Bruke strategiske samarbeidspartnere og tilpasse tjenesteporteføljen (5A)

For å bidra til å adressere de utfordringene vi har pekt på innen Forsvarets IKT-virksomhet, har Cyberforsvaret identifisert strategisk samarbeid med sivile aktører som en tydelig strategi. Ved å overlate utvikling, forvaltning og drift av komplekse IKT-systemer til store og spesialiserte

255 Deloitte (2019).

256 Program MAST (2019): Program MAST: Militær Anvendelse av SkyTjenester. BEGRENSET.

257 Program MIME (2019): Program MIME. BEGRENSET.

IT-selskaper, håper Cyberforsvaret å gjøre seg nytte av både stordriftsfordelene og dybde-kompetansen disse besitter.²⁵⁸

Så langt har sektoren i stor grad selv beholdt styringen og driften av alle sine IKT-systemer.

Sektorens særskilte sikkerhetsbehov er trolig den viktigste årsaken til dette. I senere tid er det imidlertid blitt bredere enighet at å gjøre «alt» selv ikke nødvendigvis er det som gir høyest sikkerhet. Forsvaret er avhengige av å kunne utnytte den raske utviklingstakten innenfor den kommersielle forbrukerteknologien. En bedre strategi kan dermed være å drifte de tjenestene en har størst behov for å ha kontroll på selv og få hjelp av én eller flere strategiske partnere til å håndtere de øvrige tjenestene. I tillegg til økt sikkerhet kan sektoren ved hjelp av én eller flere strategiske partnere potensielt også få reduserte driftskostnader, økt tilgang til spisskompetanse, frigjøre ressurser til prioriterte områder og mer moderne IKT-tjenester. Det er selvfølgelig også risiko tilknyttet det å overlate så store deler av tjenesteporteføljen til eksterne, men med god risikostyring vil formodentlig fordelen ved strategisk samarbeid kunne oppveie de mulige ulempene.

Når man står overfor en beslutning om å overlate deler av Forsvarets virksomhet til sivile aktører er det imidlertid flere momenter enn de økonomiske og sikkerhetsmessige som må vurderes. Forsvarssjefens policy for vurdering av kjernevirksomhet gir nyttige retningslinjer for når en aktivitet kan og bør søkes gjennomført eksternt.²⁵⁹ I det dokumentet skilles det mellom kjernevirksomhet og tilretteleggende virksomhet. Kjernevirksomhet er «de aktiviteter som direkte bidrar til gjennomføring av styrkeoppbygging og militære operasjoner». Denne definisjonen er med vilje relativt vid og åpen for tolkning. Det var meningen at dokumentet skulle kunne være fleksibelt og tilpasses Forsvarets endrede behov. Bidrar IKT direkte til

«gjennomføring av styrkeoppbygging og militære operasjoner»? Er utvikling og drift av IKT-systemer en del av Forsvarets kjernevirksomhet? Cyberforsvaret og Forsvarsstaben har entydig konkludert med at det ikke er det.

I tillegg til vurderingen av hva som er kjernevirksomheten må en også vurdere et slikt grep opp mot hva som er lovlig i henhold til folkeretten. Cyberforsvaret og Forsvarsdepartementets juridiske tjenester har gjennomført innledende vurdering av dette, og har ikke avdekket temaer av folkerettslig art som skulle tilsi at strategisk samarbeid ikke er gjennomførbart innen IKT.

Med bakgrunn i dette forbereder sektoren seg nå på å finne en strategisk partner som skal kunne fungere som en såkalt tjenesteintegrator. Det vil si en partner som er tenkt skal håndtere interne og eksterne leverandører av IKT-tjenester og integrere dem til én IKT-organisasjon. Den utvalgte strategiske partneren er tenkt alene å fylle hele rollen som tjenesteintegrator.

