UVT, Alm.del - 2010-11 (1. samling) - Endeligt svar på spørgsmål 238: MFU spm. om kommentar til anbefalingerne fra IT-sikkerhedsrådet vedr. anvendelsen af Cloud-løsninger i det offentlige, til videnskabsministeren

Svar på spørgsmål 238 (alm. del):I brev af 23. juni 2011 har udvalget efter ønske fra Per Clausen (EL) stillet migfølgende spørgsmål:Spørgsmål 238:”Ministeren bedes kommentere anbefalingerne fra IT-sikkerhedsrådet vedr. an-vendelsen af Cloud-løsninger i det offentlige, jf. UVT alm. del bilag 223.”Svar:Rådet for Større It-sikkerhed fremfører, at det offentlige ikke på nuværende tids-punkt bør benytte cloud computing. Dette skyldes efter rådets opfattelse, at cloudcomputing stadig er for umodent, når det kommer til sikkerheden og mulighedenfor at leve op til gældende lovgivning.Det er min klare holdning, at sikkerheden skal være i top, såvel når det gældercloud computing som ved traditionel brug af it. Jeg sætter pris på, at mange bi-drager til denne debat, fordi det er vigtigt at sikre, at sikkerheden er i orden fordet offentliges brug af cloud computing.Med hensyn til spørgsmålet om, hvorvidt cloud computing kan tilvejebringe denfornødne sikkerhed, har jeg rådført mig med IT- og Telestyrelsen, som oplyser, atder ud fra et teknisk synspunkt ikke umiddelbart er grund til at stille højere sik-kerhedsmæssige krav til cloudløsninger end til traditionelle løsninger, hvor mangemmer sine data på en server i kælderen eller hos en it-leverandør et andet sted.I mange tilfælde kan en professionel cloudleverandør faktisk levere et højere ni-veau af sikkerhed end en lokal it-afdeling.Rådet stiller bl.a. spørgsmålstegn ved, om man kan have kontrol over data udenat vide præcist, hvor data befinder sig.Til dette oplyser IT- og Telestyrelsen, at sikkerhed i et clouddatacenter primærtopnås ved logisk kontrol i tillæg til fysisk kontrol. Det vil sige, at sikkerhedenopnås ved, at man i systemerne indbygger en række kontrolinstanser og -procedurer for at varetage sikkerheden. Det er disse instanser, der har den primæ-re betydning for sikkerheden, frem for hvor data er placeret rent fysisk. En kundekan ved en risikovurdering vurdere, om disse kontroller og sikkerhedsprocedurer

lever op til det ønskede niveau af sikkerhed for en given løsning. Derudover kanen kunde føre kontrol med cloudleverandøren ved eksempelvis at søge dokumen-tation for, at der er implementeret effektive kontroller. Kunden kan også gen-nemgå den uafhængige it-revision, som leverandøren har fået foretaget. Såfremtrevisionen er udført efter en internationalt anerkendt standard for revision af it-systemer, som eksempelvis SAS70, må den af den dataansvarlige anses for at væ-re fyldestgørende, og der vil derved ikke være behov for, at kunden foretager sinegen revision. En uafhængig revision kan endvidere kombineres med andre kon-trolmekanismer så som inspektion af logdata, kontrol med autorisationer, kontrolmed sletteprocedurer og ved at indhente andre relevante oplysninger om iværk-satte kontroller.Jeg kan i øvrigt oplyse, at It-sikkerhedskomiteen har behandlet spørgsmålet omsikkerhed i cloud computing indgående og blandt andet udgivet to vejledningerom, hvordan denne sikkerhed opnås.Jeg kan på baggrund af IT- og Telestyrelsens og It-sikkerhedskomiteens fagligevurdering derfor ikke genkende billedet af, at sikkerheden ved cloud computingud fra en generel og teknisk betragtning skulle være en hindring for, at offentligemyndigheder kan komme i gang med at anvende cloud computing, ikke mindstset i lyset af at der for mange offentlige myndigheders vedkommende eksistererstore mængder af ikke-sensitive data, hvor man jo umiddelbart kan gå i gang medat skabe erfaringer med anvendelsen cloud computing.Rådet fremfører endvidere, at sagen, hvor Odense Kommune har fået et afslag afDatatilsynet til at benytte Google Apps, er et eksempel på, at det har vist sig van-skeligt at overholde gældende regler.Det er det min forståelse, at Datatilsynet i den omtalte sag med Odense Kommu-ne har udtalt, at tilsynet er indstillet på at vurdere sagen igen, hvis Odense Kom-mune svarer på en række spørgsmål, som Datatilsynet har stillet kommunen. Deter min forståelse, at kommunen netop nu arbejder på en fornyet anmeldelse påbaggrund af Datatilsynets udtalelser.I forhold til om det nuværende regelsæt gør det vanskeligere at anvende cloudcomputing er der nedsat en tværministeriel arbejdsgruppe, der skal stille forslagtil eventuelle tilpasninger af persondataloven og øvrige relevante love og regler,der unødigt vanskeliggør anvendelsen af cloudteknologier. Jeg forventer, at ar-bejdsgruppen afslutter sit arbejde i efteråret 2011.Endelig fremfører Rådet for Større It-sikkerhed, at der skal laves en afgrænsetcloudløsning for det offentlige, som er placeret i Danmark.Med en privat cloudløsning opnås ikke de samme fordele, som man kan ved atanvende en cloudløsning udbudt offentligt og på kommercielle vilkår. Forskellenpå en lukket løsning og en kommercielt udbudt løsning er, at den lukkede løs-ning, selv hvis den omfatter hele den offentlige sektor i Danmark, ikke giver desamme stordriftsfordele og fordele i relation til konkurrencebaseret prissætning.En lukket cloudløsning svarer i vidt omfang til traditionel outsourcing. Realistiskset vil vi nok i de kommende år se en række mellemformer mellem private og of-fentlige cloudløsninger.Ministeriet for VidenskabTeknologi og Udvikling