Folk som jobber med beredskap og krisehåndtering er opptatt av gode systemer der data lagres sikkert. I en verden der skybaserte tjenester er stadig mer utbredt, er det likevel ikke en selvfølge at det kun er din egen virksomhet som har tilgang til dine lagrede data. Dette avhenger av hvor maskinene til skylagringstjenesten befinner seg. Det er heller ingen selvfølge at dataene faktisk lagres i Norge.
Mister oversikt over data som fraktes ut av landet
I Norge stilles det klare krav til personopplysninger som sendes ut av landet. I Personopplysningsloven heter det at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene». I praksis betyr det at persondata kan overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge.
Tenk deg at ditt selskap bruker en tjeneste for beredskap og krisehåndtering som driftes i Norge. Tenk deg videre at denne leverandøren eies av et selskap som ikke er begrenset av EUs direktiver, eller bruker en skylagringstjeneste som ikke er bundet av disse.
I begge tilfellene kan det påvirke hvem som har tilgang på dine data, og hvordan din virksomhet overholder regler for personvern og GDPR. Det er viktig å ha oversikt over hvor data blir lagret, hvor data blir prosessert og hvor tjenester blir levert fra.
Underleverandører og tredjeparter kan ha innsynsrett i dine data. Lovgivningen i landet der skylagringstjenesten hører hjemme kan altså ha stor betydning for hvem som har tilgang på dine data.
Uheldig hvis data ender i feil land
Samtidig viser Politiets Sikkerhetstjeneste (PST) sin nasjonale trusselvurdering for 2022 at virksomheter knyttet til forsvar, beredskap, politikkutforming eller teknologi hvor Norge er langt fremme, vil være særlig
utsatt. I sin trusselvurdering for 2020 pekte de på at land som Kina, Russland og Iran er aktører som ønsker å vite mer om hvordan vi driver krisehåndtering i Norge. Hvis det viser seg at din skybaserte tjeneste ender opp med å ha denne type nasjonaliteter på eiersiden, kan det i verste fall få uheldige konsekvenser.
I ytterste konsekvens kan informasjon fra ditt beredskaps og krisehåndteringssystem bli brukt sammen med andre data, og bidra til at fremmede makter kan finne strukturer og svakheter i norsk måte å håndtere sikkerhet og beredskap på.
Denne type problemstillinger er det lett å overse. Selv om leverandøren du bruker i utgangspunktet er norsk, kan denne igjen ha sine leverandører som enten har eierstrukturer eller systemer i land som ikke har samme regelverket eller intensjoner som her i landet. Når data fraktes ut av landet, kan du ikke være sikker på hvor de ender. Hvis du vet at din tjenesteleverandør for beredskap og krisehåndtering lagrer data i Norge, er dette en risiko du ikke løper.
Bekymret over skytjenester som driftes i utlandet
Nasjonal sikkerhetsmyndighet (NSM) har tidligere vært bekymret over at norske virksomheter har gjort seg avhengige av skytjenester driftet i utlandet. I sin rapport fra 2020, som kartlegger det digitale risikobildet påpeker de blant annet at økt bruk av utenlandske skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene.
Det er viktig å påpeke at NSM er positive til at man bruker skytjenester dersom man gjør gode vurderinger på at informasjon blir lagret på en trygg og sikker måte, uten fare for lekkasjer. Derfor må du forsikre deg om at din leverandør av skytjenester tar datasikkerhet på alvor. Du kan ikke gå ut ifra at informasjon som omhandler sikkerhet og beredskap i din virksomhet ikke kan tilfalle og brukes av uvedkommende.
F24 Nordics sin tilnærming
F24 Nordics drifter CIM, vårt digitale system for sikkerhet og beredskap, fra sikre datasenter i Norge. Datasentre der vi både eier infrastrukturen og der sentrene er geografisk separerte. Våre datasentre er godkjent av norske myndigheter, og offentlige myndigheter etterser at sikkerhetskravene overholdes.
Vet du hvem som har tilgang til skyen der du lagrer dine data? Hvis du jobber med beredskap og sikkerhet bør du være opptatt av dette og stille spørsmålet til din leverandør av støttesystem for beredskap og krisehåndtering.
Jan Terje Sæterbø
Jan Terje er Prosjekt- og sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder, og har også en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet.
