Selvom cloud computing kunne give store besparelser i det offentlige, er det en dårlig ide at give grønt lys for statslig it i skyen, skriver Rådet for Større IT-Sikkerhed i en erklæring.
"Tidligere har man kunnet inspicere en fysisk lokalitet, og måske endda nogle bestemte harddiske hvor nogle givne data blev opbevaret. Med cloud-computing begynder computerkraft og datalagring at ligne det vi kender fra el-produktion. Det kan være svært at sige hvor den strøm, vi trækker ud af kontakten, er produceret – og noget lignende gælder i stigende grad for it-ydelser. Det giver en lang række nye
udfordringer, specielt for myndigheder som jo skal tjene en hel befolknings interesser," siger formanden for rådet Christian Wernberg Tougaard.
Rådet tager udgangspunkt i to nylige sager, hvor personfølsomme oplysninger ikke har været håndteret godt nok i cloud-løsninger fra det offentlige. Det gælder Odense Kommunes projekt med Google Apps til registrering af følsomme personoplysninger om skoleelever, og senest en sag om lækage af følsomme personoplysninger fra det køreprøvebooking-system som kommunerne via Kommunernes Landsforening havde lagt ud i Microsofts Azure cloud-løsning.
Begge sager er blevet behandlet af Datatilsynet som har påtalt og bedt om yderligere dokumentation for en række forhold. Sagen vedrørende læk fra køreprøvebooking-systemet er endnu ikke afsluttet.
Før regeringen giver grønt lys for nye cloud-løsninger i offentligt regi, mener Rådet for Større IT-Sikkerhed at blandt andet følgende
centrale krav skal kunne opfyldes:
• Sikkerhedsforhold skal kunne verificeres via fysisk inspektion
og certificering hos cloud-leverandørerne, og cloud-løsninger skal
overholde alle gældende EU- og dansk lovgivning samt de bedste
gængse standarder for it-sikkerhed.
• Der skal være løsninger i forhold til nødberedskab som opfylder
præcist samme krav til datasikkerhed og databeskyttelse, som
gælder for drift af de almindelige it-systemer.
• Der skal være klare aftaler som sikrer, at data forbliver i
myndighedernes varetægt og inden for EU's grænser, også hvis en
cloud-leverandør bliver opkøbt eller lukker ned.
Rådet for Større IT-sikkerhed er uafhængigt og består af repræsentanter for private og offentlige organisationer samt forskere.
