Midtnorsk Helikoptertransport (Heliwing Helikopter AS)
Midtnorsk Helikoptertransport Et Heliwing produkt
Kart over masteposisjoner — skjermingsverdig informasjon etter sikkerhetsloven
Kart over masteposisjoner — skjermingsverdig informasjon etter sikkerhetsloven
⚠ ALARM · Sikkerhet og datasuverenitet

Microsoft Azure tilfredsstiller ikke sikkerhetsloven — nettselskaper bør slå alarm

Skjermingsverdig informasjon om norsk kraftinfrastruktur havner i en amerikansk sky som ikke oppfyller kravene i sikkerhetsloven. Det kan koste dyrt — bokstavelig talt, med dagbøter.

Publisert · Av John-Erik Sogn, Heliwing

Kart over masteposisjoner og linjetraséer i et norsk strømnett — skjermingsverdige nettdata etter sikkerhetsloven
Samlet oversikt over masteposisjoner og linjetraséer tegner et kart over kritisk infrastruktur — nettopp den typen informasjon sikkerhetsloven er laget for å skjerme. Skjermbildet (fra Strøm.app) er et tilfeldig valgt eksempel og innebærer ikke at denne saken er spesielt relevant for nettselskapet Linja AS.

Dagens uforutsigbare internasjonale situasjon gjør skjerming av informasjon om kritisk infrastruktur mer aktuell enn noen gang. Likevel lagrer en rekke norske nettselskaper sensitive nettdata i Microsoft Azure — en sky som etter mitt syn ikke oppfyller sikkerhetslovens krav.

Sikkerhetsloven og NSM: hva loven krever av nettselskaper

Sikkerhetsloven forvaltes av Nasjonal sikkerhetsmyndighet (NSM) og skal beskytte skjermingsverdige verdier — informasjon, informasjonssystemer, objekter og infrastruktur som er av betydning for grunnleggende nasjonale funksjoner. Kraftforsyning er en slik funksjon. Det betyr at kritisk infrastruktur i kraftbransjen kan inneholde elementer som er skjermingsverdige etter loven.

Loven stiller blant annet strenge krav til kryptering, lagring og behandling av skjermingsverdig informasjon. Sikkerhetsgradert informasjon skal behandles i informasjonssystemer som er godkjent for formålet, og kryptoløsninger skal være godkjent av NSM. Ved avvik kan myndighetene gi pålegg — og bruke tvangsmulkt, det vil si løpende dagbøter — inntil forholdet er rettet.

Kjernen i alarmen: Informasjon som samlet beskriver norsk kraftinfrastruktur — for eksempel masteposisjoner og linjetraséer hos nettselskaper — kan være gjenstand for skjerming. Lagres slik informasjon i Microsoft Azure, kan både lagringen og behandlingsprogrammene være i strid med sikkerhetsloven.

Når masteposisjoner blir skjermingsverdig informasjon

En enkelt mast er ikke en hemmelighet. Men en komplett, samlet oversikt over alle master, traséer, koblingspunkter og svake ledd i et nett tegner et detaljert kart over kritisk infrastruktur. Aggregert informasjon kan ha en helt annen skjermingsverdi enn de enkelte bitene hver for seg. Det er nettopp denne sammenstillingen sikkerhetsloven er ment å beskytte — og det er denne typen datasett som i økende grad samles inn, blant annet gjennom helikopterbasert linjebefaring.

Hvorfor Microsoft Azure bryter med sikkerhetslovens krav

Jeg ledet på 90-tallet en av Norges største kanaler for volumavtaler på Microsoft, og kjenner selskapet godt fra innsiden. Det er nettopp derfor jeg advarer: problemet er ikke at Microsoft leverer dårlig teknologi — det gjør de ikke. Problemet er jurisdiksjon og kontroll.

Microsoft er etablert i USA og er underlagt amerikansk lovgivning, blant annet CLOUD Act. Den gir amerikanske myndigheter hjemmel til å kreve utlevering av data fra amerikanske selskaper — uavhengig av om dataene fysisk ligger på en server i Norge eller EU. En «norsk» Azure-region endrer ikke hvem som til syvende og sist har juridisk kontroll over dataene.

For skjermingsverdig informasjon er dette avgjørende. Du kan ikke samtidig oppfylle sikkerhetslovens krav om norsk kontroll og lagre dataene i en infrastruktur der en fremmed stat har lovhjemmel til innsyn. Azure tilfredsstiller derfor etter mitt syn ikke sikkerhetslovens krav til lagring av slike data — likevel er det nettopp dette en rekke selskaper bruker.

Skjermingsverdige data må lagres fysisk i Norge

Et helt sentralt poeng er hvor dataene fysisk ligger. For skjermingsverdig informasjon skal den fysiske lagringen skje på en geografisk lokasjon som muliggjør nasjonal kontroll — det vil i praksis si i Norge. Uten norsk lokasjon er det heller ingen reell mulighet for norske myndigheter til å håndheve kontroll over dataene.

Microsoft Azure lagrer ikke disse dataene i Norge. Dermed faller selve grunnforutsetningen for å oppfylle sikkerhetsloven bort — uavhengig av hvor god krypteringen eller teknologien ellers måtte være.

Fysisk lokasjon er ikke en detalj — det er et krav: Skjermingsverdige data skal lagres på en geografisk lokasjon som muliggjør nasjonal kontroll, altså i Norge. Lagres de utenfor landet, slik som i Microsoft Azure, er kravet etter mitt syn ikke oppfylt.

