Samfunnsøkonomisk analyse - IPv4 og IPv6 (dual stack)
Samfunnsøkonomisk konsekvensanalyse: IPv6 (dual stack) som obligatorisk forvaltningsstandard Utkast i versjon 0.82, 25.06.2015 INNHOLDSFORTEGNELSE Sammendrag .........................................................................................................4 1 2 Innledning.....................................................................................................8 1.1 Kort introduksjon til IPv4 og IPv6 ........................................................8 1.2 Bakgrunn ...............................................................................................8 1.3 Metode ...................................................................................................9 Behov .........................................................................................................10 2.1 Dagens situasjon ..................................................................................10 2.1.1 3 4 Utviklingen i andre land ...............................................................12 2.2 Dual Stack............................................................................................13 2.3 Generelle behov ...................................................................................13 2.3.1 Økningen av enheter som kobles til internett ...............................13 2.3.2 Konkurranse i markedet ...............................................................14 2.3.3 Et fortsatt velfungerende internett ................................................14 2.3.4 Sporing /datakriminalitet ..............................................................15 2.3.5 Økonomi .......................................................................................16 2.3.6 Sikkerhet i nettverket ...................................................................16 2.3.7 Innovasjon ....................................................................................17 2.4 Interessentbehov ..................................................................................18 2.5 Det offentliges rolle .............................................................................19 Mål .............................................................................................................20 3.1 Hovedmål.............................................................................................20 3.2 Delmål .................................................................................................20 Mulighetsrommet: Alternativer til obligatorisk standard ...........................21 4.1 Aktuelle områder gjenstand for obligatorisk standard ........................21 4.1.1 Krav til utstyr og applikasjoner ....................................................21 4.1.2 Krav til tjenester publisert eksternt ..............................................22 4.1.3 Klienters tilgang til eksterne internettjenester ..............................23 4.1.4 Krav til nye interne løsninger .......................................................23 4.1.5 Tidspunkt for innføring av obligatorisk standard .........................23 4.1.6 Oppsummering av mulighetsrommet ...........................................24 4.1.7 Informasjon og koordinering ........................................................25 4.2 Alternativer som videreføres til den samfunnsøkonomiske analysen .25 5 4.2.1 +-alternativene, koordinert gjennomføring (0+, 1+, 2+, 3+) .......25 4.2.2 Alternativ 1, Krav til nye løsninger ..............................................26 4.2.3 Alternativ 2, alle områder.............................................................27 4.2.4 Alternativ 3, en rask innføring .....................................................27 Den samfunnsøkonomiske analysen ..........................................................28 5.1 Forutsetninger for analysen .................................................................28 5.1.1 5.2 Levetid ..........................................................................................29 Prissatte effekter ..................................................................................29 5.2.1 Kategorisering ..............................................................................30 5.2.2 Grunnlag for estimering ...............................................................30 5.2.3 IPv6 kompatibelt utstyr ................................................................31 5.2.4 Kompetansebygging .....................................................................31 5.2.5 Gjennomføring .............................................................................32 5.2.6 Driftskostnad ................................................................................33 5.2.7 Nye interne løsninger ...................................................................34 5.2.8 Utbredelse.....................................................................................34 5.2.9 Vurdering av realopsjoner ............................................................38 5.2.10 Sammenstilling av prissatte effekter (kostnader) .........................38 5.3 Ikke-prissatte effekter ..........................................................................39 5.3.1 Innovasjon ....................................................................................40 5.3.2 Kriminalitetsbekjempelse .............................................................41 5.3.3 Konkurransevridende effekter ......................................................41 5.3.4 Loggføring og kostnader ved NAT ..............................................42 5.3.5 Sikkerhet.......................................................................................44 5.3.6 Stabilitet og tilgjengelighet ..........................................................44 5.3.7 Driver i markedet .........................................................................45 5.3.8 Oppsummering ikke prissatte effekter .........................................46 5.4 OPPSUMMERING AV PRISSATTE OG IKKE-PRISSATTE EFFEKTER ....................................................................................................47 6 ANBEFALING ..........................................................................................48 6.1 Alternativene .......................................................................................48 6.2 Drøfting ...............................................................................................49 6.3 Konklusjon...........................................................................................51 IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 2 5 Referanser...................................................................................................52 Vedlegg 1 – Oversikt, alle etater med dual stack ...............................................54 Vedlegg 2 – Spørreundersøkelse, IPv6 i offentlig sektor...................................55 Vedlegg 3 Beregningsformler og kilder .............................................................60 1.1 Opplæring ............................................................................................60 1.2 .......................................................................................................................60 IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 3 SAMMENDRAG Internett er under utvikling, og stadig flere enheter har behov for å knytte seg til nettet. Dette krever flere IP-adresser, som oppnås gjennom en overgang fra IPv4 til IPv6. Norge har liten påvirkning på hva som skjer i det globale Internett og utviklingen mot IPv6 er ikke noe vi kan velge å droppe. På ett eller annet tidspunkt må vi gå over. Det er mange behov knyttet til det å støtte IPv6. Behovene kan oppsummeres i følgende målsetting: Hovedmål Norge skal opprettholde et velfungerende Internett gjennom effektiv innføring av IPv4 og IPv6 (dual stack) for offentlige virksomheter. Delmål Offentlige tjenester er tilgjengelige for alle uavhengig av IPv4 eller IPv6 adresse. Offentlige ansatte har tilgang til alle eksterne internettjenester uavhengig av IPv4 eller IPv6 Sikre fortsatt innovasjon og utvikling av nettbaserte tjenester (herunder «Internet of things»). Hindre utvikling av fordyrende løsninger («workarounds», NAT, ekstra logging, mulighet til sporing). Like konkurransevilkår i markedet for internettilgang. Økt bevissthet om sikkerhetsutfordringer som følge av to IP-protokoller. Det er identifisert 3 ulike standardiseringstiltak i tillegg til null-alternativet, som kan bidra til at offentlige virksomheter får en raskere overgang til IPv4 og IPv6 (dual stack). Tiltakene er som følger: IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 4 0-alternativet Dagens anbefalte krav om støtte for IPv4 og IPv6 (dual stack) Alternativ 1 Alternativ 2 Obligatorisk krav om å publisere alle nye eksterne tjenester på IPv4 og IPv6. Eksisterende tjenester innen 2021 Alternativ 3 Utvider alternativ 1 med obligatorisk krav til at alle interne klienter skal ha tilgang til eksterne tjenester på IPv4 og IPv6 innen 2021. Likt