Rådet for Større It-sikkerhed anfører i en pressemeddelelse d. 18. juni 2011, at cloud computing-løsninger generelt ikke gode nok til danske offentlige it-systemer, når det gælder it-sikkerhed og sikring af borgernes privatliv.

Rådet stiller bl.a. spørgsmålstegn ved, om man kan have kontrol over data uden at vide præcist, hvor data befinder sig. Rådet fremfører, at sagen, hvor Odense kommune har fået et afslag af Datatilsynet til at benytte Google Apps, er et eksempel på, at det har vist sig vanskeligt at overholde gældende regler.

IT- og Telestyrelsen mener, at sikkerhed i et cloud-datacenter, hvor der er en høj grad af virtualisering i systemerne, kræver en sikkerhed, der er baseret på logisk kontrol i tillæg fysisk kontrol. IT- og Telestyrelsen har gode erfaringer med at benytte cloud computing til driften af tre af styrelsens it-systemer. Blandt andet det bredt anvendte system til e-fakturering: NemHandel. IT og Telestyrelsen kan derfor ikke genkende det billede, der tegnes i den pågældende pressemeddelelse.

I Odense Kommunes sag har Datatilsynet udtalt, at tilsynet er indstillet på at vurdere sagen igen, hvis Odense Kommune svarer på en række spørgsmål, som Datatilsynet har stillet kommunen. Det er IT- og Telestyrelsens forståelse, at kommunen netop nu arbejder på en fornyet anmeldelse på baggrund af Datatilsynets udtalelser. På den baggrund er det IT- og Telestyrelsens forventning, at Odense Kommune vil få mulighed for at anvende Google Apps som ønsket, og at det vil ske på en tilstrækkelig sikker måde.

Rådet for Større It-sikkerhed fremfører i pressemeddelelsen, at der skal laves en afgrænset cloudløsning for det offentlige, som er placeret i Danmark. IT- og Telestyrelsen er ikke umiddelbart enig i denne vurdering. Det skyldes, at man med en privat cloudløsning ikke kan opnå de samme fordele, som man kan ved at anvende en cloudløsning udbudt offentligt og på kommercielle vilkår. Forskellen på en lukket løsning og en kommercielt udbudt løsning (fx Amazon, som ovenfor omtalte NemHandel kører på) er, at den lukkede løsning, selv hvis den omfatter hele den offentlige sektor i Danmark, ikke giver de samme stordriftsfordele og fordele mht. konkurrencebaseret prissætning. En lukket cloudløsning er nærmere et nyt ord for traditionel outsourcing.

IT- og Telestyrelsen mener, at det største potentiale i forhold til cloud computing findes i offentligt udbudte, kommercielle cloudløsninger. Det er også derfor, IT- og Telestyrelsen giver høj prioritering til arbejdet med alternative sikkerhedsmodeller og lignende tiltag, som kan gøre det muligt at benytte offentligt udbudte, kommercielle skyer (public clouds) på betryggende vis.

Du kan læse mere om IT- og Telestyrelsens initiativer vedrørende cloud computing her.

Du kan også læse It-sikkerhedskomiteens vejledning om "Sikkerhed i cloud computing" her.