Behandlingsprogrammene for linjebefaring må også godkjennes

Mange tenker kun på hvor dataene lagres. Men sikkerhetsloven gjelder også behandlingen. Dersom dataene fra en linjebefaring er skjermingsverdige, må også behandlingsprogrammene — verktøyene som analyserer, lagrer og presenterer befaringsdataene — være godkjent for formålet. Et analyseverktøy som kjører som en tjeneste i Azure arver de samme jurisdiksjonsproblemene som lagringen.

Tre advarsler til nettselskaper som bruker Microsoft Azure:
  1. Dataene lagres ikke fysisk i Norge. Skjermingsverdig informasjon skal lagres på en lokasjon som muliggjør nasjonal kontroll — i Norge. Azure gjør ikke det.
  2. Skytjenesten tilfredsstiller ikke sikkerhetsloven for lagring av skjermingsverdig informasjon — også på grunn av amerikansk jurisdiksjon over dataene.
  3. Behandlingsprogrammene for linjebefaring må også godkjennes dersom dataene er skjermingsverdige — det holder ikke å «flytte serveren til Norge».

Azure-innlåsing: populært i dag, farlig dyrt over tid

Microsoft Azure er et populært produkt. Men over tid kan det bli farlig dyrt. Azure er et proprietært system som «låser» kunden til en lukket arkitektur — vanskelig og kostbart å komme seg ut av igjen. Brukerterskelen er høy, og driften krever som regel støtte fra egen IT-avdeling og/eller et eksternt IT-byrå.

Dette er helt i tråd med Microsofts grunnleggende filosofi: del ut billig — lås inn — utvid funksjoner — og åpne for utstrakt bruk av kostbare eksterne konsulenter og IT-byråer.

Det vi ser med Azure, er kanalstrategien til Microsoft som slår til igjen — akkurat som på 90-tallet og senere: få alle over på et lukket, proprietært system de aldri kommer seg ut av, men som leverandøren tjener godt på. Alt styrt av Microsoft i USA.

Slik fungerer maskineriet: Azure «pøses» ut i markedet av IT-bedriftene Microsoft har «autorisert» som Azure-partnere — og det tjener de rått på. Taperne er små og mellomstore bedrifter uten egen IT-avdeling: lav inngangsterskel lokker, bedriften låses inn, kostnadene øker med tiden, og det finnes ingen reell vei ut. Og kjernen i det hele: ingen nasjonal kontroll på datasikkerheten.

Våkne!

Europa har allerede våknet: Danmark og Tyskland forlater Microsoft

Dette er ikke en fjern teori. Flere europeiske myndigheter har allerede begynt å koble seg av Microsoft — av nøyaktig de samme grunnene jeg advarer om her: digital suverenitet, kostnader og CLOUD Act.

Danmark: Digitaliseringsministeriet, ledet av digitaliseringsminister Caroline Stage Olsen, byttet i 2025 ut Microsoft Office 365 med åpen kildekode (LibreOffice), og går mot Linux. Begrunnelsen er uttalt: å redusere avhengigheten av utenlandsk teknologi og gjenvinne kontroll over egne data.

Kommunene følger etter: Både København og Aarhus faser ut Microsoft. Danske kommuners utgifter til proprietær programvare steg kraftig — i København opp mot 72 % på fem år — samlet fra 313 til 538 millioner kroner mellom 2018 og 2023. I Aarhus ble driftskostnadene kuttet fra rundt 800 000 til om lag 225 000 kroner i året etter byttet.

Tyskland: Delstaten Schleswig-Holstein flytter rundt 30 000 arbeidsstasjoner fra Microsoft til åpen kildekode, og venter å spare titalls millioner euro over tid.

Når hele statsapparater og storbyer i nabolandene flytter ut av Microsoft av suverenitetshensyn — hvorfor skal da de mest sensitive dataene om norsk kraftinfrastruktur ligge i Microsoft Azure?

Sikkerhetsloven og Azure: hva nettselskaper bør gjøre nå

  • Gjør en verdivurdering: Er masteposisjoner, traséer og befaringsdata samlet sett skjermingsverdige? Ta spørsmålet til NSM dersom dere er i tvil.
  • Kartlegg hvor dataene faktisk ligger fysisk, og krev lagring i Norge på en lokasjon som muliggjør nasjonal kontroll — ikke bare hvilken «region» som er valgt.
  • Vurder behandlingsprogrammene, ikke bare lagringen — hele kjeden må holde.
  • Velg løsninger med reell norsk kontroll for det som er skjermingsverdig.

Den internasjonale situasjonen er uforutsigbar, og hvilken nasjonal lovgivning som gjelder i landet der leverandøren er etablert, bør ringe noen bjeller hos norske nettselskaper som i dag bygger på Microsoft Azure. Hos Midtnorsk Helikoptertransport leverer vi helikopterbasert linjebefaring — og vi mener data om norsk kraftinfrastruktur hører hjemme under norsk kontroll.

Tilsvar: Dette er et debatt- og meningsinnlegg. Påstandene gjengir forfatterens vurderinger og bransjeerfaring, og er ment å reise et viktig spørsmål — ikke å felle en endelig juridisk dom. Microsoft og berørte parter er velkomne til samtidig imøtegåelse, og vi publiserer gjerne tilsvar. Kontakt: salg@heliwing.no.
Kilder
  • Lov om nasjonal sikkerhet (sikkerhetsloven) — Lovdata
  • Nasjonal sikkerhetsmyndighet (NSM) — nsm.no
  • NSM — Grunnprinsipper for IKT-sikkerhet og veiledning til sikkerhetsloven — nsm.no/regelverk
  • U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) — congress.gov
  • Danmarks Digitaliseringsministerium dropper Microsoft Office — The Record / Computing
  • København og Aarhus velger åpen kildekode — EU Open Source Observatory
  • Schleswig-Holstein forlater Microsoft (30 000 arbeidsstasjoner) — VARINDIA
← Tilbake til bloggen