Høringssvar til it-drift-udredningen

Fredric Wallsten

CEO, Safespring

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

Engelsk Svensk (original) Giv feedback

Siden udredningen blev offentliggjort, har den geopolitiske situation ændret sig væsentligt. Det ændrer ikke noget i substansen for udredningen, men understreger yderligere vigtigheden af suveræne, sikre og robuste IT-tjenester.

Safespring sammen med branchekollegerne Binero og City Networks takker for muligheden for at bidrage med vores synspunkter. Udredningen har udført et meget omfattende og ambitiøst arbejde, og vi deler flere af de konklusioner og anbefalinger, I er nået frem til. Siden udredningen blev offentliggjort, har den geopolitiske situation ændret sig væsentligt. Det ændrer ikke noget i substansen for udredningen, men fremhæver yderligere vigtigheden af suveræne, sikre og robuste IT-tjenester.

Der findes IT-systemer, som staten helt klart er bedst egnet til selv at drive. Vores svar adresserer ikke disse specialsystemer i første omgang, men derimod myndighedernes behov for innovative, standardiserede IT-systemer og -tjenester for at fortsætte digitaliseringen og udviklingen af deres aktiviteter. Vores overordnede synspunkter kan sammenfattes som følger:

DER MANGLER MARKEDSLOGIK i den finansieringsløsning, som foreslås af udredningen. Selv om fire myndigheder udpeges som ”tjenesteleverandører”, er der en overhængende risiko for, at myndighedernes opgave som IT-driftsansvarlige sammenblandes med myndighedernes øvrige opgaver. I en skarp situation vil kerneopgaven sandsynligvis blive prioriteret over rollen som tjenesteleverandør.
VALG AF ÅBNE INFRASTRUKTURER og åbne standarder for at modvirke indlåsningseffekter er allerede udredt (SOU 2007:47). Det fremgår ikke af udredningen, om I har taget højde for den information.
IT-DRIFT HOS MYNDIGHEDER ER LIGE SÅ MEGET ERHVERVSPOLITIK som myndighedspolitik. Vi efterlyser bæredygtige løsninger, der understøtter markedet.
VI EFTERLYSER VERTIKAL SEGMENTERING AF MARKEDET som lader kommercielle aktører tage sig af ”kerneopgaver” på hvert markedsniveau, kombineret med klare direktiver til myndigheder som Kammarkollegiet, Upphandlingsmyndigheten og Konkurrensverket om at modvirke indlåsning i hvert markedsled.
DEN KOORDINERENDE MYNDIGHED bør fungere som et centralt samlingspunkt for råd om informationsklassificering, informationskortlægning, databeskyttelsesklausuler, skabeloner til hændelsesrapportering og lignende. I øjeblikket er det især regelværket omkring faktiske data, som er spredt ud på mange niveauer (nationalt, europæisk, personligt, statsligt, civilt, forsvar osv.). Vi uddyber disse tanker nedenfor.

Indledningsvis illustrerer vi vores overordnede forståelse af udredningens forslag. Derefter følger et afsnit om den markedslogik, vi opererer inden for som leverandører af netop driftstjenester for IT-systemer. Afslutningsvis giver vi en række internationale eksempler på cybersikkerhedskoordinering (Storbritannien og Nederlandene), som vi mener kan bidrage til regeringens videre arbejde på området.

Høringssvar på IT-driftsudredningen

Kilde: Ovenstående illustration er vores tolkning af billeder fra udredningens figur 5.1 samt 11.1.

Markedsmodellen

Som vi forstår udredningens forslag, skal fire centralt placerede myndigheder, Skatteverket, Trafikverket, Försäkringskassan og Lantmäteriet, være IT-driftsansvarlige for andre myndigheder. Disse fire myndigheder skal kunne tage betaling for IT-drift fra andre myndigheder og forventes med hjælp fra DIGG at koordinere med og implementere råd fra en række omkringliggende myndigheder med ansvar for informations- og kvalitetskontrol (markeret 1–5 i figuren).

DIGG skal desuden koordinere med tredjeparter, som oven på de fire IT-driftsmyndigheders infrastruktur kan bygge tjenester, der retter sig mod hver enkelt kundemyndighed. Derudover også koordinere råd og koordination fra det store antal myndigheder, der i dag har tilsynsansvar for forskellige aspekter af regler for information og kvalitetskontrol.

