I datasentre som dette lagres epost for Narvik kommune. Internasjonale medier hevder at amerikanske myndigheter har tilgang til systemene til blant annet Google. (Bilde: Google)

IT-TINGET 2013

Her er IT-sjefen som er glad for PRISM-avsløringen

Narvik kommune kjører hele epostsystemet i skyen.

Da ikt-direktør Per Jakobsen i 2011 sendte Narvik kommunes epost og dokumenter ut i skyen på Googles servere, hadde han ikke sett for seg å bli en etterspurt foredragsholder.

PRISM

Oppmerksomheten ble vekket av at kommunen var gjennom en lengre runde med Datatilsynet, før det i fjor ble klart at de fikk beholde kommunens epost på servere i USA.

I dag forteller han om erfaringene på konferansen IT-tinget i Tønsberg.

Den såkalte Narvik-saken brukes som eksempel på hvor viktige skytjenester er blitt, i et brev der Datatilsynet ber justisminister Grete Faremo finne ut i hvilken grad data om norske borgere er samlet inn under det amerikanske PRISM-programmet.

Under dette programmet skal det amerikanske sikkerhetsorganet NSA angivelig ha hatt tilgang til systemene til blant annet Google.

Les også: Folk vil ha norsk lagring for å unngå amerikansk overvåking

Glad for avsløringen

Selv er Jakobsen glad for PRISM-avsløringen.

– Det er bra at dette kommer frem i mediene. Det kan føre til en innskjerping både hos leverandører og myndigheter med hensyn til hvor terskelen for hva man kan tillate seg ligger, sier han.

Han forteller at de har fulgt med på saken, uten at de har foretatt noe konkret i forbindelse med den.

Dataene kommunen lagrer i skyen er i utgangspunktet offentlig, sensitive data lagres i fagsystemer lokalt, ifølge ikt-direktøren.

Per Jakobsen, IKT-direktør i Narvik kommune.
Dataene kommunen lagrer i skyen er i utgangspunktet offentlig, sensitive data lagres i fagsystemer lokalt, ifølge ikt-direktøren.Per Jakobsen, IKT-direktør i Narvik kommune. Evry

Mange fordeler

– I kjølvannet av avsløringen er ingen tjent med en panikkreaksjon der man fjerner ting fra skyen. Det er alt for mange fordeler med cloud computing, sier han.

– Vi har fått en sikker og god tjeneste som er åpen hele tiden, og som er ivaretatt på en bedre måte enn det vi kunne gjort selv.

Fordi Google tar hånd om sikkerheten ved epost- og dokumentløsningen, kan kommunens ikt-avdeling heller konsentrere seg om å oppgradere og opprettholde sikkerheten i fagsystemene, der sensitive data som pasientjournaler oppbevares.

– Da vi jobbet med rådmannens budsjettforslag hadde vi for eksempel ett stort dokument. Mange ulike enheter i kommunen kunne jobbe på samme dokument samtidig, forteller Jakobsen.

Han mener at man i utgangspunktet ikke skal sende epost med innhold som man ikke ville skrevet på et postkort.

Les også: It-sjefene orker ikke mer printertrøbbel og glemte passord

– PRISM inn i risikoanalyser

Datatilsynet mener nå at PRISM-saken må være i bakhodet når kommuner eller andre lager risikoanalyser for skyløsninger.

Allerede da Narvik i fjor fikk lov av Datatilsynet til å oppbevare epost i USA, var man klar over at data kunne havne i amerikanske myndigheters hender.

«Da sakene ble avgjort var tilsynet godt kjent med at amerikanske sikkerhetsmyndigheter, i medhold av Patriot act og FISA-regelverket, kunne gis tilgang til data norske borgere har lagret hos amerikanske selskaper. Kriteriene for innsyn var imidlertid så snevre og dessuten regulert av Safe Harbour-regelverket, at de ikke ble utslagsgivende for resultatet», skriver Bjørn Erik Thon, direktør for Datatilsynet, i brevet han nylig sendte til Faremo.

«Etter PRISM-saken er det imidlertid behov for en klargjøring av hvilken risiko overvåkningsprogrammene innebærer for norske borgeres data som brukes eller lagres i skyen», fortsetter han i brevet.

– Vi står fast på vurderingen om at Narvik kommune kan få bruke skyløsningene i USA, også etter PRISM-avsløringen, sier Bjørn Erik Thon til Teknisk Ukeblad.

– Når det er sagt, så må kommuner og andre trekke inn det som er blitt avslørt i USA i sine risikovurderinger. Man må vurdere sensitiviteten av dataene man vil lagre i skyen, sier Thon.

Ingen direkte tilgang

Han er glad for at saken har ført til økt bevissthet rundt skyløsninger.

Google har på det sterkeste avvist at amerikanske myndigheter skal ha hatt fri tilgang til innhold på selskapets servere.

I et blogginnlegg med tittel «What the...?», skriver Googlesjef Larry Page at selskapet aldri har hørt om noe program som heter PRISM og at amerikanske myndigheter på ingen måte har direkte tilgang til selskapets datasentre.

Les også:

Se Googles hemmelige datasentre

– La Google håndtere offentlige data