alternativ 2, men obligatorisk krav til publisering av eksisterende tjenester og intern tilgang til eksterne tjenester skal være på plass innen 2018. Krav til IPv4 og IPv6 støtte ved kjøp av nytt utstyr og i nye interne løsninger. I tillegg er det foreslått en alternativ innføringsstrategi ved bruk av et informasjons- og koordineringsprosjekt, som antas å øke innføringstakten betraktelig. Prosjektet kobles til de eksisterende alternativene som 0+, 1+, 2+ og 3+ alternativene. I den samfunnsøkonomiske analysen prissettes kostnadene knyttet til innføringen, mens gevinstene beskrives som ikke prissatte effekter. De prissatte gevinstene er beregnet som følger: 0-alternativet Alternativ 1 Alternativ 2 Alternativ 3 Netto nåverdi -214 233 952 -223 257 748 -236 498 740 -236 498 740 Netto nåverdi av +alternativene -210 149 117 -210 200 721 -248 805 952 -298 476 046 Alternativene har økt negativ nåverdi jo raskere innføringsperiode de har, på grunn av økte driftskostnader og en kalkulasjonsrente på 4 %. Kostnadene forbundet medr 3+ alternativet er 84 millioner høyere enn for 0 alternativet. Kostnaden er i hovedsak knyttet til omprioritering av interne IT-ressurser som i en periode læres opp og gjennomfører overgangen til støtte for både IPv4 og IPv6 (dual stack). Forskjellene i nåverdi er forholdsvis liten med tanke på hvor viktig Internett er for samfunnet. Kostnaden for innføring og drift vil være avhengig av virksomhetens størrelse og karakter, men gjennomsnittet er som følger: IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 5 Gjennomsnittskostnaden for innføring av IPv4 og IPv6 (dual stack) i en virksomhet er 376 tusen kroner. Gjennomsnittskostnaden for økt årlig drift for en virksomhet er 49 tusen kroner. Kostnaden vil være dyrere før større virksomheter og billigere for mindre virksomheter, men håndterbart innenfor gjeldende budsjettrammer. De ikke prissatte effektene av de ulike alternativene har blitt validert iht. hvor stor effekten er i sammenligning med null-alternativet. Beregningene er som følger: 0alternativet Alternativ 1+ (2021) Alternativ 2+ (2021) Alternativ 3+ (2018) Innovasjon 0 ++ +++ ++++ Kriminalitetsbekjempelse 0 + ++ +++ Konkurranse 0 + + ++ Loggføring og kostnader ved NAT 0 + + ++ Sikkerhet 0 + + + Stabilitet og tilgjengelighet 0 + ++ +++ Driver i markedet 0 0 + + Difi anbefaler alternativ 3+ som innebærer: Obligatorisk krav om støtte av både IPv4 og IPv6 i alt nytt nettverksutstyr og all IP-avhengig programvare. Obligatorisk krav om at alle nye og eksisterende, eksternt publiserte tjenester skal være tilgjengelig både på IPv4 og IPv6. Eksisterende tjenester innen 2018. Obligatorisk krav om at alle interne klienter i offentlige virksomheter skal ha tilsvarende tilgang til eksterne tjenester publisert på IPv4 og Ipv6 innen 2018. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 6 Obligatorisk krav om at nye interne nett og løsninger i offentlige virksomheter skal ha støtte for både IPv4 og IPv6. For å få en best mulig gjennomføringsstrategi etableres et prosjekt med oppgave å informere om kravet, koordinere virksomhetenes aktivitet og tilby gode løsninger for opplæring/e-læring. Kravene gjelder ikke for en til en kommunikasjon mellom offentlige virksomheter. Rapporten konkluderer med at alternative 3+ er det beste. Alternativet gir klart best utbredelsestakt med de ikke prissatte gevinster det gir. I tillegg er kostnadene forholdsvis lave i forhold til den betydning Internett har i dagens samfunn. Den viktigste årsaken for å velge 3+ alternativet er behovet for et velfungerende nett med stabil drift, noe analysen viser at et nett basert på både IPv4 og IPv6 (dual stack) best understøtter. Det er viktig at norsk offentlig sektor går foran og bidrar i dugnadsarbeidet for å få et velfungerende Internett. Norge står overfor en økt andel eldre og lavere oljeinntekter. Det er derfor viktig å understøtte nye teknologiske løsninger, som kan gi innovasjon i offentlig sektor. Tjenesteutvikling som kan bidra til mer effektive tjenester og frigjøring av arbeidskraft til andre oppgaver. Sist men ikke minst opplever vi om dagen økt beredskap. Det er viktig å få på plass en infrastruktur som kan bidra til sporing for å hindre kriminalitet og terror, samtidig som regelverket ivaretar personvernet. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 7 1 INNLEDNING Direktoratet for forvaltning og IKT (Difi) har ansvar for å forvalte innholdet i Forskrift om IT-standarder i forvaltningen og Referansekatalogen for anbefalte og obligatoriske IT-standarder i offentlig sektor. 1.1 Kort introduksjon til IPv4 og IPv6 IP er en forkortelse for Internett Protokollen. Internett protokollen er standarden som beskriver hvordan man skal sende noe fra et sted til et annet i nettet (en type postsystem med adresser og forsendelser). For de som har hørt om OSImodellen, så er Internett protokollen den som benyttes på lag 3, nettverkslaget. IPv4 og IPv6 er Internett protokollen versjon 4 og versjon 6. IPv4 ble publisert i 1981 og har vært basis for Internett helt siden Internett ble allemannseie. IPv6 ble allerede i 1994 lansert som IPv4 sin arvtager av IETF (Internet Engineering Task Force). Mange av de elementene som da lå inne i IPv6 har derimot kommet som tillegg til IPv4 og allerede blitt implementert i dagens Internett. Det aller viktigste elementet i IPv6 er et betraktelig større adresserom, slik at mange flere enheter kan knyttes til nettet å få sin egen adresse. For å sikre kontinuerlig samhandling på nett vil det i en overgangsperiode være behov for at alt utstyr støtter begge protokoller. Slik støtte kalles «dual stack». Nå er alle adressene som er tilgjengelig gjennom IPv4 delt ut til ulike brukere. Det er derimot en enorm økning i ulikt brukerutstyr som skal på nett. I tillegg står vi overfor en stor endring gjennom det som kalles «Tingenes Internett». Først vil bilen, strømmåleren, varmen på hytte, osv. kobles til nettet. Deretter vil utstyr som joggeskoene dine komme på nett, slik at de kan minne deg på at du ikke har trent på en stund, og at det nå er på tide å ta seg en tur. Mens du er ute og trener vil pulsklokken registrere svingningene i puls opp mot normalen og kunne melde fra hvis noe er unormalt, og du trolig er i ferd med å bli syk. Disse nye endringene vil gi et ytterligere behov for mange flere adresser. 1.2 Bakgrunn Referansekatalogen for anbefalte og obligatoriske IT-standarder i offentlig sektor gir i dag følgende anbefaling: 1. Alt IT-utstyr det offentlige anskaffer bør ha støtte for IPv4 og IPv6. Dette gjelder både programvare og maskinvare. 2. Alle nye offentlige nettsider og elektroniske tjenester bør ha støtte for IPv4 og IPv6 og være i stand til å kommunisere over begge typer nettverk. Hvis nettsiden eller tjenestene inkluderer eller er avhengig av nettverksparametere som en del av sin operasjon, bør løsningen ha støtte for konfigurasjon av IPv6 parametere. 3. IT-tjenester som det offentlige kjøper bør ha støtte for IPv4 og IPv6. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 8 4. Løsningene bør ikke ha store funksjonelle forskjeller på grunn av bruk av IPv4 eller IPv6. Brukerne av løsningen bør ikke oppleve store forskjeller ved bruk av de ulike protokollene Anbefalingen ble gitt av Standardiseringsrådet 14.juni 2011, og tatt inn av Difi i 3.1 versjon av referansekatalogen, publisert 31.10.2012. Det ble på det tidspunktet ikke ansett som nødvendig å gjøre standarden obligatorisk. Ønsket var å avvente og se om offentlige virksomheter ville velge å følge anbefalingen. Mangelen på IPv4 adresser, som nå er reell, gjør at private tjenesteleverandører både nasjonalt og internasjonalt, i økende grad legger om til også å støtte IPv6. Flere aktører har derimot informert Difi om at det samme ikke er tilfelle i offentlig sektor. En undersøkelse over hvilke etater som har lagt om til IPv4 og IPv6(dual stack), viser at offentlig sektor i liten grad følger dagens anbefaling. Omleggingen går tregt. Trolig på grunn av manglende kompetanse på området, samt frykten for økte kostnader i forbindelse med omleggingen. I tillegg har flere offentlige virksomheter sagt at innføring av Ipv6 er en oppgave som har ligget høyt på prioriteringslisten, men som aldri helt har kommet opp, fordi nye prioriterte saker stadig går forbi. At innføring av IPv4 og IPv6 (dual stack) kun har vært en anbefaling og ikke obligatorisk, har også gjort at en del offentlige virksomheter ikke har sett det nødvendig å legge om enda. Som sentral leverandør av viktige nettjenester kan offentlig sektor spille en viktig rolle i overgangen fra IPv4 til IPv6. En avventende holdning hos offentlige virksomheter er derfor uheldig og bidrar til å holde igjen utviklingen i den norske delen av Internett. På bakgrunn av den svake utbredelsestakten og henvendelser fra nettleverandører og IKT-Norge, tok Difi opp igjen spørsmålet om IPv4 og IPv6 (dual stack) burde gjøres til en obligatorisk forvaltningsstandard. Det ble invitert til innspill på Difi sine standardiseringssider og på bakgrunn av disse skrev Difi en revisjonsvurdering. Den ble behandlet i Standardiseringsrådsmøtet 13/11-2014, hvor det ble anbefalt at Difi går videre i sine vurderinger på området og gjennomfører en samfunnsøkonomisk analyse for å belyse ulike alternative krav og effekten av disse. 