Helsedata i skyen – sikkert eller usikkert?

Bruk av skyløsninger krever bevissthet rundt sikkerhet, men risikoen er ikke nødvendigvis større enn med andre løsninger. I mange sammenhenger gir skyløsninger både sikkerhet og funksjonalitet som ikke kan oppnås med tradisjonelle «on premise»-løsninger.

Publisert

Denne artikkelen er mer enn tre år gammel.

Sondre Skaug Bjørnebekk

Kronikk: Sondre Skaug Bjørnebekk, sivilingeniør/MSc og teknisk sjef i Ledidi AS
Odd Christian Landmark, sivilingeniør/MSc og utviklingssjef i Ledidi AS

SKYTJENESTER ER EN samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Både offentlige og private virksomheter verden over benytter skyplattformer, og bruken brer også om seg innen helsetjenester.

De største leverandørene globalt er Microsoft, Google og Amazon. De har datasentre verden over, og de følger nasjonale og internasjonale krav til informasjonssikkerhet og personvern. Et eksempel er personvernreglene i EU (GDPR), hvor det er et eksplisitt krav at dataene skal lagres geografisk innen EU.

RISIKO – ELLER SIKKERHET? Norsk Sikkerhetsmyndighet (NSM) setter i sin rapport Helhetlig digitalt risikobilde 2020 søkelys på den økende rollen skytjenester har i digitaliseringen, og hvilken risiko som er forbundet med bruk av slike tjenester. I etterkant har mediedekningen fokusert på NSMs forslag om å opprette en nasjonal sky for samfunnskritiske tjenester, for å unngå risiko forbundet med servere på fremmed jord. En kan få inntrykk av at risikoen ved bruk av sky er høy. Skytjenester kan i mange sammenhenger gi økt sikkerhet, og lokale alternativer er ikke nødvendigvis sikrere.

SAMARBEID I SKYEN. Vi har lang erfaring med utvikling av tjenester i skyen, blant annet gjennom vårt arbeid med å utvikle en skybasert løsning for forskningssamarbeid og kvalitetssikring i helsesektoren. Løsningen skal håndtere helsedata, og i utviklingen har to faktorer stått helt sentralt:

  • kompromissløse krav til personvern og informasjonssikkerhet
  • tilrettelegging for samarbeid om helse- og forskningsdata over landegrenser.

Bruk av en underliggende internasjonal skyplattform har gjort begge deler mulig.

Innen helsesektoren er det en mangel på gode løsninger for vitenskapelig og klinisk samarbeid. Verdien av data stiger gjerne med datamengden; større datasett øker sannsynligheten for å kunne trekke konklusjoner. I mange tilfeller er det nødvendig med samarbeid over landegrensene for å samle nok data. Koronapandemien er et slikt eksempel. Gjennom å arbeide i felles løsninger kan flere få tilgang til informasjonen, uten å måtte dele data på usikre måter.

EN UTFORDRING. Løsninger som ligger på institusjonelle servere på lukkede nettverk, kan ikke benyttes i samarbeidsprosjekter verken nasjonalt eller internasjonalt. NSMs forslag om en nasjonal offentlig sky vil også være en utfordring for internasjonalt samarbeid.

Innen helsesektoren er det mangel på gode løsninger for vitenskapelig og klinisk samarbeid. I mange sammenhenger kan skytjenester gi økt sikkerhet, og lokale alternativer er ikke nødvendigvis sikrere

Brukere i andre land vil ha det gjensidige problemet med å måtte stole på våre myndigheter fremfor standardiserte og sertifiserte teknologier levert av profesjonelle leverandører. Ved internasjonalt samarbeid kan ikke alle parter kreve at dataene lagres på egen nasjons grunn.

Vi må kunne stole på hverandre, og det er hensiktsmessig at man anerkjenner felles standarder for informasjonssikkerhet og personvern, som for eksempel regulert gjennom ISO-standarder og EU-GDPR.

SIKKERHET OG KOMPETANSE. For utviklerteam er det minst like viktig at de store leverandørene til enhver tid tilbyr state-of-the-art-teknologier, som legger til rette for bedre sikkerhet og mer effektiv utvikling av funksjonalitet. Dette er teknologier som krever svært høy kompetanse for både å utvikle og vedlikeholde. De fleste offentlige og private virksomheter har ikke kompetanse til å utvikle dette selv.

Skyplattformer gjør det mulig «for alle» å ta i bruk den beste og mest moderne teknologien for informasjonssikkerhet, kommunikasjon, lagring og prosessering. I egenproduserte lokale tjenester tilknyttet internett pådrar man seg en vesentlig risiko ved å forsøke å holde tritt med utviklingen. Etterslep innen kompetanse, teknologi og infrastruktur øker risikoen for brudd på informasjonssikkerhet og personvern. Kostnadene har blitt så lave og kvaliteten så høy at det gir liten eller ingen mening å sette opp og drifte sin egen infrastruktur og utvikle tjenestene fra bunnen av, forutsatt at man skal ha tilgang via internett.

Vi har utviklet vår løsning på Amazon sin skytjeneste og benytter teknologier for blant annet avansert kryptering, tilgangsstyring, brannmurer og logging for å tilfredsstille de strengeste krav til informasjonssikkerhet og personvern. Dette er teknologier leverandørene av skyplattformer tilbyr «out of the box», og som er sertifisert i henhold til internasjonale standarder – og til enhver tid oppdatert. Slik minimeres risikoen for manglende eller utdatert teknologi. Det dette krever av oss, er at vi kontinuerlig bygger nødvendig kompetanse til å benytte teknologien på en god måte. Vi mener det er her IT-ressurser må fokuseres fremover.

KVALITET. I stedet for å spørre om skyplattformene er sikre nok, bør man spørre om man kan ha tillit til leverandørene. Spørsmålet skiller seg prinsipielt ikke fra spørsmålet om en virksomhet i det hele tatt skal benytte eksterne leverandører. Skal man få hjelp utenfra, eller skal man gjøre alt selv? Erfaringene tilsier at løsninger bygget fra bunnen av er dyre og tidkrevende å utvikle, ofte skuffer i funksjonalitet, er svært krevende å vedlikeholde og blir raskt utdatert.

Utdaterte løsninger er ofte svært usikre. Risiko ved bruk av skyplattformer må derfor veies opp mot risikoen ved å velge alternative løsninger. I de fleste sammenhenger vil skyløsninger gi både økt sikkerhet og bedre kvalitet på tjenestene.

Interessekonflikt/disclaimer: Ledidi AS i Oslo er et medtech-selskap som benytter en skyplattform for å levere tjenestene sine. Selskapets skyløsning forenkler innsamling og analyse av klinisk forskningsdata og tilrettelegger for forskningssamarbeid mellom forskere og institusjoner internasjonalt. Selskapet har nylig inngått en avtale med Oslo universitetssykehus (OUS).

Powered by Labrador CMS