Den digitale tjenesteutviklingen gir alltid en grad av teknisk gjeld som øker med tid og kompleksitet Dette gir samfunnet et kontinuerlig økende vedlikeholdsetterslep. Den raskest voksende trusselen med dårlig vedlikehold er økende cybersikkerhets-gjeld.
Hva betyr dette for innbyggere og virksomheter, og hva betyr det for oss som tjenestetilbydere? Og hva har det å si for samfunnssikkerheten?
Digitalt vedlikehold, drift og forvaltning kan gjerne sammenlignes med inndekning av vedlikeholdsbehov for annen infrastruktur som for eksempel strømnett, veier eller broer.
Digital tjenesteutvikling innehar alltid to livsfaser. Utviklingsfasen og driftsfasen. Teknisk gjeld starter å løpe fra den dagen en tjeneste blir tilgjengelige for brukerne. På samme måte som et banklån. Og hvis «rentene» ikke blir håndtert i form av kontinuerlig vedlikehold, vil kostnadene akkumuleres på samme måte som for et banklån. Alle digitale tjenester har teknisk gjeld i større eller mindre grad.
Teknisk gjeld har mange definisjoner siden begrepet er abstrakt og metaforisk, men fra et praktisk perspektiv oppstår teknisk gjeld som en konsekvens av ulike årsaker som for eksempel lite optimale beslutninger tatt i utviklingen av en digital tjeneste, komponentavhengigheter, sårbarheter, og endrede brukerkrav.
Eksempel på sårbarhet
Som et eksempel på sårbarheten og komponentavhengighet er Log4j-hendelsen i desember 2021 et godt eksempel. Problemet oppsto på grunn av eksterne komponenter som var brukt hos veldig mange tjenesteutviklere i hele verden, hadde et sikkerhetshull som kunne utnyttes. Men før alarmen gikk over hele verden – var det ingen som visste at det var en sårbarhet i denne komponenten. Sånn sett var det en stor akkumulert teknisk gjeld, uten at det hadde vært mulig og avdekt sårbarheten.
Den vanligste måten å betrakte teknisk gjeld på er at det blir tatt beslutninger i utvikling av en tjeneste der man vet at man tar på seg teknisk gjeld. Dette kan ha årsak i flere behov, men det kan typisk være press på tid eller budsjett som gjør at tjenestene blir konstruert med teknisk gjeld. Og det kan også være fornuftig i gitt tilfeller, som det også kan være i å ta opp et banklån. Men rentene må betales.
De digitale sikkerhetstruslene er økende som følge av geopolitiske årsaker. Trussel-aktørene blir mer sofistikerte og innovative og at det kan ligge store økonomiske gevinster i form av digital utpressing. Dette har dessverre flere virksomheter i Norge hatt erfaring med. De største og mest profesjonelle trussel-aktørene opptrer som «vanlige» virksomheter med faste arbeidstider og arbeidskontrakter for de ansatte – og det kriminelle markedet er sterkt økende.
Teknisk gjeld kan være ødeleggende
Det har derfor blitt mer vanlig å skille teknisk gjeld fra cybersikkerhets gjeld. Hvor teknisk gjeld kan føre til større eller mindre driftsavvik hos en virksomhet, mens sikkerhetsgjeld kan være helt ødeleggende. Et alvorlig løsepengeangrep kan i verste fall være slutten på virksomheten.
Brukerne mister tilgang til de tjenester man er vant til å bruke, eller at innholdet i tjenestene ikke lengre er til å stole på. I et verste falls scenario vil et større cyberangrep slå ut flere aktører samtidig og at vi går inn i en alvorlig digital nasjonal krise.
Så hva gjøres for å forhindre at vi kommer dit?
Hver virksomhet som utvikler og tilbyr digitale tjenester har at ansvar for å redusere og håndtere teknisk gjeld, men især sikkerhetsgjeld. Gode rutiner og styresett gjør at tjenester som utvikles har en kontrollert gjeldsandel og at det er realistiske planer for hvordan «rentene» skal betales når tjenestene er i produksjon.
I privat og offentlig sektor er mange av virksomhetene med mye digital tjenesteutvikling i ferd med å endre arbeidsmetodikk fra et prosjekt- og utviklingsfokus, til et mer produktorientert og livsløpsfokus. Dette gir nye og bedre muligheter til å balansere utvikling mot drift, forvaltning og vedlikehold. Beste praksis tilsier også at det blir mer effektivt enn den tradisjonelle måten å utvikle digitale tjenester på.
Mange tjenestetilbydere benytter også felles skyløsninger der det er et samarbeid mellom kunde og leverandør på håndtering av både teknisk- og sikkerhetsgjeld. Eller det vi benevner som drift, forvaltning og vedlikehold.
Forståelsen av hva teknisk- og sikkerhetsgjeld er og hva det betyr, oppleves som forbedret og at kompetansen øker på alle nivåer. Som en offentlig etat har vi samarbeidet godt med vårt eierdepartement – Nærings- og fiskeridepartementet, med disse utfordringene.
For hva handler dette om?
Våre erfaring er at det praktisk sett handler om budsjetter og kostnader.
En tommelfingerregel eller sjablongregel er at vedlikeholds kosten er mellom 10 og 20 prosent årlig av kostnadene for å utvikle tjenesten. Det vil si at hvis det er brukt 100.000 kr for å utvikle en tjeneste, koster det mellom 10.000 og 20.000 å vedlikeholde tjenesten per år. Hvis livsløpet for en tjenester er 15 år vil vedlikeholdskostnadene for tjenesten da bli på mellom 150.000 og 200.000 totalt sett. Altså inntil en fordobling av hva det kostet å lage tjenesten.
I offentlig sektor tror vi mange ønsker – selv om vi ser at det er stor utfordring – at vi kan ha en felles modell og prosess for budsjettering av drift, forvaltning og vedlikehold av en tjeneste. Vi ser det kan være utfordrende, men det er helt nødvendig å se tjenestene i et livsløpsperspektiv. Derfor vil den pågående endringen mot produktorientering nettopp kunne håndtere dette på en bedre måte. Men det betyr også at økonomireglement og budsjettprosesser må endres. Dette vet vi er pågående aktiviteter i offentlig sektor.
Svakhet i offentlige finansieringsprosesser
Mange, deriblant Nav-direktøren, har uttalt seg om behov for endring av finansieringsprosessene i offentlig sektor, og mange gode tiltak har vært foreslått. Kanskje er tiden nå inne med de pågående endringene, og få utviklet bedre generelle rammer for digital tjenesteutvikling?
En slik endring vill ha ført til mer samarbeid på tvers og forenklet statens budsjettprosesser. Og ikke minst ville det ha gitt alle like muligheter til å håndtere teknisk- og sikkerhets-gjeld på en god måte. Det ville også være transparent mellom alle aktører. Skal vi gå så langt at vi til og med både krever, og støtter hverandre i håndtering av sikkerhetsgjeld og sårbarheter?
Privat og offentlig sektor har mange gjensidige avhengigheter til hverandre, og verdikjedene er komplekse. Det er virksomheter og innbyggere som blir skadelidende med dårlig digitalt vedlikehold, på samme måte som dårlig vedlikehold av veier, strømnett, vann og avløp. Derfor må utvikling og drift, forvaltning og vedlikehold gå hånd i hånd.
Uten livsløpsfinansiering av en tjeneste er det enkelt å kutte nødvendig vedlikehold. Et slikt etterslep er ofte ikke synlig for brukerne. Blir vi angrepet av et løsepengevirus synes det svært godt, og da er det ofte for sent!