. Det politiske nivået har lykkes med å skape en plattform der aktørene møtes, i stedet for å konkurrere.

Kilde: Den nasjonale cybersikkerhetsstrategien (NCSS)

Undertegnet

For Safespring, Binero og City Networks

Fredric Wallsten , adm. dir. Safespring
Charlotte Darth , adm. dir. Binero
Johan Cristiansen , City Networks

Rådgiver: Amelia Andersdotter

Lenker

Samtlige høringssvar

Sluttrapport fra IT-driftsutredningen