1.3 Metode Utredningen av behovet for å styrke kravet om å støtte IPv4 og IPv6 (dual stack) fra anbefalt til obligatorisk, følger arbeidsmetodikken i Standardiseringsrådet. Som en del av denne arbeidsmetodikken inngår en samfunnsøkonomisk analyse iht. veiledning fra Finansdepartementet og Direktoratet for økonomistyring, når det vurderes å sette obligatoriske krav. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 9 Analysen har hovedsakelig basert seg på erfaringsdata og rapporter fra utlandet, uttalelser fra eksperter på området, norske nettleverandører, spørreundersøkelse sendt ut til samtlige kommuner og etater, intervju med etater som har lagt om, samt møter med i referansegruppen1 satt ned for å bistå utredningen. Arbeidsgruppen har bestått av offentlige virksomheter som har erfaring med omlegging til IPv6 og kunnskap om situasjonen i offentlige virksomheter på området. Blant de viktigste rapportene som ligger til grunn for analysen er blant annet en OECD-rapport fra oktober 2014; «The Economics of Transition to Internet Protocol version 6 (IPv6)» og den svenske Post- og telestyrelsens «Redovisning – Införande av IPv6 hos svenske myndigheter och PTS informationsinsatser om IPv6» fra oktober 2013. Blant offentlige myndigheter i Norge er det primært innenfor universitets- og høgskolesektoren, samt noen få kommuner og enkelte etater som har lagt over til IPv4 og IPv6 (dual stack). Herunder Nasjonal kommunikasjonsmyndighet (tidligere Post- og teletilsynet) som vi har vært i god kontakt med underveis i arbeidet. 2 BEHOV 2.1 Dagens situasjon Til tross for at anbefalingen om støtte IPv4 og IPv6 (dual stack) ble tatt inn i referansekatalogen i 2012, har det i liten grad foregått noen omlegging. Og siden da har verden offisielt gått tom for IPv4 adresser.2 Alt utstyr som skal kobles opp mot internett trenger en protokoll-adresse for å kunne nåes, enten det er en PC, en printer eller et kjøleskap. Det totale antallet IPv4 adresser er ca. 4.3 milliarder, men med internettets utvikling er ikke dette lenger nok. Stadig flere enheter vil kobles til nettet, og dermed behøves flere adresser. For å bøte på den foreløpige mangelen på IP-adresser, benyttes noe som kalles CGN (Carrier Grade NAT), eller NAT (Network Adress Translation). NAT er en teknikk som gjør at èn adresse kan deles på flere brukere. Dette er en løsning som har sine fordeler og ulemper, men det er ingen optimal eller varig 1 Referansegruppemøter holdt 08.01.2015 og 04.02.2015 2 IP-adressene fordeles globalt av Internet Assigned Numbers Authority (IANA) til de fem regionale internettregistrene (RIR), som igjen er ansvarlige for utdelingen til sin verdensdel. De fem RIR`ene er: AFiNIC (Afrika), ARIN (Amerika, Canada, Antarktis deler av Karibien), APNIC (Asia, Australia, New Zealand+ naboland), LACNIC (Latin-Amerika og deler av Karibien), RIPE NCC (Europa, Russland, MidtØsten, Sentral-Asia) IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 10 løsning. Dette er grunnen til at flere store organisasjoner nå har satt i gang arbeid og kampanjer for å få nettleverandører, maskinvareprodusenter og webselskaper til å støtte den nye IP-versjonen: IPv6. Versjonen har 340 sekstillioner (2^128) adresser3, et antall som bør holde i rimelig lang tid fremover. Av store nettjenester som nå er tilgjengelige over IPv6 er blant annet Google, Facebook, Youtube, VG, NHST Media Group (www.dn.no m.fl.) og Amedia (omtrent 75 lokalaviser, deriblant Bergensavisen og Nordlys). Når det gjelder brukerne (innbyggerne) viser målinger at vi i Norge har gått fra 4,5 % brukere med støtte for IPv6 i september 2014, til nærmere 9,5 % i februar 2015. Se figur under: Figur 1: Økningen av brukere med støtte for IPv6 fra 2012 og frem til i dag, 05.02.15. 4 Det bekreftes av en rekke leverandører på markedet at andelen med slik støtte vil øke en hel del bare i løpet av 2015, ettersom IPv6 rulles ut i økende grad. Under møtet med en rekke sentrale leverandører ble det antydet rundt 50%.5 3 RIPE NCC. Understanding IP Adressing. 2011. URL: https://www.ripe.net/internet-coordination/presscentre/understanding-ip-addressing 4 Comparison of IPv6 IPv6-Enabled Web Browsers (courtesy Google) in Different Countries. URL: https://www.vyncke.org/ipv6status/compare.php?metric=p&countries=no 5 Leverandørmøte hos Difi (13.01.15) IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 11 Det er slik at utstyr med støtte for både Ipv4 og Ipv6, er satt opp til å benytte IPv6 for de tjenestene som støtter dette. Leverandørene melder at omtrent 30% av trafikken til sluttbrukere med slikt utstyr går på IPv6. 2.1.1 Utviklingen i andre land I mange andre land jobber det offentlige aktivt med overgangen til IPv6. I USA, ved The Office of Management and Budget, bestemte de allerede i 2007 at offentlige nettsider skulle være tilgjengelige over IPv6 innen september 2012. De satt også en deadline for når alle interne systemer skulle være på dual-stack; september 2014. Selv om mange ennå ikke har nådd dette målet, har det stimulert både offentlige tjenestetilbydere og leverandører til å legge til rette for produkter og tjenester med IPv6-støtte. I Sverige har myndighetene vedtatt å innføre IPv6 i offentlig sektor gjennom et informasjonsprogram6. Post og telestyrelsen tilbyr blant annet praktisk informasjon om hvordan man kan innføre IPv6, og deltar på en rekke konferanser for å nå ut med denne informasjonen. Det ble tidligere satt et mål om at alle svenske myndigheter og kommuner skulle være mulige å nå over IPv6 i løpet av 2013. (Näringsdepartementet (ITP), 2011) Dette var nok i overkant ambisiøst; per mars 2014 hadde 33% av svenske myndigheter og 13% av kommunene IPv6-støtte. (Herseus, 2014) Selv om verken USA eller Sverige har nådd de ønskede målene har det skapt oppmerksomhet rundt IPv6, og på den måten satt fortgang i overgangen. Dessuten har det indirekte stimulert det private markedet. (OECD, 2014) Flere andre land har gjort som Sverige, der myndighetene lager informasjonsmateriale for å hjelpe og guide organisasjoner i overgangen til IPv6. Blant annet har det vært et slikt stort prosjekt i regi av EU. IPv6 Observatory.eu viser en oversikt fra 5. desember 2014 som viser hvor mange virksomheter som har minst en IPv6 adresse registrert i DNS serveren sin i de ulike europeiske landene. Prosentandelen varierer mellom 15,9 % og 6,2 %. Noe som viser at Norge ikke ligger spesielt godt an internasjonalt. I Asia har det lenge vært bred oppmerksomhet rundt IPv6 blant offentlige myndigheter. Initiativer på området har blant annet vært: 6 Samarbeid mellom offentlig og privat sektor Utvikling av retningslinjer og veikart Se Post-og telestyrelsens IPv6 nettsider. URL: http://www.pts.se/sv/Bransch/Internet/Robustkommunikation/Atgarder/IPv6/ IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 12 Tilrettelegging for IPv6 i statlige nettverk Krav ved offentlige IT-anskaffelser Bevisstgjøring av nøkkelpersonell i det offentlige og i industrien Opplæring Overvåking av utviklingen og deling av denne informasjonen med industrien (Fujii, 2013) Singapore er et av landene som ligger lengst fremme i utrullingen. Her har de samarbeidet med store nettsider og banker, lokale opplæringssenter, tekniske høyskoler og universiteter for å sørge for nødvendig opplæring for innføring av IPv6. Samarbeid med tjenestetilbydere har sikret at brukerne ikke har endt opp med kun IPv4 eller IPv6. 2.2 Dual Stack På dette tidspunktet er det ikke bare å sørge for full støtte for IPv6 og «glemme» IPv4. IPv6 er ikke bakoverkompatibel - den kan ikke kommunisere over IPv4. Det må derfor benyttes løsninger som gjør at man kan kommunisere over begge protokollene. Selv om de fleste moderne datamaskiner og dagens smarttelefoner faktisk er forberedt på IPv6, må støtte for IPv4 opprettholdes. Svært mange nettsider tilbys bare over IPv4, og en del av det nettverksutstyret (eks. rutere) brukerne har hjemme er ikke klargjort/konfigurert opp for IPv6. Dermed må støtte for IPv4 opprettholdes en god stund til. I følge bransjen og fagmyndighetene vil IPv4 og IPv6 sameksistere i minst 15-20 år fremover. Derfor vil det være nødvendig med støtte for både IPv4 og IPv6, såkalt «dual stack», i årene som kommer. 2.3 Generelle behov 2.3.1 Økningen av enheter som kobles til internett Verden blir ikke mindre og det er ikke lenger nok adresser til å koble sammen den store økningen av folk, digitale enheter og webtjenester. Behovet for flere IP-adresser vil uten tvil vokse kraftig i årene som kommer. Ikke minst fordi det ikke lenger bare er PC-er som kobles til nettet, men også andre ting man ønsker å kommunisere med. Alt fra varmeovnen på hytta, til strømavleseren, bilen og kjøleskapet. Økningen av ting som kobles til internett er en trend mange mener vil være den neste store revolusjonen i årene som kommer. Dette refereres ofte til som «tingenes internett» (Internet of things /IoT). (Gartner, 2014) Se også delkapittel Innovasjon. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 13 2.3.2 Konkurranse i markedet Mangelen på IPv4 adresser gjør det vanskelig for nye ISP-er (nettleverandører) å komme på markedet. En ny ISP her i Norge vil få utdelt en liten blokk IPv4 adresser (1024) fra RIPE NCC7 - forutsatt at de har en IPv6 allokering- men det er overhode ikke nok til å kunne hevde seg på markedet. De blir altså nødt til å ta i bruk NAT og la brukerne dele IP-adresser, noe som er en svært kostbar affære og lite gunstig. Alternativt må de kjøpe IPv4-adresser fra noen som har overskudd og/eller gått konkurs og er villig til å selge. Dette gjør det dyrere og vanskeligere å komme inn på markedet, noe som hemmer konkurransen. Nye leverandører av mobiltjenester er også nye leverandører av internett tilgang. Disse er dermed rammet av denne utfordringen. Hvis vi lar problemet vokse, kan det indirekte også påvirke konkurransen i mobilmarkedet. De etablerte ISP-ene merker også det voksende behovet for adresser, og har allerede innsett at de er nødt til å rulle ut IPv6 om de vil øke kundemassen. Men så lenge tjenestetilbyderne (f. eks offentlige nettsider) ikke tilbyr sine tjenester over IPv6 vil ISP-ene fortsatt (og i økende grad) være nødt til å benytte NAT og IPv4. Man kan med andre ord si at ISP-ene og tjenestetilbyderne har sittet på hver sin tue og ventet på at den andre skal ta første steget med å gå over til IPv6. Nå har ISP-ene startet og det er viktig at tjenesteyterne følger etter. 2.3.3 Et fortsatt velfungerende internett NAT brukes altså for å bøte på dagens IPv4-adressemangel. På denne måten kan én adresse fordeles på flere brukere. Dersom bruken av NAT hos ISP-ene fortsetter å øke vil man etterhvert få et kvalitetsmessig dårligere internett, der NAT fungerer som en flaskehals (Howard & Sowell, 2014). En del applikasjoner og tjenester krever dessuten ende-til-ende forbindelse, noe som blir problematisk med denne løsningen. Det har videre blitt uttalt at dersom man venter til det siste med å gå over til IPv6 vil man risikere at man mister tilgangen til enkelte tjenester, eller at noen tjenester ikke vil fungere.8 Det innebærer dessuten en risiko for at det på sikt kan oppstå to parallelle internett dersom bare noen går over til å støtte og benytte IPv6, eller om denne overgangen går tregt: ett nett som går over IPv4 og et annet som går over IPv6. Dersom deler av verden (f. eks i Asia) kommer til det punktet at de begynner å slå av sitt IPv4 nett, vil det bety at brukere uten IPv6 støtte ikke vil nå deres 7 Det regionale internettregisteret som Norge tilhører 8 Arbeidsgruppemøte hos Difi, 04.02.15 IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 14 nettjenester. Dette kan skape problemer for offentlig sektors internasjonale samhandling. Internett er i dag den viktigste kommunikasjonsplattformen mellom myndighetene og innbyggere/ næringsliv, og et velfungerende internett spiller en sentral rolle i et demokratisk samfunn. Et velfungerende internett med tilgang for alle og med god kvalitet er derfor i stor grad i det offentliges interesse og noe de har et betydelig ansvar for å bidra til. 2.3.4 Sporing /datakriminalitet Elektroniske spor blir stadig viktigere for kriminalitetsbekjempelse, men anses som uønsket fra et personvernperspektiv. Benyttet rett kan elektroniske spor sikre et trygt samfunn for alle og samtidig ivareta personvernet. I dag lagres sporingsdata om internettrafikk i tre uker hos en ISP, noen ganger lengre hvis politiet har fått en rettskjennelse for at ISP-en skal gjøre dette på deres vegne. Politiet vil normalt forespørre om hvem som eier en IP-adresse som ble benyttet i den kriminelle handlingen, og så kan nettleverandøren knytte den til en konkret kunde. Etter hvert som brukerne kommer over på IPv6 mens tjeneste leverandørene blir hengende etter på IPv4, vil logging av slike spor blir mer komplekst, vanskelig og kostbart. I mange nett får brukerne tildelt en IP-adresse hver gang de logger seg på. For at leverandøren skal vite hvilken kunde som har benyttet hvilken IP-adresse til enhver tid, trenger de bare å logge en linje med IP-adresse, kundenummer og tidsrom. Har ikke leverandøren nok IP-adresser til alle brukere som er pålogget til enhver tid, må flere brukere dele samme adresse. Da kan man ikke lengre logge hvem som har adressen til enhver tid. Da må all trafikk per bruker logges, ellers vil man ikke kunne finne frem til hvem av IP-adressebrukerne, som utførte den kriminelle handlingen. Det å logge bruk på denne måten kan føre til hundre linjer logg bare for forsiden på VG og gir enorme datamengder, sammenlignet med loggene der man har en egen IP-adresse per brukersesjon. I tillegg setter slik logging krav til sikring av loggen, siden den nå vil inneholde sensitive data om brukeres adferd på nettet. Den økte kostnaden til logging som kommer når brukere må dele IPv4-adresser for å få tilgang til IPv4-tjenester er betydelig for leverandører av internettilknytning. I 2009 hadde vi et eksempel på hvordan bruk av NAT kan hindre kriminalitetsbekjempelse. Det kom en trussel gjennom kommentarfelt hos VG IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 15 om en maskere som skulle finne sted på Glemmen VGS i Fredrikstad. Det var umulig å finne ut hvem som hadde publisert trusselen på grunn av NAT internt hos VG. Heldigvis var det i dette tilfelle kun en trussel. Innføring av IPv6 vil bidra til å redusere behovet for bruk av NAT betraktelig. Det er et vanlig tiltak på nett å blokkere adresser for å beskytte seg mot uønskede handlinger fra en spesifikk bruker. De fleste har automatiske systemer som detekterer mistenkelig nett trafikk og blokkerer IP-adresser som står bak. I et nett der brukerne deler IP-adresse vil det være vanskelig å blokkere en enkelt IPv4 adresse, siden det vil innebære at alle som benytter denne adressen blir utestengt, ikke bare den som begår den uønskede eller kriminelle handlingen. Videre kan bruk av NAT også skape problemer for lokalisering av nødanrop via IP-telefon og overholdelse av streaminglisenser. 2.3.5 Økonomi Det er liten tvil om at på et tidspunkt må alle over på IPv6. I mellomtiden må man kjøre IPv4 med NAT og IPv6 i parallell. Dette er krevende, og for ISP-ene er det dyrt å benytte NAT. Prisen på en slik «NAT-boks» er betydelig, dessuten gjør den loggingen av datatrafikk svært dyr og omfattende. Perioden med dual stack bør derfor ikke være lenger enn nødvendig, og man bør få til en mest mulig effektiv overgang. Det å gå over på dual stack introduserer en kostnad for offentlige virksomheter knyttet til kompetanse og drift av to delvisparallelle nettverk. Her kan man sette det opp på ulikt vis, med ulike fordeler og ulemper. Men noe ekstrakostnader vil komme. Det er i dag svært usikkert når man kan «slå av» IPv4 - flere antyder 15-20 år. Dersom man får til en effektiv overgang i Norge og Europa er det mulig at IPv4 kan slåes av tidligere. På et tidspunkt vil globale ISP-er (de første trolig i Asia) slå av IPv4 nettet, og da vil ikke lenger de med manglende IPv6-støtte ha tilgang til tjenester i disse delene av nettet, noe som kan få følger for konkurranse og kostnader på ulike tjenester. Den dagen IPv4 nettet kan slås av, slipper vi å supportere to nettverk med to sett av sikkerhetsregler etc. Det vil gi en besparelse for offentlige virksomheter. 2.3.6 Sikkerhet i nettverket Støtten av IPv6 i ulikt utstyr og programvare, samt utrullingen av IPv6 blant ISP-ene, har konsekvenser for informasjonssikkerhet. Har ikke den offentlige virksomheten kompetanse og et avklart forhold til hvordan de skal håndtere IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 16 IPv6, kan uautoriserte utnytte muligheten til å rute trafikk gjennom IPv6 og utføre uønskede handlinger, uten at eieren av utstyret er klar over dette. Utstyr har i dag støtte for både IPv4 og IPv6. De som ikke er bevisst at utstyret i utgangspunktet er satt opp til å støtte IPv6, vil kunne ha mange sikkerhetshull, hvis de ikke har skrudd av IPv6 støtten i nettverksutstyret. I tillegg vil klienter kunne fungere som IPv6 rutere, hvis det ikke er gjort tiltak for å hindre dette. Klienter som fungerer som IPv6 rutere kan fungere som en åpen dør inn til ellers beskyttet informasjon og utgjøre en betydelig sikkerhetsrisiko. Et bevisst forhold til IPv6, vil redusere disse risikoene og dermed minske kostnader relatert til sikkerhetsbrudd. Håndtering av utstyr som støtter IPv6 kan gjøres på to måter, enten ved å skru av IPv6 støtte og innføre tiltak for å hindre angrep knyttet til IPv6 eller ved å innføre et sikkerhetsregime for begge protokoller (IPv4 og IPv6 såkalt dual stack). Det er billigere å skru av IPv6 enn å støtte to parallelle protokoller. Ved å støtte begge protokollene må det settes opp systemer og regler for å regulere trafikk av begge typer. Det krever merarbeid for driftsansvarlige. I tillegg kreves det at man gjør arbeid knyttet til oppgradering av interne policies for hva som er lov og ikke i virksomhetenes nett. Det vil også være større sannsynlighet for å gjøre feil i et miljø med støtte for to protokollen enn i et miljø med kun støtte for en protokoll. Den største risikoen i dag er derimot ikke om det løses på den ene eller andre måten. Den største risikoen i dag er offentlige virksomheters kompetanse og bevissthet knyttet til IPv6. 