Tjenesteintegratoren vil, gjennom avtaler, bli styrt av den gjenværende organisasjonen i Forsvaret, såkalt «Retained organisation». Figur 6.2 skisserer konseptet med en tjeneste-integrator, slik det er tenkt av Cyberforsvaret.²⁶⁰

258 Cyberforsvaret (2019): Tjenesteportefølje 2022 – Anbefalte gevinster. BEGRENSET.

259 Forsvaret (2013): Forsvarssjefens policy for kjernevirksomhet i Forsvaret.

260 Kampenes, Inge (2019): Presentasjon av STRATSAM for FFI 23.09.2019.

Figur 6.2 Tenkt samspill mellom bruker, Cyberforsvaret, tjenesteintegrator og andre leveran-dører. Kilde: Kampenes (2019).

Som en del av denne strategien har Cyberforsvaret gått gjennom de ulike tjenestene som tilbys i Forsvaret for å identifisere potensielle kvalitative og kvantitative gevinster som kan oppstå blant annet fra strategisk samarbeid med sivile og ved å avgrense tjenesteporteføljen. Denne analysen har Cyberforsvaret dokumentert i dokumentet «Tjenesteportefølje 2022 – Anbefalte gevinster».²⁶¹ Her baserer Cyberforsvaret seg blant annet på en forutgående dialog med en leverandørindustri om IKT-porteføljens arkitektur og mulige kostnadsgevinster ved å endre samhandlingsformene med sivile. Denne detaljerte analysen, med vedlegg, utgjør bakgrunnen og datagrunnlaget for dette gevinstområdet.

Det er betydelig overlapp mellom program MAST (Militær anvendelse av skytjenester) og innsatsen knyttet til å etablere strategiske samarbeid innen IKT. Cyberforsvarets visjon for MAST er blant annet at programmet skal fungere som et fundament for å drive digitaliseringen av Forsvaret, og at programmet skal gi Forsvaret en moderne sikker plattform med tjenester og verktøy, og således bidra til å understøtte og sikre operativ evne, raske beslutningsprosesser og intern effektivitet²⁶². Cyberforsvaret ønsker at programmet skal utnytte markedet slik at sektorens egne ansatte i større grad kan fokuseres inn mot oppgaver som bare kan løses av dem.

En vellykket gjennomføring av denne ambisiøse omstillingen avhenger blant annet av at aktørene i IKT-virksomheten får til et godt samarbeid med felles retning, som igjen avhenger av klar rolle-, ansvars- og oppgavedeling, samt god styring fra FD. Tradisjonelt har dette vært et område preget av uklare og forvirrende roller og myndighet. Cyberforsvaret peker selv på flere risikoer og usikkerhetsfaktorer i denne krevende omstillingsprosessen:

• Evnen til å gjennomføre de krevende prosessene med hensyn til personell og økonomi, samt redusere risiko for uønsket frafall av personell.

261 Cyberforsvaret (2019).

262 Kampenes (2019).

• Vilje og evne til å etablere sikkerhetsgodkjenningsprosesser som evner å følge den ambisiøse tidslinjalen for MAST/STRATSAM.

• Ledelsesforankring og styring av de krevende og komplekse endringsprosessene.

Disse usikkerhetsfaktorene bør adresseres tydelig i gevinstrealiseringsplanen, og følges opp på rett nivå i sektoren.

Cyberforsvarets analyse av potensialet knyttet til bruk av strategiske samarbeidspartnere tar utgangspunkt i de tre kategoriene IKT-tjenester Cyberforsvaret tilbyr:

1. Kommunikasjonstjenester: Inneholder kommunikasjonssystemer som overfører

informasjon både i kjernenettet og ulike aksess-systemer. Her er også tjenester og grense-snitt mot internett inkludert.

2. Basistjenester: Sikre plattformer, basisapplikasjoner og verktøy for kontortjeneste,

informasjonsbehandling og utveksling, forvaltningstøtte, felles informasjonsinfrastruktur og annet som typisk benyttes av alle eller svært mange brukere.