Problemer og risici

Ud fra vores erfaringer med IT-drift er dette et uambitiøst forslag, der risikerer at give kundemyndighederne utilstrækkelige eller mangelfulde muligheder både for effektiv IT-drift og for specialiserede tredjepartstjenester. En af grundene til, at mange myndigheder i de senere år har ønsket at satse på skytjenester, er, at en rendyrkning af driftsopgaven skaber de bedste forudsætninger for pålidelige, stabile og sikre systemer. At nogle af de løsninger, der er blevet udforsket for at opnå disse fordele, har haft andre ulemper, f.eks. interoperabilitetsproblemer, indlåsningseffekter og uklarhed om retlige forhold, bør ikke ses som en grund til at afvise private tjenesteleverandører, men som en indikation på, at de tjenesteleverandører, myndighederne tidligere primært har henvendt sig til, ikke leverer de tjenester, myndighederne har brug for.

At sprede ansvaret for centraliseret IT-drift på fire myndigheder kan være udfordrende: fire forskellige IT-driftssystemer skal indpasses i fire forskellige administrative myndighedskulturer, og som hvert år skal tildeles opmærksomhed i fire forskellige myndighedsopdrag, der udstedes af (muligvis) fire forskellige ministerier. Vi savner også en gennemlysning af de praktiske forudsætninger for ”koordination”: DIGG vil ikke kunne styre tilsynsmyndighedernes opgaver og virksomhed, så hvordan skal DIGG kunne skabe de rette forudsætninger for koordination og sammenhæng?

Lær af fortiden

Vi mener, det er vigtigt, at regeringen tør udvise lederskab i sine ambitioner for en svensk IT-infrastruktur. I dette tilfælde kan det indebære, at regeringen bør gå imod stærke viljer hos centralt placerede myndigheder, der forsvarer deres eget IT-driftsterritorium. I 1990’erne lykkedes det Sverige at blive et fremtrædende IT-land som følge af en række strategiske beslutninger om infrastruktur. Dels gjorde regeringen det let for ansatte at få computere derhjemme, dels blev der skabt incitamenter til investeringer i netværk. I kombination med europæiske regelsæt for liberalisering af telemarkedet kunne Sverige hurtigt opbygge en bred base af kompetence inden for netværksteknologi, IT-sikkerhed og webhosting, som vi i egenskab af privat skyleverandør fortsat nyder godt af i dag.

Mange af de satsninger, der blev gjort i 1980’erne og 90’erne, skabte plads til private tjenesteleverandører på nye markeder, og fordi slutbrugerne også var online, kunne markederne hurtigt vokse. Digitaliseringen af det daværende Televerkets omstillingsanlæg hjalp eksempelvis Ericsson med at blive en af de dominerende mobilnetleverandører, en position de stadig har i dag. I dag har den svenske cloudindustri lignende muligheder, men virksomheder bliver som regel ikke stærke, hvis de ikke har et stærkt hjemmemarked. Vi mener bestemt, at den svenske regering, når den alligevel vil reformere de nuværende former for IT-drift blandt statslige myndigheder, bør tage sådanne erhvervspolitiske aspekter i betragtning. Regeringen bør derfor åbne for privat konkurrence netop om basisinfrastrukturdrift og får i købet tjenesteleverandører, der ikke har målkonflikter.

Heller ikke i databehandlingens barndom forventede staten at bygge og drive samtlige IT-systemer selv (se f.eks. SOU 1973:6). Snarere forstod regeringen, at de statlige forvaltninger ville være afhængige af private tjenesteleverandører, og skabte en række nye regler for disse omstændigheder (SOU 1972:47 m.fl.). Ved planlægning af infrastruktur bør regeringen også tage humankapital i betragtning: For at ligge i front med kompetencer inden for driftssikkerhed og IT-systemer har en almindelig IT-medarbejder ofte brug for at kunne tilegne sig varierende erfaringer gennem et arbejdsliv. Da passer private ansættelsesformer bedre end myndighedsjob. En gennemlysning af de nuværende køb af konsulenttjenester hos myndighederne i udredningen kunne have givet regeringen bedre indsigt i, hvordan videnoverførsel mellem det offentlige og private sker i dag.

Synspunkter at tage i betragtning

Vi foreslår, at udredningen tager følgende synspunkter i betragtning:

Vi ønsker fortsat fokus på åbne standarder (SOU 2007:47) samt åbne API’er, som opdateres til ny teknologi. Private tjenesteleverandører er ikke i sig selv et problem; først når indlåsningseffekter opstår, får myndighederne problemer.
Med vertikal segmentering af markedet for IT-tjenester til myndigheder mener vi i princippet et syn på selve markedsstrukturen, der svarer til de hvide bokse benævnt ”Potentielle IT-driftstjenester” i figuren på s. 3. Hver af de hvide bokse bør ses som et selvstændigt tjenestemarked (hvilket indebærer, at der også findes naturlige horisontale segmenteringer). På disse markeder kan myndighederne indkøbe tjenester fra en privat leverandør eller fra myndigheden selv. Det vigtige er, hvordan man garanterer interoperabilitet mellem de forskellige markeder og leverandører samt skaber konkurrence inden for rammerne af hver boks.
Der mangler et samarbejdsforum med den private sektor.
Vi støtter, at Kammarkollegiet får til opgave at indkøbe rammeaftaler. Det er vigtigt, at koordineringen tager højde for ovennævnte vertikale segmentering. Rammeaftale(rne) kunne ses som en tjenestekatalog eller markedsplads

