Så lenge staten må basere seg på løsninger fra kommersielle aktører, kan man aldri sikre seg mot for eksempel bakdører i kildekoden. Det vil alltid eksistere en sikkerhetsrisiko. Løsningen er sannsynligvis ikke enten eller – men både og.
Den norske regjeringen mener at Norge som nasjon må ha mye bedre kontroll på offentlig informasjon. Senterpartiet (Sp) har foreslått en offentlig, nasjonal skyløsning. Bakgrunnen for dette er å sikre sårbare data rundt Forsvaret, norske helseopplysninger og andre personopplysninger som faller inn under GDPR.
Før jul besluttet Direktoratet for e-helse å sette Helseanalyseplattformen på vent, på grunn av Schrems II-dommen. Helseanalyseplattformen er én av ni leveranseområder i Helsedataprogrammet, og det jobbes nå med å se på andre strategier for å kunne realisere data- og analysetjenestene som skal leveres på plattformen. Er nasjonal skyløsning veien å gå?
Helseanalyseplattform
I Norge har vi flere hundre datakilder med strukturerte, personidentifiserbare helseopplysninger. Disse finnes i en rekke helseregistre, biobanker, journalsystemer med mer. Vi har titalls nasjonale kvalitetsregistre knyttet til enkeltdiagnoser og andre nasjonale registrere. Totalt sett snakker vi om tusenvis av daglige transaksjoner og petabytes med data.
Disse dataene er svært interessante for forskning. Utfordringen er at dataene finnes i ulike kilder med ulike virksomheter som forvalter dem. Derfor tar det ofte svært lang tid for forskere å få tilgang til helsedata. For å få til forskning på en effektiv måte, er det behov for å samle dataene på en plattform slik at de kan kobles og utleveres til forskningsprosjekter som er etisk godkjent.
Oppdraget som Norsk Helsenett har fått fra Direktoratet for e-helse, dreier seg blant annet om å etablere en sikker dataplattform som legger til rette for å kunne koble disse dataene og utlevere dem på en sikker måte.
Valg av løsning
Ved anskaffelsen av Helseanalyseplattformen ble det åpnet for å levere løsninger basert på allmenne skytjenester. Årsaken til dette var blant annet basert på kunnskap innhentet i en forutgående markedsdialog. Både markedet og analysebyråer påpekte at private løsninger ikke ville kunne levere samme innovasjonstakt, fleksibilitet, skalerbarhet og sikkerhet som de allmenne skyløsningene. I tillegg er det en rekke løsninger for dataanalyse som kun leveres som allmenne skytjenester. Sikkerhetshull eller sikkerhetsforbedringer rulles ut til de allmenne skytjenestene umiddelbart, mens det ofte tar lang tid å få tilgang til samme sikkerhetsoppdateringer på private skytjenester eller «on-premise»-løsninger.
For valg av plattform har vurderingen vært at kun Microsoft, Google, Amazon og IBM kan dekke hele behovet for analyse av helsedata. Alternativet vil være å sy sammen en rekke produkter som delvis er basert på åpen kildekode. Dette er imidlertid vurdert til å være langt dyrere å utvikle og forvalte, samt at løsningen vil ha større risiko.
Løsningen som ble valgt for Helseanalyseplattformen, er basert på Microsoft Azure i allmenn skytjeneste og leveres fra datasenter i Norge.
Amerikanske leverandører?
En av problemstillingene som Schrems II-dommen aktualiserer, er knyttet til amerikansk etterretningslovgivning ved FISA 702. Lovgivningen gir blant annet amerikanske etterretningsmyndigheter rett til å pålegge amerikanske selskaper å utlevere personopplysninger uavhengig av hvor i verden dataene er lagret. De kan også pålegge selskapene å hemmeligholde slik utlevering. Schrems II-dommen stiller krav til implementering av ytterligere tiltak for å sikre at personopplysningene er godt nok beskyttet i henhold til GDPR.
Ifølge presentasjoner av Helseanalyseplattformen er løsningen laget både med tanke på kravene som følger av Schrems II-dommen – og for å minimere risikoen for at ressurssterke trusselaktører, som for eksempel fremmede stater, får tilgang til opplysningene.