2.3.7 Innovasjon Internett og innovasjon henger tett sammen i dagens samfunn. Som nevnt i kap. Økningen av enheter som kobles til internett, blir tingenes internett ansett som en kommende digital revolusjon. Det ble anslått i en OECD-rapport fra 2013 at en familie med to tenåringer kan ha så mange som 50 enheter koblet opp til nettet i 2022 (OECD, 2013). Men det er særlig forventet en vekst av slike oppkoblinger i helse- og omsorgssektoren. Bruk av utstyr som kan kobles direkte på pasienten og kobles opp mot nettet slik at lege/sykehus kan følge med uten å befinne seg på samme sted (telemedisin) vil kunne bety store ressursbesparelser. Med befolkningsveksten og den kommende eldrebølgen, samt mangelen på ressurser og plass på sykehus og sykehjem, er det et økende behov for nye innovative løsninger på dette området. «Smart city» er også et begrep som stadig nevnes. Dette innebærer at man i større byer sørger for mer effektiv ressursutnyttelse, gjennom f.eks. løsninger som miljøvennlig kjørerute, IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 17 guidet vei til ledig parkering, smart belysning, tømming av søppelkasser ved behov og smart resirkulering. På stadig flere områder kommer det opp innovative løsninger, som utnytter muligheten for å ha sensorer og annet utstyr koblet på nett. Forøvrig er det mange tilhengere av IPv6 som håper at det skal dukke opp en såkalt «killer-app» som vil sette skikkelig fart på IPv6 overgangen. Det vil si en applikasjon med særdeles stor betydning som kun er tilgjengelig over IPv6. Dette ville tvunget de som ønsker å ta den i bruk over på den nye IP-versjonen. Det foreløpige insentivet ligger i at det faktisk er tomt for IPv4 adresser, men denne realiteten er dessverre ulik fra organisasjon til organisasjon, siden noen historisk sett har godt med lokale adresser. Det ligger derimot en betydelig risiko i faren for at det skal komme en «killer app». I den grad offentlige virksomheter ikke gjør en planlagt overgang i nærmeste fremtid, kan en «killer app» føre til en uoverveid og rask overgang, med tung belastning på små kompetansemiljøer, som øker kostnaden ved overgangen og faren for feil. Det blir også liten grad mulighet for å lære av hverandre og få en kostnadseffektiv overgang i et slikt scenario. 2.4 Interessentbehov Tabellen under viser de enkelte interessentene sine behov (beskrevet over) Interessent Beskrivelse Behov Interesse (lav /medium / høy) Internet Service provider (ISP) Nettleverandør Kunne dele ut adresser Høy Konkurranse Økonomi Kvalitet Å kunne levere tjenester av god kvalitet slik at de er tilgjengelige for alle Offentlige tjenesteleverandører Leverandører av nettsider-/tjenester (kommuner, offentlige etater) IPv6 (dual stack) som obligatorisk forvaltningsstandard Medium/ høy (avhengig av tjeneste) Sikkerhet i nettverket Side 18 Kommunal og moderniseringsdepartementet, Nærings- og fiskeridepartementet , Direktoratet for forvaltning og IKT Ansvarlige for den nasjonale IT politikken, utvikling og innovasjon, samt arbeidet med offentlige standarder Et velfungerende Internett tilgjengelig for alle Mulighet for innovasjon/ utvikling, ref. tingenes internett Politi/rettsvesen Ansvarlige for kriminalitetsbekjempelse Sporing/logging for bruk i kriminalitetsbekjempelse Høy Privat næringsliv Tjenesteutvikler Mulighet for innovasjon/ utvikling, ref. tingenes internett Høy Tilgang til alle kunder på nett Tilgang til alle tjenester på nett Bruker/innbygger og Sluttbrukeren av nettjenester næringsliv Høy Lav (men økende) Tabell 1 – Oversikt interessenter 2.5 Det offentliges rolle Et viktig spørsmål er hvorfor det offentlige skal involvere seg og eventuelt gå foran og oppfordre til IPv6-overgang. Internett er en sentral infrastruktur både nasjonalt og internasjonalt. En infrastruktur nødvendig for å dele informasjon, utføre tjenester og gjennomføre transaksjoner. Nasjonalt er Internett den viktigste plattformen for kontakt mellom myndigheter, innbyggerne og næringsliv, og spiller således en sentral rolle i et demokratisk samfunn. Skal infrastrukturen Internett utvikle seg og omfavne nye muligheter og teknologier samtidig som nettet er tilgjengelig og velfungerende, er en overgangen til IPv6 uunngåelig. Internett er et globalt dugnadsprosjekt og norsk offentlig sektor bør ta sin del av ansvaret. Å vente med å gå over til IPv6 helt til en overgang må skje, er lite solidarisk, hindrer utnyttelse av ny teknologi og kan gi uforutsette kostnader. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 19 Det offentlige har stor påvirkningskraft gjennom sine anskaffelser av nettjenester, utstyr og programvare. Dersom de konsekvent krever støtte av IPv6 i sine anskaffelser vil dette kunne være med på å påvirke hva utstyr- og tjenesteleverandører tilbyr andre. I tillegg vil en overgang til IPv6 i offentlig sektor øke kompetansen også hos konsulentbyråene, som igjen kan selge sine tjenester i privat sektor. Offentlig sektor er ikke tidlig ute på dette området, men kan fortsatt ta en rolle som driver i markedet i en viktig forekommende fase. 3 MÅL IPv4 IPv4 og IPv6 as service (mellomløsninger som NAT) Dual Stack IPv6 med IPv4 som virtuell tjeneste IPv6 Figur 2: Målet, overgang fra IPv4 via dual stack til IPv6 Visjonen på lang sikt er at man går fullstendig over til IPv6 og «slår av» IPv4. Norske offentlige virksomheter har begrenset innflytelse over utviklingen av Internett og hvilke adresserings-protokoller som brukes. Vi kommuniserer med hele verden og må forholde oss til utviklingen på weben. Et isolert norsk tiltak vil i svært liten grad påvirke overgangen til IPv6 for det globale Internettet. Det vil derfor være vanskelig å innføre tiltak per dato om å komme helt over til IPv6. Hovedmålet begrenset til en mest mulig effektiv overgang til dual stack for norske offentlige virksomheter. Dette er et mer kortsiktig mål sammenlignet med det langsiktige målet at virksomhetene kan slå av IPv4 og kun bruke IPv6. Det siste er avhenge av utviklingen globalt. 3.1 Hovedmål Norge skal opprettholde et velfungerende Internett gjennom effektiv innføring av IPv4 og IPv6 (dual stack) for offentlige virksomheter 3.2 Delmål Offentlige tjenester er tilgjengelige for alle uavhengig av IPv4 eller IPv6 adresse. Offentlige ansatte har tilgang til alle eksterne internettjenester uavhengig av IPv4 eller IPv6 Sikre fortsatt innovasjon og utvikling av nettbaserte tjenester (herunder «Internet of things»). IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 20 Hindre utvikling av fordyrende løsninger («workarounds», NAT, ekstra logging, mulighet til sporing). Like konkurransevilkår i markedet for internettilgang. Økt kompetanse i offentlig sektor knyttet til IPv4 og IPv6, med påfølgende effektive nettløsninger i forvaltningen Økt bevissthet om sikkerhetsutfordringer som følge av to IP-protokoller. 4 MULIGHETSROMMET: ALTERNATIVER TIL OBLIGATORISK STANDARD Mulighetsrommet som utforskes ligger innen pedagogiske og juridiske virkemidler. Pedagogiske i form av informasjonsarbeid, veiledning og koordinering og juridiske i form av krav om bruk av standarder. Virkemidlene skal i størst mulig grad bidra til å nå målene identifisert i behovsanalysen over. Med bakgrunn i det totale mulighetsrommet velges de mest aktuelle alternativene, som videreføres til den samfunnsøkonomiske analysen. Antallet alternativer bør begrenses av hensyn til analysens omfang, samtidig som det er viktig å få med de alternativer som kan gi størst samfunnsøkonomisk nytte. Mulighetsstudien er gjennomført i samarbeid med prosjektets referansegruppe bestående av deltakere fra ulike offentlige virksomheter, samt eget møte med leverandører. I tillegg er det gjennomført en til en møter med offentlige og private virksomheter. Det ble i 2012 vedtatt anbefalte krav om at alt IT-utstyr offentlige virksomheter kjøper skal ha støtte for IPv4 og IPv6 (dual stack), at alle eksternt publiserte tjenester skal ha støtte for IPv4 og IPv6 (dual stack) og at IT-tjenester offentlige virksomheter kjøper skal ha støtte for IPv4 og IPv6 (dual stack). Dette kravet utgjør null-alternativet. Analysen vurderer behovet for ytterligere krav og om eksisterende krav bør styrkes. 