UVT, Alm.del - 2010-11 (1. samling) - Bilag 223: Pressemeddelelse fra IT-sikkerhedsrådet vedr. cloud-løsninger i det offentlige

Pressemeddelelse18. juni 2011IT-SIKKERHEDSRÅD: VENT MED OFFENTLIGE CLOUD-LØSNINGERCloud-løsninger giver store muligheder for effektiviseringer, men de er stadig ikke gode nok tildanske offentlige it-systemer, når det gælder it-sikkerhed og sikring af borgernes privatliv.Sådan siger Rådet for IT-Sikkerhed som kommentar til en række sager hvor blandt andet danskekommuner har forsøgt sig med øget brug af cloud-computing. Blandt de offentligt omtalte sager erOdense Kommunes projekt med at benytte Google Apps til registrering af følsommepersonoplysninger om skoleelever. Senest har der været lækage af følsomme personoplysningerfra det køreprøvebooking- system som kommunerne via Kommunernes Landsforening havde lagtud i Microsofts Azure cloud-løsning. Begge sager er blevet behandlet af Datatilsynet som har påtaltog bedt om yderligere dokumentation for en række forhold. Sagen vedrørende læk frakøreprøvebooking- systemet er endnu ikke afsluttet.Christian Wernberg-Tougaard, formand for Rådet for Større IT-Sikkerhed, siger: "Den nye cloud-teknologi giver mulighed for betydelige besparelser, også for det offentlige. Det springende punkter om cloud-løsninger både på kort og langt sigt er lige så sikre og stabile som det offentligesnuværende it-løsninger."Rådet for Større IT-Sikkerhed mener at cloud-ydelser til offentlige it-systemer skal opfylde alleeksisterende lovbestemmelser og de bedste gængse standarder for it-sikkerhed, og Rådetsvurdering er at teknologierne stadig ikke er modne nok. Rådet konstaterer at det i cloud-løsningertypisk ikke længere er muligt at fastslå præcist, hvor bestemte data er lagret fysisk, og at dettegiver en række nye udfordringer i forhold til både datasikkerhed og beskyttelse af data, specieltfortrolige og følsomme personoplysninger.Christian Wernberg Tougaard uddyber: "Tidligere har man kunnet inspicere en fysisk lokalitet, ogmåske endda nogle bestemte harddiske hvor nogle givne data blev opbevaret. Med cloud-computing begynder computerkraft og datalagring at ligne det vi kender fra el-produktion. Det kanvære svært at sige hvor den strøm, vi trækker ud af kontakten, er produceret - og noget lignendegælder i stigende grad for it-ydelser. Det giver en lang række nye udfordringer, specielt formyndigheder som jo skal tjene en hel befolknings interesser."Rådet for Større IT-Sikkerhed vurderer at datasikkerhed og databeskyttelse med den øgede brug afcloud-computing fremover i langt højere grad skal baseres på certificering og generellekvalitetsnormer. Derfor har den overordnede lovgivning stor betydning, og Rådet mener at dengældende EU- og danske lovgivning udgør et solidt fundament for fremtidens cloud-løsninger.Før regeringen giver grønt lys for nye cloud-løsninger i offentligt regi, mener Rådet for Større IT-Sikkerhed at blandt andet følgende centrale krav skal kunne opfyldes:

o Sikkerhedsforhold skal kunne verificeres via fysisk inspektion og certificering hos cloud-leverandørerne, og cloud-løsninger skal overholde alle gældende EU- og dansk lovgivning samt debedste gængse standarder for it-sikkerhed.o Der skal være løsninger i forhold til nødberedskab som opfylder præcist samme krav tildatasikkerhed og databeskyttelse, som gælder for drift af de almindelige it-systemer.o Der skal være klare aftaler som sikrer, at data forbliver i myndighedernes varetægt og inden forEU's grænser, også hvis en cloud-leverandør bliver opkøbt eller lukker ned. En del af Rådetsmedlemmer mener, at eneste farbare vej er, at det offentlige laver sine egne afgrænsede cloud-løsninger lokaliseret i Danmark, og på den måde har det direkte ejerskab og ansvar for både fysiskinfrastruktur, stabilitet, it-sikkerhed og beskyttelse af privatlivsoplysninger.o Kritiske it-tjenester og infrastruktur for forsvar, politi og CPR bør ligge fuldstændig under statenskontrol. Data der er vitale for statens sikkerhed skal kunne verificeres via fysisk inspektion ogcertificering inden for Danmarks grænser og må ikke komme uden for Danmarks grænser.Rådet støtter som udgangspunkt de intentioner, der er meldt ud fra både opposition og regeringom øget brug af cloud-computing i offentligt regi, men først når de nævnte krav er opfyldt. Rådetser ingen problemer i, at det offentlige arbejder med konkrete målsætninger i forhold tiludbredelse og effektiviseringsgevinster, forudsat at Datatilsynet og andre relevante myndighederfår de fornødne ressourcer til at sikre kvalitet, stabilitet og sikkerhed i nye cloud-løsninger.Endvidere mener Rådet at det offentliges brug af cloud-computing skal kædes sammen med at alledatabrud fremover bliver offentlig- gjort. Rådet opfordrede allerede i 2009 daværendevidenskabs- minister Helge Sander til at indføre krav om offentliggørelse af databrud hos bådemyndigheder og private, og påpegede at det vil være det initiativ, som med mindst mulig indsatsvil have størst mulig effekt i forhold til at højne it-sikkerhed og beskyttelse af følsommepersondata."Når it-løsningerne bliver mere komplekse, er der brug for mere transparens omkring deproblemer, der faktisk opstår. Kun på den måde kan vi sikre, at borgerne fortsat har tillid til deoffentlige it-systemer," siger Christian Wernberg-Tougaard.---OM RÅDET FOR STØRRE IT-SIKKERHEDRådet for Større IT-sikkerhed består af repræsentanter for private og offentlige organisationersamt forskere. Rådet er uafhængigt af såvel politiske, erhvervsmæssige og fagorganisatoriskeinteresser. Rådets opgave er helhedsorienteret at vurdere mulig- heder og trusler i det digitaleservicesamfund, og at være med til at skabe sikre rammer for udvikling af en digital kultur. Rådetsarbejdsfelt omfatter blandt andet sikkerhed i forhold til teknik og infrastruktur, sårbarheder i denoffentlige it-infrastruktur og adfærdsmæssige problemstillinger i forhold til internettet.