På længere sigt kan regeringen dog have behov for at overveje, om man ønsker at foretage mere overordnede ændringer i, hvordan databaserede forretningsmodeller anvendes hos myndighederne (sammenlign diskussionen om åbne myndighedsdata, SOU 2020:55), og om ændringer af disse forretningsmodeller også kan bidrage til en mere sikker og effektiv IT-drift.

Koordinering af tilsyn

Vi ser et større potentiale i at koordinere tilsynsorganer for informationslovgivning ud fra kundemyndighedernes perspektiv end i at koordinere tjenestekataloger fra tjenesteleverandørmyndigheder med tilsynsmyndigheder. Eftersom den svenske sikkerhedsbeskyttelseslovgivning er udformet sådan, at hver enkelt virksomhed selv skal vurdere, om den har samfundsvigtig eller sikkerhedsfølsom information, og derfor også vurdere, hvilke IT-grænseflader der kan være passende givet den egen vurdering, vil det dog være svært at koordinere mere end de generelle retningslinjer, som de eksisterende tilsynsorganer udarbejder.

Det kan omfatte retningslinjer for hændelsesrapporter, vejledninger for styringssystemer, informationssikkerhedsrutiner og lignende, som ofte kommer fra flere myndigheder samtidigt og fra forskellige perspektiver. En sådan koordinering kan også give tredjepartsleverandører, der ønsker at levere specialiserede tjenester til kundemyndigheder, en naturlig portal til at afstemme de forskellige krav, der stilles i svensk og europæisk lovgivning. Internationalt: Cybersikkerhedscenter I dag er ansvaret for svensk cybersikkerhed spredt på flere myndigheder. De koordineringsformer, man tidligere har arbejdet med for at skabe konsensus mellem disse institutioner, har ikke ført til åbenlyst positive resultater. Vi mener, at regeringen i stedet for yderligere koordinering i det abstrakte bør sætte konkrete mål.

DIGG kan få til opgave at samle eksisterende retningslinjer. Men et svensk nationalt cybersikkerhedscenter efter britisk forbillede kan også hjælpe myndighederne og den private sektor med at få et bedre greb om sikkerhedsspørgsmålene.

Storbritannien

NCSC er den offentlige gren af GCHQ (Storbritanniens pendant til FRA) og samler myndigheder, private virksomheder samt efterretnings- og sikkerhedstjenester i én statslig organisation. NCSC har en egen ”GD” og egen finansiering (ca. 5 mia. SEK/år ifølge en præsentation på Cyberforsvarsdag 2020.

I Storbritannien leder NCSC bogstaveligt talt landets proaktive cyberforsvar gennem succesfulde og velbevilligede initiativer. Desuden bør man lade sig inspirere af NCSC’s succesfulde samarbejde med akademia og forskningen, hvor især CyBOK bør fremhæves. Derudover samarbejder NCSC tæt med både det private erhvervsliv og universiteterne med henblik på at sikre nuværende og fremtidige jobs i Storbritannien.

Nederlandene

I Nederlandene blev grundlaget for det nationale cybersikkerhedsråd lagt allerede i 2011. Dels blev der opstillet tydelige mål på regeringsniveau for, hvad cybersikkerhedsarbejdet skulle føre til:

“Arbejde, der omfatter både private og offentlige aktører”,
“Gennemførelse af risiko- og sårbarhedsanalyser”,
“Bedre modstandskraft mod driftsforstyrrelser”,
“Bedre responskapacitet ved driftsforstyrrelser”,
“Bedre opfølgning på IT-kriminalitet”,
“Fremme af forskning og uddannelse”,

Desuden blev der givet et klart mandat til det tidligere GOVCERT om at deltage i udviklingen af implementerende foranstaltninger. Resultatet er blevet, at cybersikkerhedsrådet nu er et samlingssted for forskellige aktører, som dels respekterer hinanden, dels respekterer det forum, hvor de samarbejder. Det politiske niveau har formået at skabe en platform, hvor aktørerne mødes i stedet for at konkurrere.

Kilde: Den Nationale Cyber Security Strategi (NCSS)

Underskrevet

For Safespring, Binero og City Networks

Fredric Wallsten , adm. direktør Safespring
Charlotte Darth , adm. direktør Binero
Johan Cristiansen , City Networks

Rådgiver: Amelia Andersdotter