Til: IT-folk på universiteter og høgskoler Fra: ecampus Forfatter: Ingrid Melve Kopi: Dato: 27.06.2012 Gjelder: Skytjenester og krav til bruk i høgere utdanning Skytjenester Dokumentet gir råd om skytjenester, med konkret informasjon om overordnede problemstillinger for skytjenester i høgere utdanning. Terminologi for skytjenester forutsettes kjent, og følger bruken i Bak skyene er himmelen alltid blå? en innføring i Cloud Computing for skoleeiere 1 fra IKT-senter for utdanning. Målgruppe: IT-avdelinger og andre som tar avgjørelser om bruk av skytjenester på vegne av utdanningsinstitusjoner i høgere utdanning. 2 Dokumentet omhandler bare de krav som settes når det er en institusjon som tar i bruk skytjenester. For skytjenester som tas i bruk av enkeltpersoner, er det hver person som må gjøre sine vurderinger av vilkår skyen tilbyr. Det er i praksis stor forskjell på det enkeltpersoner kan gjøre og det en institusjon kan gjøre med og for sine brukere. I dagens situasjon for skytjenester: 1. Bruk skytjenester! Det er mange gode tjenester i skyen, men se på totalkostnader over tid. La gjerne enkeltpersoner utforske skytjenester for skaffe institusjonen erfaring. 2. Ikke bruk skytjenester til sensitive data, med mindre du har gått en ekstra runde med juridisk hjelp på din side, og er trygg på sikkerhetsvurderingen din. 3. Gjør risikovurdering av leverandør: dersom du putter dine data inn hos en leverandør som går konkurs (eller blir kjøpt opp) og skrur av tjenesten, hvor står du? 4. Be leverandøren om Feide-innlogging for SaaS, slik at han sparer brukerstøtte og du reduserer eksponering av brukerinformasjon. Ting å passe på før en høgskole eller et universitet tar i bruk skytjenester: Gjør en edruelig risikovurdering. Sammenlign med dagens situasjon. Sjekk vilkårene for bruk av skytjenester. Det er vanlig at sky-leverandører forbeholder seg retten til å ensidig endre avtaleteksten, noe som ikke er lov i databehandleravtaler. Det er også vanlig at du ikke får nok revisjonstilgang til å oppfylle norske krav. Databehandleravtale om personopplysninger må på plass. Se opp for innelåsing. Pass på at du kan hente ut igjen data, helst på standardiserte dokumenterte formater. Flere ting å passe på: Tjenestespesifikasjon og driftsgarantier. Hvor mye arbeid mister du dersom leverandøren blir borte? 1 http://iktsenteret.no/aktuelt/bak-skyene-er-himmelen-alltid-bl-ny-utgivelse-om-cloud-computing 2 Dette verk er lisensieret under en Creative Commons Navngivelse-DelPåSammeVilkår 3.0 Norge lisens. 1
Klassifisering av data: Sensitive data må særbehandles, da disse har egne krav, blant annet til kryptering ved overføring. Åpne data kan uten problemer legges i skyen. Alle tjenester levert av offentlig virksomhet til enkeltpersoner skal være i samsvar med Standardkatalogens krav. Dette gjelder ikke for tjenester rettet mot ansatte, men formidlingsdelen av høgere utdanning omfattes. Arkivverdig materiale må kunne arkiveres, enten i skytjenesten eller i egne arkivsystemer. Begge alternativer må oppfylle krav i arkivloven Institusjonen eller enkeltpersoner i skyen? Gråsonen mellom tjenester rettet mot enkeltpersoner og tilbud fra institusjoner er ikke kartlagt. Et eksempel på dette er når en foreleser kun tilbyr informasjon via Facebook i sitt fag, noe som i praksis tvinger studentene til å godta Facebooks brukervilkår for å gjennomføre det aktuelle faget. Dette området trenger mer arbeid, både for å finne hvor gråsonene ligger, og for å kartlegge regelverket på området. Sikkerhetslovgivning og informasjonssikkerhet Anbefalt IKT-sikkerhetsarkitektur i UH-sektoren, UFS122 3, gir overordnet oversikt over sikkerhetsproblemstillingene knyttet til nettsikkerhet, men tar ikke opp skytjenester der sikre soner administrativt flyttes til eksterne leverandører. UFS126 4, Information Security Policy, tar opp problemstillinger knyttet til tredjepartsleverandører, herunder også skytjenester. Helsesektorens krav Norm for informasjonssikkerhet i helsesektoren 5 omfatter de deler av høgere utdanning som berører helsesektoren. ENISA har laget en analyse Benefits, risks and recommendations for information security 6 som også har praktiske råd for bruk av skytjenester. Gode sjekklister finnes i en rapport fra det australske forsvarsdepartementet Cloud Computing Security Consideration 7 Dataeier har ansvar for klassifisering av data, og har ansvar for at data blir forsvarlig håndtert. Hos en leverandør som har ISO27001 sertifisering bør man kunne forlange å få se revisjonsrapportene som er