3. Operasjonstjenester: Tjenester som direkte understøtter planlegging og gjennomføring av militære operasjoner på strategisk, operasjonelt, taktisk og noen ganger ned på stridsteknisk nivå. Kategorien er avhengig av tjenester fra kommunikasjons- og basistjenester, men er som sluttjeneste tett knyttet til kjernevirksomheten.

6.1.1 Kommunikasjonstjenester

Under kommunikasjonstjenester har Cyberforsvaret kategorisert åtte forskjellige tjeneste-kategorier, og det er identifisert et gevinstpotensial innen tre av disse: «Datakommunikasjon»,

«Kurer og kryptoadministrasjon» og «Tilgang via radio».

Innen tjenestekategorien «Datakommunikasjon» er det i dag et høyt forbruk av årsverk knyttet til manuelle driftsoperasjoner. Modernisering av materiellet og automatisering av drift og konfigurasjon antas å kunne gi en innsparing på minimum 40 prosent innen 2022, både innenfor den interne driften som gjennomføres av Cyberforsvaret og det eksterne vedlikeholdet som gjennomføres i regi av FMA.

Tjenestekategorien «Kurer og kryptoadministrasjon» preges i dag av manuelle rutiner og fysisk flytting av materiell, som har et stort potensial for forenkling, modernisering og automatisering.

Cyberforsvaret legger til grunn en kostnadsreduksjon på om lag 30 prosent innen dette området.

Tjenestekategorien «Tilgang via radio» bærer i dag preg av mange overlappende tjenester, og krever betydelig modernisering og tilpasning til grenenes behov for bildebygging, planlegging og gjennomføring av operasjoner samt en ny radioplan for Forsvaret. Det er anslått et gevinst-potensial på om lag 20 prosent her.

6.1.2 Basistjenester

Under basistjenester har Cyberforsvaret kategorisert 14 forskjellige tjenestekategorier, og Cyberforsvaret har identifisert gevinstpotensial innen 9 av disse. I denne rapporten inkluderer vi kun beregnet gevinstpotensial innen 3 av tjenestekategoriene, da det er uklart for oss hvordan gevinstpotensialet i de øvrige tjenestekategoriene er beregnet. Dersom beregningsgrunnlaget på et senere tidspunkt skulle bli tydeliggjort, bør gevinstestimatet for denne kategorien revideres.

Innen tjenestekategorien «Høygradert plattform» har det vært utfordringer med å holde plattformene sikkerhetsgradert, som videre har hemmet utviklingen av moderne tjenester på plattformen. Cyberforsvaret anbefaler derfor en konsolidering av gamle plattformer, som antas å realisere en gevinst tilsvarende 30 prosent av anvendte årsverk og 30 prosent av eksterne vedlikeholdskostnader i regi av FMA.

Driften av de eksisterende plattformer og applikasjoner som faller inn under tjenestekategorien

«Sikker ugradert plattform» bærer ifølge Cyberforsvaret preg av svært høye drifts- og forvaltningskostnader. Det antas at det gjennom en konsolidering av gamle plattformer vil være mulig å realisere en gevinst tilsvarende 30 prosent av anvendte årsverk og tilsvarende 30 prosent av eksterne vedlikeholdskostnader i regi av FMA.

Innen tjenesten «Forvaltning» brukes 105 millioner kroner årlig til innleie av eksterne konsulenter for opprettholdelse av drift og forvaltning. Dette tilsvarer 36,4 årsverk. En slik jevn bruk av konsulenter er naturligvis uøkonomisk i lengden. Dersom oppgavene og ansvaret disse utøver ivaretas av fast ansatte av en strategisk samarbeidspartner, anslår Cyberforsvaret at samlet årsverkskostnad vil utgjøre 34,2 millioner kroner. Dette vil dermed kunne gi en besparelse på 70,9 millioner kroner.

