Bruk av skytjenester i Forsvaret - muligheter og utfordringer

Abstract

I løpet av de siste 10 til 15 årene har skytjenester fått stor utbredelse, og svært mange organisasjoner har allerede tatt i bruk slike tjenester eller vurderer å gjøre det. Selve begrepet skytjeneste har også blitt godt etablert i samfunnet, og de fleste vil antakelig vil forbinde det med funksjoner eller tjenester som er tilgjengelige over Internett. Imidlertid er det mange ulike oppfatninger av hva skytjenester faktisk innebærer, teknologisk og forretningsmessig. Denne rapporten har to formål. For det første ønsker vi å gi en innføring i teknologien bak skytjenester, og forklare hva skytjenester er. For det andre ser vi på hvordan Forsvaret skiller seg fra sivile organisasjoner når det gjelder bruk av IKT, og vi drøfter faktorer som må tas i betraktning ved innføring av skytjenester. For det andre formålet har vi konsentrert oss om den operative delen av Forsvarets IKT-bruk, da det primært er her de skiller seg fra sivil IKT-bruk. For å sikre at vi dekker flest mulige relevante egenskaper ved Forsvaret har vi tatt utgangspunkt i et eksisterende rammeverk utviklet i Forsvaret for bruk i forbindelse med IKT-investeringer. Rammeverket består av et sett med syv såkalte løsningsegenskaper, som vi har sammenholdt med egenskapene som karakteriserer skytjenester. Vi fant at de store leverandørene av skytjenester håndterer sikkerhet på en god måte, men skytjenester for gradert informasjon er en stor utfordring. Mye er fortsatt uavklart rundt hvordan sikkerhetsgraderte skybaserte informasjonssystemer skal kunne sikkerhetsgodkjennes. I den grad slik godkjenning blir mulig vil sikkerhetskravene sannsynligvis innebære at en del av stordriftsfordelene ved skytjenester går tapt. I tillegg kan nye muligheter for maskinbasert dataanalyse av store datamengder bidra til at informasjon som i utgangspunktet ikke er skjermingsverdig likevel blir det, eksempelvis dersom mye slik informasjon samles i en skytjeneste. Videre kan en rekke faktorer bidra til å redusere tilgjengeligheten av skytjenester, eksempelvis uklare ansvarsforhold mellom leverandører, endrede politiske forhold i leverandørers hjemland og vilje og evne hos sivilt driftspersonell til å opprettholde tjenestekvaliteten i en krise- eller krigssituasjon. Det er også viktig, så langt som mulig, å unngå leverandørlåsing, slik at det er mulig å flytte tjenestene til en annen leverandør om behovet skulle oppstå. Ved å utnytte distribusjon og redundans har skytjenester potensial til å sørge for robust IKTunderstøttelse av Forsvarets operative oppgaver, også på taktisk nivå. Imidlertid vil dette sannsynligvis innebære høyere kostnader enn man vanligvis ser for skytjenester. Dersom Forsvaret ønsker å benytte skytjenester operativt, og spesielt kampnært, anbefaler vi at det først gjøres en grundig evaluering av hva som er mulig og realistisk å få til innenfor tekniske, juridiske, økonomiske og sikkerhetsmessige rammer.

During the last 10 to 15 years, the use of cloud services has increased considerably, and a large number of organizations have switched to such services, or is considering doing so. The term ‘cloud service’ itself has also become well established, and most people probably associate it with functions or services available over Internet. However, there are many different opinions on what cloud services really are, in terms of both technology and business. This report has two purposes. In part, we want to give an introduction to cloud services in general, and explain what they are and involve. In addition, we look at how the Norwegian Armed Forces differs from civilian organizations with respect to using cloud services, and we discuss factors to consider when introducing such services. For the latter, we have focused on the operative side of military ICT, since this is where we find the biggest differences from civilian use of ICT. To ensure that we cover sufficiently many characteristics of the Norwegian Armed Forces, we have used an existing framework, consisting of seven solution properties: information system security, availability, functionality, robustness, sustainability, interoperability, and flexibility. We have then compared this framework with the properties that characterize cloud services. We found that the major suppliers of cloud services are very good at handling security, but much is still unclear when it comes to approval of cloud services for classified information. To the extent that such approval will be possible, some of the economies of scale-benefits of cloud services will probably be lost. In addition, factors such as new possibilities for big data analysis may require care risk analysis, even when storing unclassified information in the cloud. A number of factors may negatively affect the availability of cloud services, such as unclear sharing of responsibilities between providers, changed political conditions in the provider’s home country, and will and ability of civilian operating personnel to maintain the quality of service in a crisis or war situation. Therefore, it is important to avoid vendor lock-in as far as possible, so that the possibility of switching provider of cloud services remains open. Using cloud services for operative tasks is possible, but as we show in this report, there are several factor to take into consideration. However, through effective use of distribution and redundancy, cloud services can be made very robust, but probably at a higher cost than is normally seen for cloud services. If the Norwegian Armed Forces wishes to use cloud services for operative tasks, and in particular, close to combat, we recommend to first perform a thorough evaluation on what is realistically possible within the constraints of technology, economy and security.