gjort av dem som etterprøver sertifiseringen. For tjenestespesifikasjon/sla er det viktig å se på hvor mye arbeidstid eller andre tap institusjonen lider dersom en tjeneste får driftsforstyrrelser, og å bed om innsyn inn skyleverandørens beredskapsplaner og prosedyrer for håndtering av driftshendelser. For å beskytte brukerenes passord, bør innlogging skje enten gjennom Feide, til lokal LDAP eller gjennom bruk-og-kast-kontoer. Det siste alternativet er erfaringsmessig ingen god løsning, da normale mennesker enten skriver ned passord eller gjenbruker fra andre steder, og dette gir ikke god nok sikkerhet. Ved innkjøp av SaaS på institusjonsnivå bør det settes krav til Feide, av PaaS/IaaS til innlogging i institusjonens brukerløsninger. 3 http://www.uninett.no/sites/drupal.uninett.no.uninett/files/webfm/_produkter%20og%20tjenester/campustjeneste r/@campus/ufs/pdf/ufs122.pdf 4 http://www.uninett.no/sites/drupal.uninett.no.uninett/files/webfm/_produkter%20og%20tjenester/campustjeneste r/@campus/ufs/pdf/gn3-na3-t4-ufs126.pdf 5 http://www.helsedirektoratet.no/samspill/informasjonssikkerhet/norm_for_informasjonssikkerhet_i_helsesektore n_232354 6 http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullreport 7 http://www.dsd.gov.au/publications/cloud_computing_security_considerations.pdf 2
Det gjøres arbeid med private skyer, men organisasjoner i norsk høgere utdanning er ikke store nok til å få stordriftsfordelene av en privat sky på egen hånd. Hybride skyer, med både private og offentlige deler, er ikke i vanlig bruk i UH-sektoren i dag. Arbeidsdeling mellom private, sektorskyer, hybrid skyer og åpne skyer er under utvikling, men det er for lite avklart til å gi meningsfulle råd på området utover å holde øye med utviklingen og samspillet mellom sektorsamarbeid og åpne skyer. Personvern IKT-senter for utdanning har utgitt en veileder Skytjenester og eksterne IT-tjenester i grunnopplæringen 8 som går igjennom rettslige krav i personopplysningsloven med forskrift. Denne veilederen er nyttig også for høgere utdanning. Selv om forskningsproblemstillinger ikke er med, så er kravene i lovverket overførbare. Når et individ velger å bruke en skytjeneste, er det skytjenesten som er behandlingsansvarlig. Når en utdanningsinstitusjon velger å bruke en skytjeneste, er det institusjonen som er behandlingsansvarlig for personopplysningene til individene, og skytjenesten som er databehandler. Tre forhold som er spesielle for skytjenester i forhold til annen outsourcing: 1. Hvor lagres personopplysninger: innenfor EU/EØS er mindre komplisert, ved lagring utenfor EU/EØS må det inngås særskilte avtaler eller gis mer omfattende samtykke fra hver enkelt bruker. 9 2. Inngåelse av databehandleravtaler: Avtaletekster må være forståelige (eller gjennomgått av jurist på dine vegne), underleverandører skal framgå av avtalen, ikke lov med ensidig endring av avtalevilkår. Sjekk gjerne med Datatilsynets veileder 10 3. Overholdelse av avtalevilkårene: plikt til dokumentasjon og revisjonstilgang Universell utforming Kravene til universell utforming og tilrettelegging av læringsmiljø gjelder også ved bruk av skytjenester. Disse kravene er mest relevante for SaaS-tjenester, som henvender seg direkte til sluttbrukerene enten disse har spesielle behov eller ikke. Universell utforming vil som regel gi bedre brukeropplevelser og enklere utforming av tjenester. Mer informasjon om problemstillingene finnes hos universell.no 11 Åpne data Tilgang til åpne offentlige data 12 er også mulig gjennom skytjenester. Mange åpne forskningsdata er tilgjengelige gjennom skytjenester. Bruk av skytjenester for tilgang til data er viktig for forskningsmiljøene. Big data er en trend som forventes å føre til sterkere bruk av åpne data i skytjenester, og også til mer bruk av skytjenester for prosessering av data. Nett-tilgang: alltid på Skytjenester forutsetter at nettet alltid er tilgjengelig for de brukerne som skal nå tjenester i skyen, uavhengig av hvilken type skytjenester vi snakker om. Forskningsnettet sørger for dette på campus, men til mobil, studiesenter og i hjemmesituasjonen bør det gjøres en 8 http://iktsenteret.no/ressurser/skytjenester-og-eksterne-it-tjenester-i-grunnopplaeringen 9 http://www.datatilsynet.no/templates/article 2620.aspx 10 http://www.datatilsynet.no/templates/article 2742.aspx 11 http://universell.no/ 12 http://www.difi.no/ikt-samordning/opne-data 3