4.1 Aktuelle områder gjenstand for obligatorisk standard 4.1.1 Krav til utstyr og applikasjoner For at virksomheter skal kunne gjøre tjenester tilgjengelig på både IPv4 og IPv6, må nettverksutstyr (switcher, rutere, brannmurer etc.), servere og IPavhengig programvare ha støtte for begge protokoller. Et mulig virkemiddel er derfor å sette et obligatorisk krav om at utstyr og programvare skal støtte IPv4 og IPv6 (dual stack). Mesteparten av utstyret som er solgt siden 2005-06 har hatt støtte for begge protokoller eller hatt dette som en oppgraderingsmulighet. Tilsvarende gjelder utstyr for å gi interne klienter tilgang til eksterne tjenester på Internett. Fra IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 21 virksomhetene har vi fått oppgitt at nettverksutstyr i snitt har 7-8 års levetid. Dette er utstyr som koster fra 800 000 til nærmere 25 millioner kroner for en offentlig virksomhet avhengig av størrelse. Gitt den oppgitte utskiftingsraten er denne kostnaden allerede blitt tatt av offentlige virksomheter gjennom naturlig utskifting, og et slikt krav vil derfor ha minimale kostnader. Leverandørene påpeker i tillegg at det i dagens marked ikke koster noe ekstra for IPv6 støtte, ved kjøp av utstyr over en viss kvalitet. Å innføre et obligatorisk krav om IPv6 støtte i utstyr og applikasjoner ved nyanskaffelser, er tiltak for å motvirke feilkjøp og økte kostnader på et senere tidspunkt. Selv om de aller fleste virksomheters utstyr allerede har IPv6 støtte, er det viktig å sikre at ikke feil gjøres i anskaffelsesøyemed. Tiltaket er kostnadsfritt og enkelt, og kan bidra til at rett krav blir satt ved anskaffelser. Cisco opplyser at dette kun delvis er tilfelle i dag (under 50 prosent av kravspesifikasjoner de mottar har satt krav til støtte for IPv6). Obligatorisk krav til anskaffelse av nytt utsyr vurderes helt klart som formålstjenlig og behandles i den samfunnsøkonomiske analysen. I og med at tiltaket ikke har kostnader inngår dette i alle alternativer bortsett fra 0alternativet. I 0-alternativet er dette en anbefalt standard, slik situasjonen er i dag. 4.1.2 Krav til tjenester publisert eksternt Det er viktig at offentlige tjenester og informasjon på nett er tilgjengelig for alle brukere, uavhengig av om de har en IPv4 eller en IPv6 adresse. Det er også viktig for offentlige virksomheter å opprettholde god konkurranse i markedet for nettverkstilknytning. Undersøkelser viser at offentlige tjenester i svært liten grad er tilgjengelig på IPv4 og IPv6, se vedlegg 1. Nettverksleverandørene melder også at tilnærmet ingen av deres offentlige kunder ber om IPv6 i anskaffelser av nettverkstilknytning. Det har vært et anbefalt krav om å gjøre offentlige tjenester tilgjengelig på IPv4 og IPv6 (dual stack) siden 2012, dette ser ikke ut til å ha effekt. Det er derfor behov for å styrke kravet, samt kompetansen på området i offentlig sektor. Det er kostnader knyttet til kompetanseheving og omlegging for å støtte både IPv4 og IPv6 ved publisering av eksterne tjenester. Dette er derimot en kostnad offentlige virksomheter uansett må ta i løpet av de neste 10 år. I tillegg viser behovsanalysen at innføring av IPv4 og IPv6 (dual stack) løser behovet offentlige sektor og samfunnet som helhet, har for å få et velfungerende nett med mulighet for innovasjon. Obligatorisk krav til eksternt publiserte tjenester er derfor et av hovedtiltakene og inngår i den samfunnsøkonomiske analysen. Det stilles obligatoriske krav til både eksisterende og nye tjenester. Kravet til nye tjenester inngår i alle IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 22 alternativer på lik linje, mens kravet til eksisterende tjenester i alternativ 1 og 2 skal innføres fra og med 2021, mens i alternativ 3 fra og med 2018. For å begrense omfang og kostnader, vil et obligatorisk krav ikke gjelde peer to peer kommunikasjon mellom ulike offentlige virksomheter. Disse kan oppgraderes ved neste naturlig utskifting/ omlegging. 4.1.3 Klienters tilgang til eksterne internettjenester Det er ikke bare nødvendig å sikre at offentlige tjenester når ut til alle eksterne brukere. Det er også viktig for offentlige virksomheter å sikre interne brukere har tilgang til alle tjenester på nett, uavhengig av om de leveres på IPv4, IPv6 eller begge deler. Gjøres ikke dette vil offentlige ansatte få tilgang til stadig færre tjenester. Obligatorisk krav om interne klienters tilgang til eksterne tjenester på nett publisert på IPv6 er et av hovedtiltakene og inngår i den samfunnsøkonomiske analysen. Dette er et krav som går utover det som i dag ligger i anbefalingen til bruk av IPv4 og IPv6 (dual stack) i referansekatalogen. Kravet er ikke del av alternativ 0 eller 1, men gjelder fra og med 2021 i alternativ 2 og fra og med 2018 i alternativ 3. 4.1.4 Krav til nye interne løsninger På lengre sikt vil all nettbasert kommunikasjon skje over IPv6, og IPv4 fases ut. En overgang til IPv6 i offentlige virksomheters interne nett vil bidra til en enklere nettverksdesign og nye innovative løsninger kan tas i bruk. Med bakgrunn i behovsanalysen mener vi overgangen i interne systemer kan styres av virksomhetene selv. Her bør overgangen legges til naturlig utskifting og omlegging av løsninger. En treg overgang vil derimot gi lavere effektivitet i tjenesteproduksjonen. Det er derfor formålstjenlig å sette krav til at nye interne løsninger designes med støtte for IPv6, for å sikre at utviklingen går i rett retning og at virksomhetene bygger nødvendig kompetanse for å forstå nytten av en omlegging over tid. Obligatorisk krav om at alle nye interne løsninger støtter IPv6 er derfor inkludert, og videreført til den samfunnsøkonomiske analysen. Dette er et krav som går utover det som i dag ligger inne i referansekatalogens anbefalinger. Kravet er lagt inn i alle alternativer, men er ikke del av 0-alternativet. 4.1.5 Tidspunkt for innføring av obligatorisk standard Svært få offentlige virksomheter har i dag innført «dual stack» og kunnskapen om IPv6 er lav. Det er derfor behov for kompetansebygging. I tillegg vil det gå med både interne og eksterne ressurser i innføringsprosjektet. OECD har i sin analyse av IPv6 lagt til grunn at det kan bli billigere for den enkelte virksomhet å vente med innføringen, fordi kompetansen og erfaringene med omlegging vil øke etter hvert som tiden går (OECD, 2014). På den andre siden vil virksomheter som avventer med omlegging til IPv6, måtte lage løsninger for å omgå de begrensninger de har med IPv4, noe som vil gi gradvis økte kostnader IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 23 ved ikke å gå over. Det er vanskelig å vurdere når den økte kostnaden vil overgå besparelsen. Det vil nok være veldig ulikt fra virksomhet til virksomhet. Kostnaden for hver enkelt virksomhet vil være forholdsvis liten. Dette er en kostnad som virksomheten må ta på ett eller annet tidspunkt uansett. Det krever i mindre grad investeringer, men i hovedsak prioritering av interne IT-ressurser på bekostning av noe annet. En omlegging vil åpne for nye innovative løsninger, med påfølgende muligheter for forvaltningsutvikling. Det kan være snakk om både mer effektiv tjenesteproduksjon og nye spennende tjenester. Vi ser at mange nye løsninger som smarthus teknologi og nye innovative løsninger for helse og omsorg sektoren, baserer seg på en infrastruktur med IPv6. Det er derimot vanskelig å forutsi hvor treg man kan være i overgangen før man taper effektiviseringsgevinster på grunn av utsatt innovasjon. For samfunnet kan det vise seg å være gunstige med en rask og effektiv overgang, når alle effektene oppsummeres. For den enkelte virksomhet kan det være lønnsomt å vente. Dette er et tiltak hvor de bedriftsøkonomiske konsekvensene kanskje ikke er i samsvar med de samfunnsøkonomiske. Det understrekes at denne analysen har et samfunnsøkonomisk perspektiv. Innføringstidspunkt vil påvirke kostandene for tiltaket. Analysen vurderer derfor ulike innføringstidspunkt på enkelte av områdene for å se hvordan det påvirker de samfunnsøkonomiske effektene. De ulike tidspunktene er satt til 2018 og 2021. 4.1.6 Oppsummering av mulighetsrommet Tabellen nedenfor viser mulighetsrommet og hvordan det avhenger av hvilke områder som er gjenstand for obligatorisk krav og tidspunkt for innføring. Dette er utgangspunkt for vurdering av hvilke alternativer som videreføres til analysen. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 24 Tabell 2 Mulighetsrommet 4.1.7 Informasjon og koordinering Erfaringer fra andre områder innen standardiseringsarbeidet har vist at det ofte er formålstjenlig å gjennomføre ytterligere informasjonstiltak, kompetanseutvikling og koordineringsarbeid ved innføring av nye krav til bruk av standarder. Uten dette er det en fare for at virksomhetene ikke kjenner de gjeldende krav og derfor ikke overholder kravene. Analysen inkluderer alternativer hvor det legges økt vekt på informasjon, veiledning og koordinering mot virksomhetene som gjennomfører endringen. Dette kommer i tillegg til mulighetsrommet vist i tabellen over. I arbeidet med å koordinere innføringen, vil virksomhetene kunne lære av hverandre. Gjenbruk av informasjon om hvilke løsninger som blir påvirket av kravet, gjenbruk av arkitektur, gjenbruk av brannmur regler, osv. vil gjøre at innføringskostnaden i offentlig sektor kan kuttes med omtrent 30%. 4.2 Alternativer som videreføres til den samfunnsøkonomiske analysen Analysen går videre med tre alternativer i tillegg til null-alternativet. I tillegg introduseres det et ekstra + alternativ for hvert av alternativene. I pluss alternativene blir de ulike kravene om bruk av standarder satt sammen med et pedagogisk virkemiddel beskrevet under. I realiteten blir det derfor 7 ulike alternativer i tillegg til null alternativet. 