Storbritannien - Säker och kostnadseffektiv it-drift

5 Omvärldsanalys

5.6 Storbritannien

Den brittiska statsförvaltningen har cirka 120 ministrar som stöds av 560 000 tjänstemän på 25 departement och deras myndigheter. Övriga delar av förvaltningen är organiserade på olika sätt beroende på riksdel.

5.6.1 Organisering och strategi

År 2011 lanserade koalitionsregeringen i Storbritannien en IKT- strategi25_{med fokus på att uppnå ökad effektivitet och kostnads-}

besparingar i statsförvaltningen. Samma år inrättades även Govern- ment Digital Services (GDS), en enhet inom Cabinet Office (jfr Stats- rådsberedningen), med övergripande ansvar att leda förvaltningens omställning till digitala kanaler som förstahandsval i interaktionen med enskilda (eng. digital by default). De följande åren lanserades flera nya strategier26_{på e-förvaltningsområdet. Utöver GDS har den}

statliga inköpscentralen Crown Commercial Services (CCS) en central roll i förvaltningens digitalisering genom att bl.a. hantera ramavtal på it-området. Det brittiska National Cyber Security Centre (NCSC) är vidare en central aktör i arbetet med cybersäkerhet och har ett över- gripande ansvar för att hålla samman Storbritanniens cybersäkerhets- strategi på nationell nivå.

5.6.2 Molntjänster

Genom en större satsning på molntjänster under tidigt 2010-tal avsåg den dåvarande brittiska regeringen främja en ökad användning av molntjänster i den offentliga förvaltningen. Molntjänster sågs som ett sätt att effektivisera förvaltningen genom att ersätta egen- utvecklade lösningar med mer standardiserade sådana. Regeringen hade identifierat att förvaltningen var inlåst i stora kontrakt med ett fåtal leverantörer, med höga it-kostnader som konsekvens.27_Reger-

25_{Storbritanniens regering (2011a) Government ICT Strategy.}

26_{Storbritanniens regering (2012) Government Digital Strategy, (2016) National Cyber Security}

Strategy, (2017a) Government Transformation Strategy, (2017b) UK Digital Strategy. Även riks- delarna Wales, Nordirland och Skottland har sina egna strategier på e-förvaltningsområdet.

Omvärldsanalys SOU 2021:1

152

ingen bedömde även att det fanns ett motstånd till att använda moln- tjänster och att det även hade byggts upp många mindre datacenter i förvaltningen med lågt resursutnyttjande.28_{Genom att etablera en}

marknadsplats för molntjänster avsåg regeringen att främja bättre villkor och minskad inlåsning samtidigt som den skulle stimulera små- och medelstora företag i Storbritannien som kunde sälja tjänster till den offentliga förvaltningen.29_{I sin molntjänststrategi för år 2011}

uppskattade regeringen att det skulle gå att spara sammanlagt 340 miljoner brittiska pund under åren 2011–2015 genom satsningar på upphandlingsstöd för molntjänster och datacenterkonsolidering.30

Cloud First

För att stimulera en ökad användning av molntjänster beslutade den brittiska regeringen år 2013 att publika molntjänster i första hand ska övervägas när verksamheter upphandlar nya eller ersätter befint- liga it-tjänster. Principen benämndes Cloud First. Vid avsteg från principen, där den är relevant, behöver den upphandlande verksam- heten motivera att den valda lösningen är mer kostnadseffektiv.31

Beslutet gäller endast statsförvaltningen men regeringen har rekom- menderat övriga delar av förvaltningen att också tillämpa principen. Principen omprövades 2019 och kvarstår, dock nyanserades den för att understryka att molntjänster inte passar alla behov och inte alltid leder till lägst kostnader.32_{Cloud First-principen är del av reger-}

ingens Technology Code of Practice – en samling principer som ska hjälpa förvaltningen att designa, bygga och köpa ny teknik. Statliga verksamheter kan behöva ansöka om tillstånd från GDS för att spendera pengar i teknikprojekt varvid GDS bedömer om projektet följer Technology Code of Practice.33

28_{Storbritanniens regering (2011b).}

29_{Computer Weekly (2019) Government 'cloud-first' policy under review by CCS and GDS.} 30_{Storbritanniens regering (2011b).}

31_{Storbritanniens regering (2013b).} 32_{Government Digital Services (2019a).} 33_{Storbritanniens regering (2019a).}

SOU 2021:1 Omvärldsanalys

G-Cloud

En annan del av satsningen på molntjänster var lanseringen av G- Cloud, ett upphandlingsstöd för molntjänster. G-Cloud består av ramavtal, från vilka förvaltningen kan avropa olika typer av it-tjänster, samt en digital marknadsplats som samlar information om leveran- törerna och deras tjänster. Alla organisationer inom den offentliga förvaltningen, inklusive offentligfinansierade verksamheter (eng. arm’s length bodies), har möjlighet att göra avrop från ramavtalen.34_Sedan