6.1.3 Operasjonstjenester

Under operasjonstjenester har Cyberforsvaret kategorisert ti forskjellige tjenestekategorier, og identifisert et mulig gevinstpotensial innen to av disse. Det er imidlertid uklart for FFI hvordan gevinstpotensialet er beregnet. Vi velger derfor ikke å inkludere disse beregningene i denne rapporten. Dersom beregningsgrunnlaget på et senere tidspunkt skulle bli tydeliggjort, bør gevinstestimatet for denne kategorien revideres.

For å kunne realisere det anslåtte gevinstpotensialet har Cyberforsvaret listet opp en lang rekke konkrete tiltak. Denne listen, med i overkant av 30 aksjonspunkter, har fordelt oppfølgings-ansvar til ulike aktører i sektoren. Av graderingshensyn vil vi ikke gjengi disse i detalj her. En stor del av dette handler om å etablere et strategisk samarbeid med en ekstern aktør. Men en betydelig andel av tiltakene og gevinstene handler også om å utfase materiell som ikke lenger er i bruk, flytte tjenestene over på et mer formalisert avtaleregime og gå gjennom og revidere ressursbruken i hele porteføljen. Disse tiltakene henger sammen og støtter opp under hverandre.

6.1.4 Gevinstpotensial

FFI har i liten grad har hatt mulighet til å kvalitetssikre de gevinstberegningene Cyberforsvaret har gjennomført. Cyberforsvaret har gjennomført en plan- og designkonkurranse hvor de har invitert leverandørindustrien til både å beskrive løsninger og potensielle virkninger av strategisk samarbeid. I tillegg har de gjennomført interne analyser av kostnader og besparelsespotensialer.

Dette bidrar til at Cyberforsvarets gevinstberegninger fremstår som grundige, gjennomarbeidede og balanserte. Vi fester derfor lit til dem, og inkluderer dem i våre anbefalinger her.

Noe av gevinstpotensialet Cyberforsvaret peker på har vi likevel valgt ikke å inkludere i denne rapporten. Dette er enten fordi beregningsmåten ikke er vist eller fordi det er uklart for oss om gevinsten gjelder for hele sektoren eller det kun er en gevinst for Cyberforsvaret (kostnadsoverføring).

Likevel gjenstår det noen usikkerheter knyttet til gevinstpotensialet. For det første har ikke FFI rukket å kvalitetssikre detaljene i beregningen. For det andre vurderer FFI Cyberforsvarets fremdriftsplan som ambisiøs og stram. Med hensyn til det strategiske samarbeidet er det også usikkerhetsfaktorer knyttet til markedet og hvilke priser Forsvaret vil tilbys. Oss bekjent er det heller ikke blitt gjort en reell vurdering av nødvendige omstillings- og investeringskostnader knyttet til gevinstområdene. Det siste gjenstår som en usikkerhet som må adresseres tidlig i arbeidet med gevinstrealiseringsplaner i Cyberforsvaret.

I tabell 6.1 er de øvre gevinstestimatene for hhv. Kommunikasjonstjenester og basistjenester (90 og 190 MNOK) basert på Cyberforsvarets beregninger.

Gevinstområde

Tabell 6.1 Gevinstestimat ved bruk av strategiske samarbeidspartnere og avgrensing av tjenesteporteføljen, alle tall i millioner 2018-kroner.

Cyberforsvarets egne estimater på gevinster fra dette området er på 439 millioner kroner.

Dersom FFI får et bedre grep om gevinstberegningene, vil gapet mellom disse beregningene kunne minske.

Cyberforsvaret tror at dette gevinstområdet vil frigjøre midler på investeringsbudsjettet også.

Strategiske samarbeidspartnere vil ha bedre forutsetninger enn FMA og Forsvaret til å kravsette, designe og utvikle IKT-systemene, og dermed bruke mindre ressurser. En slik potensiell besparelse er ikke tallfestet i denne rapporten, men fremstår likevel som en viktig gevinst å følge opp i perioden 2021–2024.