4.2.1 +-alternativene, koordinert gjennomføring (0+, 1+, 2+, 3+) Det vil være mulig gjennomføre informasjons- og koordineringstiltak for å sikre en mer kostnadseffektiv og rask innføring av IPv6 og dual stack. I Sverige og IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 25 EU har man allerede gjennomført denne typen tiltak, med tilsynelatende positive effekter. Alternativet innebærer at det etableres et gjennomføringsprosjekt med varighet på 3-5 år, kostnadsberegnet til 10,5 millioner. Prosjektet får i oppgave å informere om kravet, veilede virksomheten, tilrettelegge for god opplæring og koordinere virksomhetene. Med sistnevnte menes det å kjøre piloter og dele erfaringer fra pilotene med andre brukere, og på den måten tilrettelegge for færre feil og gjenbruk av løsninger. Hvert av alternativene analyseres med og uten gjennomføringsprosjektet. Dette betyr at vi får alternativene 0+, 1+, 2+, 3+ i tillegg. Alternativ 0+ innebærer at dagens anbefalte krav til standarder opprettholdes, men suppleres av et prosjekt som beskrevet over. Kostnadsberegningen er basert på intern timepris i offentlig sektor. Gjennomføring av prosjektet basert på konsulentbruk vil som et minimum doble kostnaden. 4.2.2 Alternativ 1, Krav til nye løsninger Tabell 3 Alternativ 1 Alternativ 1 innebærer at det settes et umiddelbart krav til å støtte IPv4 og IPv6 (dual stack) i nytt utstyr, ved tilgjengeliggjøring av nye tjenester som skal publiseres eksternt og ved anskaffelse og utvikling av nye interne løsninger. I tillegg settes det krav om å støtte IPv4 og IPv6 (dual stack) i alle eksisterende tjenester som er publisert eksternt innen 2021, med unntak av peer to peer tjenester mellom offentlige virksomheter. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 26 4.2.3 Alternativ 2, alle områder Tabell 4 Alternativ 2 Alternativ 2 er en utvidelse av alternativ 1. Alle kravene i alternativ 1 opprettholdes. I tillegg settes det krav til at interne klienter får tilgang til eksterne tjenester uavhengig av om de er publisert på IPv4 eller IPv6 fra og med 2021. 4.2.4 Alternativ 3, en rask innføring Tabell 5 Alternativ 3 IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 27 Alternativ 3 omfatter de samme kravene som alternativ 2, men innføringstidspunktet for to av områdene flyttes frem fra 2021 til 2018. Ved å ha alternativer med ulike innføringstidspunkt får vi belyst hvordan en utsettelse av kravet påvirker kostnadene. 5 DEN SAMFUNNSØKONOMISKE ANALYSEN Hensikten med analysen av prissatte og ikke-prissatte effekter er å beregne samfunnsøkonomisk nytte for løsningsalternativene, sammenliknet med Nullalternativet. I tillegg skal analysen synliggjøre hvilket løsningsalternativ som har størst samfunnsøkonomisk nytte. 5.1 Forutsetninger for analysen I en samfunnsøkonomisk analyse skal de verdsatte nytte- og kostnadsvirkningene som forventes i ulike fremtidige perioder omregnes til dagens verdi. En slik omregning (neddiskontering) må gjøres for at virkningene på tvers av tiltakene skal bli sammenlignbare. Dette omtales som nåverdiberegning. En kalkulasjonsrente på 4 % er benyttet i den samfunnsøkonomiske analysen, i henhold til rundskriv fra Finansdepartementet om samfunnsøkonomiske analyser, R109/14. Det beregnes en skattekostnad av investeringskostnader og andre kontantstrømmer via offentlige budsjetter på 20 % av netto finansieringsbehov. Finansieringsbehovet er netto virkning på offentlige budsjetter, og er summen av lønnskostnader (inklusiv skatt og arbeidsgiveravgift og innsatsvarer eksklusiv MVA). I tillegg er følgende forutsetninger lagt til grunn for analysen: 9 Offentlig sektor består av 643 virksomheter.9 Null-alternativet utgjøres av dagens situasjon, justert for den forventede utviklingen i analyseperioden, ved fraværet av sentrale tiltak. Det er null-alternativet som er referansepunktet for å vurdere gevinster og kostnader ved det enkelte løsningsalternativ. Prisnivå for innsamlede data er januar 2015. Alle økonomiske størrelser er gitt eks. merverdiavgift. 428 kommuner, 18 fylkeskommuner og 197 statlige virksomheter. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 28 Det legges til grunn at prosjektoppstart er 2016. De prissatte effektene blir neddiskontert til 2016. 5.1.1 Levetid Med tiltakets levetid mener vi perioden som gevinster og kostnader skal beregnes for. Utgangspunkt for fastsettelse av levetid er at den må være tilstrekkelig lang til at analysen inkluderer alle sentrale kostnader og gevinster, også om de kommer langt fram i tid. Overgang fra IPv4 til «dual stack» (senere IPv6) er et tiltak uten slitasje, og i teorien vil virkningene vare i mange år. Vi velger her å analysere tiltakets levetid fram til det tidspunkt hvor alternativene er indifferente med 0alternativet. Det er lagt til grunn at tiltaket har en levetid på 12 år fra og med 2016. En politisk beslutning om obligatorisk standard vil kreve saksforberedelser, og kan tidligst finne sted årsskiftet 2015/16. Formelt er Europa i dag tom for IPv4 adresser, og med stor sannsynlighet vil virksomhetene uavhengig tiltak måtte innføre «dual stack» før 2027. Effekten av tiltaket vil være størst de første årene, og gradvis bli redusert år for år, og er opphørt innen 2027. Restverdi settes til null etter prosjektets levetid på 12 år. 5.2 Prissatte effekter Prissatte effekter er virkninger som lar seg kvantifisere. I denne analysen er det kun kostnadene som er prissatt, da gevinster ikke har vært mulig å kvantifisere. Det er gjennomført en del arbeid internasjonalt for å estimere effektene av omlegging til IPv6. Likevel er det begrenset med «harde data» om kostnadene ved å innføre «dual stack». De fleste estimatene som er gjennomført er av store internasjonale ISP-er og tjenesteleverandører. Det eksisterer ingen eller svært begrenset med data om kostnadene for mellomstore og små virksomheter (OECD, 2014, s. 42). Prosjektet har hatt tilgang til erfaringsdata fra et lite utvalg av offentlige virksomheter i Sverige. Utover dette er estimering basert på samtaler med norske virksomheter som har gjennomført omlegging og ekspertuttalelser. Det understrekes at det er stor usikkerhet knyttet til kostnadsestimatene. De prissatte effektene er alle kostnadselementer og ingen gevinster. Det er svært utfordrende å beregne gevinstene av å innføre IPv4 og IPv6 (dual stack), som en følge av at det stilles obligatorisk krav om dette overfor offentlige IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 29 virksomheter i Norge. For det første vil gevinstene komme på likt sikt og for det andre er gevinstene knyttet til parametere som er vanskelig å anslå. 5.2.1 Kategorisering Det er betydelige forskjeller i kostnadene mellom virksomhetene mht. å implementere IPv6. Tiltaket innebærer å integrere ny teknologi med nye systemer i organisasjonen. Virksomheten må lære hvordan denne brukes, og dette krever planlegging og ressurser (OECD, 2014, s. 17). Datainnsamlingen viser det samme. Både virksomhetenes størrelse, ITkompetanse og kompleksitet påvirker kostnadene. Av den grunn har vi delt virksomhetene inn i tre kostnadsgrupper: små virksomheter, mellomstore virksomheter og store virksomheter. Inndelingen er som følger: Små Mellomstore Store Stat 97 88 12 Kommuner/ fylkeskommuner 196 219 31 Totalt 293 307 43 Tabell 6 Inndeling av virksomheter 22 virksomheter har innført dual stack. Konstander er ikke beregnet for disse. Fylkeskommunene er spredd ut, slik at 4 står som store kommuner og 14 står som mellomstore kommuner. 5.2.2 Grunnlag for estimering For å klargjøre hvilke kostnader virksomheter har ved innføring av «dual stack», har vi gjennomført møter med en rekke virksomheter som har implementere IPv4 og IPv6 (dual stack) i Norge. Ingen av disse har vært i stand til å gi et godt estimat for hvor mye omleggingen har kostet for deres virksomhet. Vi har derimot fått noen estimater for hvor lang tid en omlegging antas å ta i en virksomhet og hvor mye opplæring det er behov for. Det som kjennetegner virksomheter som har lagt over til IPv4 og IPv6 (dual stack), er at de har hatt ildsjeler med spesiell interesse for å innføre dette, og som har ønsket å bygge opp kompetanse på området. Derfor er det mange universiteter og høyskoler blant disse. I tillegg kommer et forskningsinstitutt, Nkom og 7 kommuner og en fylkeskommune, som også har lagt om. De estimatene vi har fått gjennom en til en møter har vært kvalitetssikret og diskutert i referansegruppen. I tillegg har det på initiativ fra Standardiseringsrådet vært kvalitetssikret mot IT-miljøene i Oslo kommune, Bærum kommune og Sør Trøndelag fylkeskommune. Alle er enig om at Det er IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 30 de rette kostnadselementene som er identifisert og at grunnlagstallene virker rett estimert. 