Henover sommeren har der været en hel del artikler om det offentliges brug eller ikke brug af Cloud Computing. Rådet for IT-sikkerhed nedkom med en pressemeddelelse den 18. juni med budskabet: 'Vent med Cloud Computing i den offentlige sektor', som blev kraftigt kritiseret af Børsen i juli, hvor Jesper Frederiksen beskyldte Rådet for at være bagstræbende og for at forhindre den offentlige sektor i at opnå massive besparelser. Selv IT- og Telestyrelsen gik ind i debatten og erklærede sig uening med Rådet for Større IT sikkerhed. (Se ComOn's udlægning: 'Rend og Hop'!)
Parallelt hermed har Videnskabsministeren hele foråret er klæret sig som varm fortaler for mere brug af Cloud Computing i det offentlige: Videnskabsministeren siger ja til cloud-løsninger i det offentlige og har udtalt, at 'Persondataloven forvirrer for meget' og hun har derfor nedsat en arbejdsgruppe, der skal se på, om der kan laves lovændringer, så det bliver nemmere at bruge Cloud Computing i det offentlige.
Så hvad er op og ned i den diskussion?
Rådet for større IT sikkerhed anbefaler, at det er uomgængeligt at 4 krav skal opfyldes, før nye offentlige cloud løsninger etableres:
Sikkerhedsforholdene hos leverandøren skal kunne verificeres ved fysisk inspektion og certificering af leverandøren, der sikrer overholdelse af EU og dansk lovgivning
Der skal være løsninger for nødberedskab
Der skal være klare aftaler, der sikrer at data forbliver i myndighedernes varetægt og lagres inden for EU's grænser
Kritiske IT løsninger som forsvar, politi og CPR bør under alle omstændigheder være fuldstændigt under statens kontrol
I det hele taget mener Rådet, at manglen på standarder og gennemsigtighed hos leverandørerne gør det højst umuligt at anvende andet en 'privat cloud', d.v.s. en lukket anvendelse af principperne i Cloud Computing, men helt under det offentliges kontrol – muligvis via en tredjepart, men under alle omstændigheder inden for landets grænser.
IT-og Telestyrelsen er ikke enig i IT sikkerhedsrådets konklusion og de fremhæver, at de har gode erfaringer med cloud computing til tre systemer, især eFaktura og Nemhandel. Når Datatilsynet indtil nu ikke har godkendt Odense Kommunes skolevæsens brug af Google Apps, mener man i ITST at det løser sig, når kommunen finder nye formuleringer. I øvrigt henviser man til det arbejde, der er udført i IT Sikkerhedskomiteen om De juridiske rammer for Cloud Computing 17.5 2011
På hjemmesiden Digitaliser.dk, har der løbende kørt diskussioner om brug af cloud computing. I bloggen skrevet af Marie Munk: Partly Cloudy er hun især positiv overfor brugen af standard SW (SAAS – Software as a Service), men i det hele taget indstillet på at det offentlige kan gå foran og afprøve nye serviceformer. Men ser vi Private versus Public Cloud – Niels Pagh Rasmussens kommentar – er denne mere på linie med Rådet for IT Sikkerhed. Og der har da været en del eksempler på brølere – f.eks. omtalen af at Cloud-fejl i køreprøvesystem påtales af Datatilsynet .
EU er i fuld gang med en revision af diverse regler og direktiver, der kommer i spil når man overvejere Cloud Computing. Det fremgår af denne artikel: Charlotte Sahl-Madsen positiv overfor lovændringer der forhindrer regnskabsdata, at arbejdet skal være tilendebragt den 31. august 2011, så kommissionen i starten af 2012 kan komme med nye forslag, herunder også om de regler, der i dag begrænser at nationale regnskabsdata kan flyde frit over grænserne. Man må formode, at man også vil tage stilling til, hvordan den gamle 'Safe Harbour' regel kan opdateres. Safe Harbor – Certificering af data centre i udlandet var den regel, der gjorde det muligt at overlade Europæiske, Schweiziske og Amerikanske Data til certificerede datacentre i hinandens lande. Problemet med Safe Harbour er imidlertid, at i de mere end 10 år den har været i kraft har der aldrig været nogen klage eller sagsanlæg, på trods af at man antager at ca. 1/3 af datacentrene ikke lever op til certificeringen. Dertil kommer, at hele ånden bag Safe Harbour er blevet ødelagt efter 9/11 af Patriot Act – indkskrænket beskyttelse af persondata blev resultatet, så man kan forvente, at US efteretningstjenester har fin adgang til de persondata fra udlændinge, der befinder sig i US.
Ikke desto mindre har især den amerikanske CIO Vivek Kundra udarbejdet en national strategy:
'Cloud First' – Vivek Kundra's national cloud strategy – der peger på særdeles omfattende besparelsesmuligheder ved at flytte federale og statslige datacentre til Cloud Computing.
I lyset af den amerikanske finanskrise, er det nok overvejende sandsynligt, at det vætigste argument her nok snarere er besparelsespotentialet. Samt en formodning om, at da cloud-lverandørerne typisk er amerikansk ejede virksomheder, har man de nødvendige håndtag – samt et noget mere afslappet forhold til persondata. Hør Vivek Kundra tale om Cloud: Vivek Kundra – US CIO – understreger vigtigheden af at flytte offentlige løsninger til cloud computing
Ud over USA er også Australian langt fremme med anbefalinger til anvendelse af Cloud Computing, og man beskriver i strategien fra april 2011, hvordan pilot applikationer som eTax og Business Reporting bliver evalueret. Denne rapport er en glimrende oversigt over muligheder, og den indeholder i øvrigt Gartner Groups 'Hype Cycle' for Cloud computing.
Medens den Australske model er meget åben over for applikationer, der liogger i 'Public Cloud'. Er UK's CIO-committee mere forsigtige og peger på anvendelser indenfor 'the G-Cloud' – d.v.s. En privat cloud der deles på tværs af ministerier og forvaltninger i UK.
Diskussionerne er langt fra overstået, og det bliver spændende at se, hvordan diskussionen mellem Rådet for større IT Sikkerhed og IT- og Telestyrelsen/Videnskabsministeriet udvikler sig.
For fuldstændighedens skyld kan man med fordel læse rapporten om
Cloud Computing i den offentlige sektor fra 2009 og måske også Google Apps Security White Paper for at se, hvad Cloud Leverandørerne har i tankerne.
1 kommentar:
Spændende orientering, tak Søren!
Send en kommentar