G-Cloud lanserades år 2012 har ramavtalen förnyats i flera omgångar och i skrivande stund är version 11 den senaste där tecknade kontrakt får löpa 12 månader med möjlighet till förlängning ytterligare maximalt 12 månader. För att ansluta sig till ramavtalen genomgår leverantörer ackreditering och svarar på frågor om bl.a. villkor för användning, säkerhet, certifieringar, prissättning. Från och med version 9 av G-Cloud delades erbjudna tjänster in i de tre kategorierna: Cloud Hosting (IaaS och PaaS), Cloud Software (SaaS) och Cloud Support (stöd med migration till molntjänster). På den digitala marknadsplatsen finns numera även egna ramavtal för it-specialister (Digital Outcomes and Specialists) och datacentertjänster (Crown Hosting).

Från lanseringen av det första versionen av G-Cloud till och med den 31 december 2018 har ramavtalen för molntjänster genererat en försäljning om 4 miljarder GBP. Av denna försäljning svarar små- och medelstora företag (SMF) för cirka 45 procent. 81 procent av försälj- ningen har varit till statsförvaltningen medan 19 procent till övriga delar av den offentliga förvaltningen.35_{De små och medelstora före-}

tagens andel av försäljningen har dock minskat över tid.

Antalet leverantörer och tjänster på den digitala marknadsplatsen som säljs genom G-Cloud är i dag omfattande. På ramavtalet för G- Cloud version 11 finns cirka 4 200 leverantörer och 31 000 annon- serade tjänster. Allt fler offentliga verksamheter, som t.ex. vårdorga- nisationen NHS, har dock upprättat egna ramavtal för molntjänster sedan G-Cloud:s tillkomst. Enligt vissa bedömare är anledningen till denna utveckling att alla behov inte kunnat tillgodoses av G-Cloud. Vissa nya ramavtal har exempelvis längre avtalstider och ger möjlig- het att avropa flera tjänster, såsom co-location och hosting, på

34_{Storbritanniens regering (2019b).} 35_{Storbritanniens regering (2019c).}

Omvärldsanalys SOU 2021:1

154

samma avtal. Det finns samtidigt de som varnar för att nya ramavtal driver försäljning från G-Cloud till nackdel för små och medelstora företag som inte har möjlighet att delta på flera ramavtal.36

Det finns många vägledningar och stöd tillgängliga för offentliga verksamheter som avser att avropa molntjänster på den digitala marknadsplatsen och GDS:s webbplats. I en vägledning37 om moln- tjänster publicerad år 2020 föreslås att alla statliga organisationer tar fram egna molntjänststrategier som bl.a. belyser om organisationen bör ha en eller flera leverantörer, vilken påverkan verksamhetens teknikskuld har på denna strategi samt risker för inlåsning och infor- mationssäkerhet.

5.6.3 Datacenter

År 2010 fanns ungefär 220 datacenter inom den brittiska statsför- valtningen och sannolikt ytterligare hundratals i den övriga förvalt- ningen. Detta enligt en enkätundersökning från samma år.38_Den

dåvarande regeringen konstaterade att dessa datacenter användes ineffektivt och beslutade att offentliga datacenter skulle konsoli- deras och minska i antal.39_{År 2014 etablerade regeringen samrisk-}

företaget (joint venture) Crown Hosting Data Centres Limited (Crown Hosting) tillsammans med leverantören Ark Data Centres Limited. Ett nytt ramavtal upprättades även år 2015 med Crown Hosting som enda leverantör. Avrop från ramavtalet kan löpa i maximalt sju år. Företrädare på Crown Hosting menar att syftet med denna modell är att göra det möjligt för offentliga verksamheter att ta steget till att utkontraktera it-drift, även i de fall det finns system och lösningar som av olika skäl inte kan migreras till publika moln- tjänster, t.ex. på grund av teknikskuld eller speciella krav på infor- mationssäkerhet.40_{Crown Hosting blev därmed ett viktigt komple-}

ment till regeringens Cloud First-policy. I dag använder bl.a. Depart- ment of Work and Pension, Home Office och Highways Agency tjänsterna.41

36_{Computer Weekly (2019b) G-Cloud 11 goes live with 4,200 suppliers securing a place on the}

framework; (2016) The Problem With G-Cloud; (2019c) Competitive threats: What the growth in new public sector cloud frameworks means for G-Cloud.

