It-leverandør: Den offentlige sektor er stavnsbundet til big tech. Det udgør en sikkerhedstrussel

Anden fase – eller erkendelse – er vi i gang med at nå frem til nu, hvor det er begyndt at gå op for selv de mest forhærdede, at stavnsbindingen til big tech udgør en ikke ubetydelig sikkerhedstrussel.

Det handler om beskyttelsen af vores kritiske data og infrastruktur, og det handler også om, at der nu på helt surrealistisk vis er en reel risiko for, at stikket bliver trukket, hvis de politiske spændinger mellem USA og Danmark eskalerer.

Disse to erkendelser har nu langt om længe betydet, at man fra politisk hold ønsker at tage styringen af vores digitale infrastruktur tilbage.

Dette ønske blev understreget, da Folketingets udvalg for Digitalisering og IT havde indkaldt til en høring 8. maj om Danmarks Digitale Suverænitet.

En høring, hvor jeg selv deltog som en af paneldeltagerne.

Microsoft har de facto monopol på det danske marked, hvor den offentlige sektor stort set har lagt hele sin digitale infrastruktur i hænderne på den amerikanske leverandør.

Morten Kjærsgaard
Stifter, Magenta

Den tredje erkendelse

Hvilke svar der kom ved denne høring, vender jeg tilbage til. For selvom det er glædeligt, at det politiske niveau har indset, at vi har et alvorligt problem, så bliver vi nødt til at komme op i tempo.

Der er stadig alt for meget hoppen på stedet med henvisning til, at nogle andre (eksempelvis EU) først skal stå klar med en løsning, vi kan logge på.

Det bliver godt hjulpet på vej af nogle af de største danske leverandører til den offentlige sektor, som advarer imod at klippe forbindelserne til blandt andet Microsoft, da det angiveligt skulle være skadeligt for vores innovationsevne og så videre.

Det er vel at mærke leverandører, hvis løsninger i vid udstrækning bygger på Microsofts platforme.

Om det er disse advarsler, der er årsagen, er ikke til at sige, men ikke desto mindre er det bemærkelsesværdigt at iagttage den store uoverensstemmelse, der er imellem det nye politiske erkendelsesniveau – både af de økonomiske og sikkerhedsmæssige konsekvenser – og hvordan udviklingen af vores digitale infrastruktur fortsat håndteres.

For der går sjældent en dag uden en nyhed om, at der efter et udbud er blevet valgt en big tech-løsning.

Derfor har vi brug for en tredje erkendelse.

En erkendelse af, at hvis vi skal opnå den nødvendige kontrol, undgå de eksploderende it-udgifter og ikke længere eksponere os for en stor sikkerhedstrussel, så skal vi begynde helt nede på det administrative og bureaukratiske niveau. Nærmere bestemt i indkøbsafdelingen og måden, vi griber vurderingen af kandidaterne i udbudsrunder an.

Erkendelsen er der – men kursen er uændret

Den måde, vi i Danmark griber offentlige udbud an, er løbende til debat. Hvad skal vægtes? Gennem årene har dette ført til mindre justeringer.

Men hvis vi skal tackle de udfordringer, som vi med den anden erkendelse har opdaget, skal vi have endnu en erkendelse, en tredje, og den skal føre til en større revolution af vores håndtering af offentlige udbud.

Vi skal have tilføjet endnu et kriterium. Et kriterium, der bliver indført fra øverste politiske beslutningsniveau. 

Når vi køber løsninger af big tech, er det de store virksomheder, der ultimativt ”ejer” den såkaldte kildekode, og de bestemmer også, hvor data er placeret.  

Morten Kjærsgaard
Stifter, Magenta

For den omstilling, vi har brug for, kan ikke deponeres uden politisk mandat på skrivebordene hos de enkelte medarbejdere, der skal håndtere indkøb via udbud.

På det praktiske og operationelle niveau kan man ikke bruge forkromede hensigtserklæringer og store visioner til noget.

Den omstilling, vi skal igennem, er for omfattende til, at ansvaret kan lægges hos den enkelte.

Digital suverænitet

Det, der fremover bør vægtes på linje med pris og kvalitet, skal være Danmarks digitale suverænitet. Konkret betyder det, at vi selv skal eje vores løsninger, og at vi selv skal have kontrol over, hvor data er placeret og hvem, der har adgang til data.

Det har vi nemlig ikke i dag.

Når vi køber løsninger af big tech, er det de store virksomheder, der ultimativt ”ejer” den såkaldte kildekode, og de bestemmer også, hvor data er placeret.

Det betyder, at vi er afhængige af dem, hvis der er brug for at udvikle eller ændre en service, vi benytter.

Den tredje erkendelse vil være et stort skridt, for det betyder, at vi skal i gang med at erstatte alle eksisterende løsninger, som big tech er leverandører af. Det har de offentlige beslutningstagere – på administrativt såvel som politisk niveau - indtil videre afvist.

Argumentet er, at det vil være for dyrt og svært, og man har i stedet valgt at forny aftalerne. Gang på gang på gang. Men det er faktisk muligt at opnå en ret stærk digital suverænitet.

Tyskland er i fuld gang, og delstaten Slesvig-Holsten er næsten i mål og høster allerede nu både økonomiske og innovative fordele.

Ved høringen den 8. maj deltog delstatens digitaliseringsminister Dirk Schrödter og forklarede, hvordan de har grebet det an. Senest har det tyske forsvar – bare som en kontrast til det danske – valgt at benytte sig af en open source-løsning, der giver 100 procent ejerskab.

Vi bliver også nødt at flytte vores data til en sikker havn. Når vi bruger amerikansk big tech, ligger vores data i en sky, som de ejer, og som den amerikanske regering i sidste instans kontrollerer.

Når vi bruger amerikansk big tech, ligger vores data i en sky, som de ejer, og som den amerikanske regering i sidste instans kontrollerer.

Morten Kjærsgaard
Stifter, Magenta

Amerikansk lovgivning betyder, at eksempelvis danske sundhedsdata kan blive beslaglagt af de amerikanske myndigheder. I EU har man forsøgt sig med aftaler, der skal modvirke dette, men ingen aftale kan stille noget op imod Homeland Security.

Derfor skal Europe First være et kriterium, der vægtes i udbud.

Ikke nok med høring – nu skal der lyttes

Listen over elementer, der indgår i 100 procent digital suverænitet er længere, men meningen burde være klar: Vi skal have en radikalt anderledes praksis. Det er bydende nødvendigt.

Vi kan ikke blive ved med at forlænge med brædder eller forsøge os med fodnoter i de kontrakter, vi underskriver med big tech. Vi skal have en ny udbudslov, så big tech-kontrakternes åbenlyse mangler diskvalificerer dem allerede i de indledende runder.

Og det var det svar – i forskellige formuleringer – som aktører i både sal og panel gav ved høringen, og som de politiske beslutningstagere forhåbentlig vil lytte til:

De danske og europæiske it-virksomheder er klar til at udvikle og levere. Det er efterspørgslen og dermed markedet, vi venter på.