Dette gjøres mellom annet ved hjelp av kryptering på flere nivå.
Må data utleveres?
I standardvilkårene til Microsoft går det frem at de åpner for å benytte kundedata for å oppfylle egne juridiske forpliktelser, blant annet etter amerikansk etterretningslovgivning.
Det vil være svært problematisk å behandle hele befolkningens helsedata på Helseanalyseplattformen vel vitende om at personopplysninger kan bli utlevert til amerikanske myndigheter. Microsoft publiserer oversikt over pålagte utleveringer og hevder at det aldri er blitt utlevert slik informasjon fra myndighetsaktører i Europa. Microsoft kan imidlertid være pålagt å hemmeligholde enkelte utleveringer. Problemet er dermed at dataansvarlig må beskytte seg mot skytjenesteleverandøren slik at sannsynligheten for at slik utlevering kan skje, elimineres.
Det har vært en rekke angrep på personopplysninger i 2021 – så å si utelukkende mot «on-premise»-løsninger i Norge. Et spørsmål er om Datatilsynets råd i forbindelse med Schrems II-dommen påvirkes av store lekkasjer av personopplysninger fra «on-premise»-systemer mot en teoretisk sjanse for at skyleverandører aksesserer data?
Hva er svaret?
Er løsningen på helseanalyseplattformen en nasjonal sky? Ettersom rettstilstanden er uklar etter Schrems II-dommen, og det er uklart om man vil være i stand til å treffe tilstrekkelige tekniske tiltak, har Direktoratet for e-helse besluttet å vente med å ta Helseanalyseplattformen i bruk – og i stedet utrede om andre realiseringsstrategier er mulig.
Er da svaret at det offentlige etablerer en egen allmenn sky for offentlige aktører? På den ene siden vil dette medføre at amerikansk etterretningslovgivning ikke vil ha myndighet over løsningen – og dermed vil risikoen for utlevering være minimert.
Nye risikoer?
På den annen side vil en nasjonal sky sannsynligvis introdusere nye risikoer: Vil staten være i stand til å ivareta sikkerheten og beskyttelsen mot andre aktører like raskt og effektivt som kommersielle tjenester? Kan staten tilby samme innovasjonstakt som de kommersielle skytjenestene?
Staten må basere seg på programvare og maskinvare fra de samme kommersielle leverandørene som forbeholder de innovative løsninger til egne skytjenester. Faren er dermed at statlige virksomheter går glipp av disse innovasjonene, samt gevinstene som disse representerer.
Så lenge staten må basere seg på løsninger fra kommersielle aktører, kan man aldri sikre seg mot for eksempel bakdører i kildekoden. Det vil alltid eksistere sikkerhetsrisiko.
En selvmotsigelse?
Spørsmålet er om en slik felles offentlig skyløsning bare vil endre risikobildet – og i realiteten ikke minske den. Erfaringen fra «Bundescloud» i Tyskland viser at det er svært krevende å etablere en slik tjeneste, og at kostnadene for virksomhetene som skal benytte dem ofte blir langt høyere enn ved å benytte kommersielle løsninger.
Vi vet altså at amerikanske skytjenester er mer innovative, mer skalerbare og har høyere fleksibilitet enn Norsk Helsenett, eller andre offentlige aktører hver for seg, kan konkurrere med. De gir sannsynligvis best sikring mot andre trusselaktører enten de har spionasje som formål eller økonomisk vinning.
Et viktig spørsmål er om sikkerheten i en nasjonal skyløsning reelt sett vil være høyere enn i kommersielle løsninger? Dersom hovedargumentet er å hindre konsentrasjonsrisiko hos internasjonale leverandører, kan det fremstå som en selvmotsigelse å samle samfunnskritiske systemer i én nasjonal skyløsning. Løsningen er sannsynligvis ikke enten eller, men både og. I hvilken form dette blir, gjenstår å se.
Innlegget ble først publisert på Dagens medisin 25.1.2022.
Disclaimer: Sopra Steria er et ledende internasjonalt konsulentselskap innen digitalisering som tilbyr strategiutvikling, IT-rådgivning, infrastruktur- og systemutvikling, digitale løsninger og drift.