37_{Government Digital Services (2019b).} 38_{Storbritanniens regering (2010).} 39_{Storbritanniens regering (2011b).}

40_{Public Technology (2018) Crown Hosting CEO: We have taken away all the cloud excuses.} 41_{Storbritanniens regering (2019d).}

SOU 2021:1 Omvärldsanalys

5.6.4 Informations- och cybersäkerhet

I Storbritannien har Cabinet Office en samordnande roll inom it- säkerhet, även om varje departement ansvarar för it-säkerhet inom sitt eget sakområde. Cyber and Government Security Directorate (CGSD) är en del av Cabinet Office och rådgivande i samband med prioriteringar och strategisk inriktning för it-säkerhetsarbetet. CGSD samordnar det nationella cybersäkerhetsprogrammet (NCSP) och ansvarar för den nationella it-säkerhetsstrategin. National Cyber Security Center (NCSC) grundades år 2016 och är en del av under- rättelses- och säkerhetsorganisationen Government Communica- tions Headquarters (GCHQ). NCSC ger råd och vägledning och hanterar incidenter samt CERT-funktionen i Storbritannien. Bak- grunden till inrättandet av NCSC var en önskan om bättre samord- ning och entydig vägledning till myndigheterna i it-säkerhetsfrågor. Centret har nära samarbete med näringslivet och cirka 100 anställda sekonderade i näringsliv och offentlig sektor.

Storbritannien har i liten utsträckning lagstadgade krav på it- säkerhet annat än sådant som följer implementation av EU-direktiv och förordning. Regeringen har tagit fram en policy för informa- tionsklassificering (Government Security Classification Policy) som den offentliga förvaltningen är skyldig att följa. Policyn delar upp informationstillgångar i tre skyddsklasser (OFFICIAL, SECRET och TOP SECRET) med tillhörande krav på tekniska och organi- satoriska skyddsåtgärder. Vidare har NCSC tagit fram en vägledning för användning av molntjänster som baseras på följande 14 principer: 1. Säker dataöverföring (”Data in transit protection”); kundens data bör skyddas mot avlyssning och manipulation (konfidentialitet och integritet) genom en kombination av skydd av nätverk och kryptering.

2. Skydd av enheter för lagring och bearbetning av data (”Asset protection and resilience”); de enheter som lagrar och bearbetar kundens data bör skyddas mot fysisk manipulation, skada eller obehörig tillgång.

3. Separering av kunddata (”Separation between consumers”); kunders data bör separeras på så sätt att en kund inte kan manipulera eller få tillgång till en annan kunds data (konfidentialitet och integritet).

Omvärldsanalys SOU 2021:1

156

4. Ramverk för styrning av informationssäkerhet (”Governance framework”); Leverantören bör ha ett ramverk för styrning av informationssäkerhet.

5. Driftsäkerhet (”Operational security”); leverantören ska ha pro- cesser och procedurer för operativ säkerhet.

6. Screening av personal (”Personal security”); leverantörens personal bör ha genomgått screening och säkerhetsutbildning för sin roll. 7. Säker utveckling (”Secure development”); leverantörens tjänster bör utvecklas genom att hot och sårbarheter identifieras och åt- gärdas.

8. Säkerhet i försörjningskedjan (”Supply chain security”); leveran- törens försörjningskedja bör efterleva principerna och på det sätt leverantören kommunicerat.

9. Identifiering och autentisering av användare (”Identify and authen- tication”); tillgång till alla tjänstegränssnitt ska begränsas till autentiserade och auktoriserad användare.

10. Verktyg till kunder (”Secure consumer management”); kunder bör förses med verktyg för att säkert hantera sina tillgångar. 11. Säkerhet i tjänstens externa gränssnitt (”External interface pro-

tection”); Alla externa eller mindre betrodda gränssnitt i tjänsten ska identifieras och ha lämpligt skydd mot attacker.

12. Säker administration av tjänsten (”Secure service administration”); Verktyg och metoder leverantören använder för att admi- nistrera tjänsten ska härdas för att undvika att de utnyttjas. 13. Tillgång till revisionshistorik av tjänsten (”Audit information

provision to consumers”); Information från tidigare revisioner och granskningar av tjänsten ska finnas tillgängliga för kunden. 14. Kundens ansvar för sin egen säkerhet (”Secure use of the service

by the consumer”); Kunden har visst ansvar för att skydda sin egen data och för att motverka säkerhetsbrister genom eget handhavande. Leverantörer till den offentliga förvaltningen uppmanas att svara på hur de uppfyller dessa principer samt välja hur de kan valideras av upphandlande verksamheter. Det finns sex valideringssätt, däribland egen försäkran, försäkran genom avtal, samt tredje parts-validering.

SOU 2021:1 Omvärldsanalys

In document Säker och kostnadseffektiv it-drift (Page 151-157)