vurdering av om brukerne har nok nett tilgjengelig. Utbygging av eduroam kan være nødvendig. Innkjøp og innkjøpsregler Innkjøp i offentlig sektor er omfattet av eget innkjøpsreglement, med krav til innsyn og offentlige anbud. Store deler av høgere utdanning omfattes av kravene, som blant annet innebærer at anbudsutlysinger må forholde seg til skytjenester. Mange skytjenester rettet mot individer har en forretningsmodell der inntekten enten er knyttet til reklame eller innsamling av brukerinformasjon. Når du ikke betaler, er du produktet. Institusjoner bør vurdere kostnad (og risiko) også for disse aspektene når man tar i bruk skytjenester. Skytjenester har som regel lav oppstartskostnad både i penger og tid. For å gjøre en kostnadsvurdering er det viktig å se hele tjenestekostnaden i sammenheng, inkludert å vurdere kostnader dersom noe går galt, for eksempel at leverandøren forsvinner, eller at ting går veldig bra og bruken øker dramatisk. Fleksibiliteten i skyen, med at man bruker kun for forbruk, og enkelt kan skalere opp/ned, gjør at skyer egner seg godt for eksperimentell bruk og prosesser som har høy bruk over kort tid. De største økonomiske gevinstene finnes likevel ved overgang fra innkjøp av ITsystemer til innkjøp av brukervennlige selvbetjeningsløsninger på web. 13 Stordriftsfordelene gjør at åpne skyer gir kosteffektive løsninger for mange bruksområder. Ofte er det enkeltpersoner som tar i bruk skytjenester for deler av sin virksomhet mer eller mindre på vegne av institusjonen. Dette forholdet drøftes ikke her, utover at institusjonen bør være oppmerksom på kostnader som kommer desentralisert, og at informasjon som virksomheten eier kan gå tapt eller bli utilgjengelig over lang tid når bruken er forankret hos enkeltpersoner. Det store omfanget på prosjektsamarbeid ut over organisasjonsgrensene gjør at skytjenester er i større bruk i høgere utdanning enn førsteinntrykket man får på administrativ side, da skyene ofte tas i bruk av prosjekter eller enkeltpersoner. Kompetanse på bruk av skytjenester vil også være fordelt i organisasjonen i henhold til bruksmønster, mens formalisering av bruk krever forankring inn i administrative rutiner. Risikovurdering Både lovverk og andre regler forutsetter at det skal gjøres risikovurderinger av tjenesten. Uninett informasjonssikkerhetsaktivitet arbeider med maler for risikovurderinger, inntil disse er ferdige kan man benytte Difis Veiledning i risikovurdering av elektronisk kommunikasjon. 14 Formålet med risikovurdering er finne ut hvilke risikoelementer som eksisterer, og deretter ta valg på hvordan disse skal håndteres. Risikoappetitt varierer med tjenestetype, og er høyere for en åpen webside enn for et lønnssystem. Driftssikkerhet i skytjenester er ofte bedre enn det som er mulig å få til i små IT-avdelinger, siden store sky-leverandører har folk på jobb døgnet rundt. Risikovurderingen skal dokumentere hvilke valg som gjøres. En løsning som er 99.9 % uten risiko er sannsynligvis enten lite brukervennlig, svært dyr eller lite funksjonell. Risikovurderinger må være pragmatiske og dokumenterte, gjerne i det lokale kvalitetssikringssystemet. 13 http://www.microsoft.com/presspass/presskits/cloud/docs/the-economics-of-the-cloud.pdf 14 http://www.difi.no/artikkel/2010/01/veiledning-i-risikovurdering-av-elektronisk-kommunikasjon 4
Beredskapsplaner bør omfatte planer for flytting/bytting av leverandør, og dette er umulig dersom løsninger ikke er standardisert og dokumenterte. Integrasjonskostnader blir også svært store dersom grensesnitt inn mot skytjenester ikke er veldokumenterte og så enkel som mulig. Standardisering og dokumentasjon av grensesnitt Standarder for bruk i offentlig sektor 15, med Referansekatalog for IT-standarder i offentlig sektor 16, peker på både obligatoriske og anbefalte IT-standarder for ulike bruksområder. En viktig følge av IKT arkitekturprinsippene for offentlig sektor 17 er at grensesnitt for innlegging og uthenting av data skal være dokumenterte, helst åpne. Innelåsing bør unngås, dette er spesielt viktig i de tilfeller der datastrukturene og tjenesteutformingen er like viktig som selve dataene. Skalering Skyen kan gi mange maskiner over kort tid, enten for lagring eller for bruk av mange prosessorer. For en PC-lab som skal vare et semester, og der du trenger mange maskiner kan IaaS eller PaaS være kosteffektive løsninger som lar studenter bruke sine egne kjente maskiner med virtuelle maskiner fra skyen til læringssituasjonen. 15 http://standard.difi.no 16 http://standard.difi.no/forvaltningsstandarder/referansekatalogen-html-versjon 17 http://www.difi.no/ikt-samordning/it-arkitektur/arkitekturprinsipper 5