En av de stora drivkrafterna bakom en samordnad statlig it-drift är bilden av att det finns stora pengar att tjäna på det. Baserat på uppgifter från de myndigheter som har redovisat dem till ESV uppskattar man kostnaden för IT inom statliga myndigheter till att ligga ganska stabilt på ca 25-30 miljarder kronor per år.
Det låter förstås som rätt mycket pengar att göra besparingar i med en samordnad statlig molntjänst. Det hörs ju på ordet att samordnat är bra. Effektivt. Rationellt. Men är det nödvändigtvis något av det? Jag har många frågor här.
Hur stor del av dessa 25-30 miljarder är det egentligen som hamnar i myndigheternas datacenter? Blir kostnaden självklart mindre om man samordnar dessa till större enheter? Vad av det som finns i myndigheternas datacenter kan en statlig molntjänst realistiskt ersätta? Vilken rationalisering innebär det egentligen att flytta tjänsten till en statlig molntjänst?
Ekonomistyrningsverket har granskat svenska myndigheters it-kostnader och redovisat i delrapporten 2017:77, om Myndigheters strategiska it-projekt och it-kostnader.
Det är svårt att se att det finns något stöd för ett tydligt samband mellan större verksamhet och lägre IT-kostnader. Det ut som att det finns en potential för att komma ned i IT-kostnader på ca 5% av verksamhetskostnaden och att det för mindre verksamheter är svårare, men inte omöjligt, att uppnå detta. Vid verksamhetskostnader på ca 3 miljarder upphör alla sådana trender och kostnaden ligger fast på drygt 5%, oavsett storlek. Att ur det här läsa att det finns stor potential för besparingar genom att slå ihop denna it-drift till ett fåtal nationella driftställen kräver en del fantasi.
Vad beror det på? Jo, att samla ihop it-drift till stora center är effektiviserande ur vissa perspektiv, men samtidigt kostnadsdrivande ur andra. Såväl risk för vissa typer av störningar ökar, som konsekvensen som uppstår om de inträffar, och det är dyrt att kompensera för det.
På KTH hade vi serverhallar med fönster. Gallerförsedda, men dock, fönster ut mot gatan. Verksamheten var till stor del mer eller mindre publik, ganska lite av den var kontroversiell. De mer konkreta hoten riktade mot KTH var DDOS-attacker för att någon var sur över något, sällan särskilt lyckosamma eftersom KTH har bättre nätverk än de flesta angripare, eller inbrott för att stjäla saker. En påtaglig risk som vi ofta pratade om var snarare att någon kapade it-resurser på KTH för att angripa någon annan.
Så skulle vi börja använda oss av molntjänster och fick resa för att göra studiebesök på ett datacenter som var en del av Microsoft Azure. De hade stridsvagnshinder utanför sina serverhallar, en helt annan säkerhetsapparat inuti. Plötsligt blev helt andra frågeställningar relevanta: Hur stor är risken för att någon får för sig att krascha en Airbus i vårt datacenter? Inte för att de vill åt KTH, utan Microsoft, USA eller någon annan kund i Azure som vi delar resurser med.
Samma fenomen uppstår när vi samlar många myndigheter i samma datacenter och det driver kostnader. I slutänden var knappast användande av molntjänster en fråga om att spara pengar för KTH, utan vilka andra möjligheter som de gav. Men som jag konstaterat förut är det inga sådana nya möjligheter som ges med den statliga molntjänst som diskuteras.
Här i Sverige menar Statens servicecenter i sin rapport, En gemensam statlig molntjänst för myndigheternas it-drift, att det står bergrum och väntar runt om i landet. Jag har ingen aning om vilka fortifikationer vi har, men det är rätt stora anläggningar som krävs och som ska förses med både el och kyla så att det räcker, och helst ska spillvärmen gå att använda till något vettigt. Jag förhåller mig nog försiktigt skeptisk till att det här går att realisera med liten ekonomisk insats.
Men det finns även gott om andra faktorer som gör att kostnader ökar när man samlar ihop it-system. Många verksamheter kan t.ex. samordna sig vid tillfällen system behöver underhållas. Man kommer överens om att på torsdag eftermiddag stänger vi av för systemunderhåll. Samordnar vi för många verksamheter kan vi inte längre använda underhållsfönster på det här viset. Det driver kostnader.
I mindre verksamheter är totalhaverier ofta hanterbara. Systemet kanske är borta någon dag medan man lagar det. Det händer sällan med modern hårdvara och rimlig livscykelhantering och den störning det innebär är för många inte värd den investering som krävs för att minska den risken. Andra verksamheter har inte den lyxen utan har system som kräver 24/7 året om. Sådana system kräver en helt annan, dyrare infrastruktur. När vi blandar dem blir resultatet att lägstanivån höjs. Det kan vara önskvärt. Det kan också vara pengar i sjön.
Ett specialfall av detta är kostnad för lagring och säkerhetskopiering. En mindre verksamhet har lite filservrar och kan vid de få tillfällen ett haveri sker läsa tillbaka från band på timmar, kanske är nere en arbetsdag. Samla ihop mer verksamheter och man inser efter ett tag att datavolymen gör att man hamnar i situationen att återläsningar snarare handlar om veckor. Då anser man sig inte längre ha råd med risken för totalhaverier utan börjar bygga ut redundansen i lagringssystemet. Det är inte billigt.
Statens servicecenter hävdar bestämt att “förslaget om att inrätta en gemensam, statlig molntjänst för myndigheternas it-drift medför en avsevärd ekonomisk besparing för staten.” Vad det påståendet vilar på är oklart, och med tanke på hur odefinierat förslaget är gissar jag personligen att det är helt taget ur luften. Även om det nu skulle finnas fog för det kommer den nya molntjänsten under ganska lång tid att vara ytterligare ett antal datacenter utöver de som redan existerar. Givet min erfarenhet av att driva it-system får man nog arbeta lite hårdare än hittills på att presentera en övertygande plan för hur man ska ta hem kostnaderna för den investeringen.