5.2.3 IPv6 kompatibelt utstyr Alle alternativene setter krav til at offentlige virksomheter ved anskaffelse av nytt utstyr skal kreve støtte for IPv4 og IPv6 (dual stack). Leverandørene påpeker at alt utstyr av en viss kvalitet har innebygd støtte for begge protokoller, og at det derfor ikke bør knyttes noe ekstrakostnader til anskaffelse av nytt utstyr. I tillegg må eksisterende utstyr ha støtte for IPv4 og IPv6 (dual stack), for at man skal kunne gjøre nye og eksisterende eksternt publiserte tjenester tilgjengelig på begge protokoller. Undersøkelser tilsier at de fleste nettverksløsninger og servere har støttet IPv4 og IPv6 (dual stack) siden 200506. Levetiden på nettverksutstyr varierer. Vi har beregnet gjennomsnittlig levetid til å være 7-8 år, og med denne utskiftingsraten, skal alt offentlig nettverksutstyr allerede ha støtte for IPv4 og IPv6 (dual stack). Kostnaden knyttet til oppgradering av utstyr ved overgang til IPv4 og IPv6 (dual stack) er derfor satt til null. Enkelte virksomheter velger å ha treg utskiftingsrate, så i praksis vil nok flere offentlige virksomheter oppleve å måtte skifte ut noe utstyr. Det har også vært mulig og er fortsatt mulig å kjøpe billig utstyr uten IPv6 støtte. Slikt utstyr har generelt sett lav ytelse også på andre områder. De som har anskaffet slikt billig utstyr eller fortsatt sitter med gammelt utstyr, bør uansett skifte det av andre årsaker, og ekstrakostnaden regner vi derfor ikke med her. To av alternativene setter også krav til støtte for IPv6 i klientløsningene. De aller fleste offentlige virksomheter har allerede løsninger som har støtte for dette i dag, eller bør skaffe seg det av andre årsaker i nær fremtid. Kostnaden for å anskaff klientstøtte for IPv6 beregnes derfor også til null. Dette er i tråd med erfaringene til norske offentlige virksomheter som har innført «dual stack». 5.2.4 Kompetansebygging Vår spørreundersøkelse (se vedlegg 2) viser at det er lav kompetanse på IPv6 i offentlige virksomheter. De aller fleste må enten anskaffe eller bygge opp intern kompetanse for å kunne innføre IPv6. Vi antar at særlig mellomstore og store virksomheter ønsker å bygge opp denne kompetansen selv, for å kunne forvalte nettverksløsningene sine videre i etterkant av innføringen. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 31 Det er noe ulik tilnærming i ulike virksomheter. Noen virksomheter vil velge å benytte mindre på kompetansetiltak, og vil dermed måtte benytte mer på ekstern konsulentstøtte ved innføring. Mens de som bruker mer på kurs vil kunne benytte billigere interntimer ved innføring. Vi regner med at kostnadene vil bli omtrent de samme for ulike tilnærminger. For analysen har vi lagt til grunn følgende kompetansebehov: Liten virksomhet Mellomstor virksomhet Stor virksomhet 4 dager til kurs 16 dager til kurs 25 dager til kurs 88 000 kr i kursavgift 137 000 kr i kursavgift Kompetansetiltak 20 000 kr i kursavgift Tabell 7 Kompetansebehov for virksomhetene Vi har lagt til grunn at kompetansebehovet er likt fordelt mellom alternativene, og at dette inntreffer ved gjennomføring av tiltaket. Kostnaden for kompetansebygging er spredd 50/50 i henhold til innføringsraten på publisering av eksterne tjenester på IPv6 og klienters tilgang til internettjenester på IPv6. 5.2.5 Gjennomføring Å innføre IPv6 og «dual stack» medfører følgende oppgaver: Endre nettverk og server til å støtte IPv6 Anskaffe IPv6 fra internettleverandør. Anskaffe IPv6 fra web-, DNS-, e-postleverandør og annen software (spam og virusbeskyttelse) Anskaffe, installere og konfigurere brannmur som støtter IPv6. Tilpasse eventuelle applikasjoner som er IP-adressesensitiv Justere interne retningslinjer i lys av nytt risikobilde IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 32 Tidsbruken til å gjennomføre endringen er estimert som følger: Gjennomføring Liten virksomhet Mellomstor virksomhet Stor virksomhet 250 timer 500 timer 1000 timer Tabell 8 Gjennomføringstid for virksomhetene Innenfor et tidsrom på 2 år, vil mange virksomheter ha mulig å fordele arbeidet til roligere perioder mellom andre prosjekter, for å optimalisere tidsbruken. De vil også ha mulighet til å utnytte synergier mot andre oppgaver. Virksomheter må regne en tidsperiode for å gjennomføre tiltaket, 1-2 år vil være en vanlig periode pga. planlegging, oppbygging av kompetanse og gjennomføring. OECD legger til grunn i sin rapport at over tid vil det bli rimeligere å gjennomføre en omlegging til IPv4 og IPv6 (dual stack), fordi kompetansen og erfaringstilfanget øker. For å reflektere dette har vi lagt til grunn at kostnadene for selve gjennomføringen reduseres med 3,5 prosent pr år. (Opplæringskostnadene vil forbli de samme.) 5.2.6 Driftskostnad Det å drifte et nett med to protokoller anslås å være dyrere enn å drifte et nett med en protokoll. Det blir blant annet en mer avansert nettverksdesign og det må lages regler i alle brannmurer for begge protokoller. Det er beregnet at det å drifte et nett med to protokoller vil kreve 8 % økning i tidligere driftskostnader. De tidligere driftskostnadene er beregnet til å være 17 % av anslått verdi av nettverksutstyr. Anslått verdi av nettverksutstyr for de ulike kategoriene virksomheter er vist i tabellen under. Verdier Liten virksomhet Mellomstor virksomhet Stor virksomhet 800 000,- 4 000 000,- 20 000 000,- Tabell 9 Verdien av nettverksutstyr i ulike virksomhetskategorier IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 33 5.2.7 Nye interne løsninger Det er et krav om at nye interne løsninger skal ha støtte for begge både IPv4 og IPv6. Det har vært dårligere støtte for IPv4 og IPv6 (dual stack) i servere og applikasjoner. Men i den senere tid har dette økt betydelig. På de aller fleste områder bør det ikke være noe problem å finne en leverandør som kan levere løsningen med IPv4 og IPv6 (dual stack) støtte. Dette kravet gjelder kun nye løsninger. Det antas at det å designe nye løsninger med IPv6 støtte har ubetydelige kostnader i forhold til kostnaden ved å ta frem den nye løsningen. Vi anser det også som et absolutt krav å skulle ha støtte for IPv6 i nyere løsninger, som skal kunne benyttes inn i fremtiden. Kostnaden for å inkludere IPv6 støtte i nyere løsninger settes derfor til null. 5.2.8 Utbredelse Her har vi gjort et anslag på hvor fort IPv4 og IPv6 (dual stack) vil bli tatt i bruk av offentlige virksomheter. Først forklares noe av kunnskapsgrunnlaget for de beregninger som er gjort. Dagens Internett har ikke nok IP-adresser til å håndtere alle som ønsker å være tilgjengelig på nettet. Utviklingen går i retning av at stadig mer brukerutstyr, flere sensorer og servere, skal på nett med egen adresse. Dette krever en omlegging til IPv6 for alle brukere av Internett i løpet av de neste 10-12 år. Nå har store tjenesteytere på internett, som Google, Youtube og Facebook innført IPv6 støtte. Norske leverandører som VG, NHST Media group og Amedia har også lagt over. Internett-tilbydere holder på å legge over alle brukerne. Telenor la over alle sine mobilbrukere i høst, noe som gjør at 9 % av brukerne nå er over på IPv6. Leverandørene anslår at over 50 % av brukerne vil være på IPv6 i løpet av 2015. Når en bruker har en IPv6 adresse, velges automatisk IPv6-protokollen når brukeren går mot et nettsted som også støtter IPv6. Det medfører per dato at omtrent 30 % av trafikken for de som er lagt over går på IPv6. Når IPv4 adressene ble delt ut, fikk ulike verdensdeler ulike mengder adresser. De har også per dato ulike behov for antall adresser. I Asia mangler man IPv4adresser og her har de fleste allerede lagt over til IPv6. I Europa gikk man tom for IPv4-adresser i 2012 og mange europeiske land har satt krav til å gå over. USA har også mangel på adresser. Her har man derimot etablert et marked for å omsette adresser, som ikke lenger er i bruk. Mangelen på IPv4 adresser gjør at mange land har satt krav til IPv6 støtte og overgangen til IPv6 har begynt å sette fart. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 34 Asia har størst mangel på IPv4 adresser og det er et tidsspørsmål før enkelte tjenesteytere etter hvert lager nye tjenester uten IPv4 støtte, fordi de ikke får tilgang til nok IPv4-adresser. Utbredelsen påvirkes av mange ulike faktorer. Faktorer som holder igjen virksomheter fra å innføre IPv6 er følgende: Manglende kompetanse i virksomhetene Prioritering, overgang til IPv6 har ligget høyt på prioriteringslisten til mange virksomheter, men det kommer stadig opp noe som brenner mer. Kostnader til utstyr og applikasjoner, men disse er så å si bort nå, fordi IPv6 utstyr allerede har blitt solgt en god stund. Høna og egget. Tjenesteytere har ventet på at leverandører av Internetttilgang skal flytte sluttbrukere over på IPv6, mens leverandørene har ventet på at tjenesteyterne skal gå over først. Denne analysen er basert på et sett med antatte utbredelsestakter. Vi har anslått ulik utbredelsestakt for utbredelse på de ulike områdene: Utstyr med støtte for både IPv4 og IPv6, eksternt publiserte tjenester på IPv4 og IPv6 og tilgang til eksterne tjenester uavhengig av om disse er på IPv4 og IPv6. Innen hvert område er det anslått ulik utbredelsestakt avhengig av hvilket alternativ som blir vedtatt og hvilken innføringsstrategi man velger å benytte (+ alternativene). Det er derfor anslått 8 ulike innføringstakter på hvert av de ulike områdene. Når det gjelder nettverksutstyr er vårt anslag at det allerede er full utbredelse (jf. kapittel 5.2.3). Utstyr har hatt støtte for IPv4 og IPv6 (dual stack) i en lenger periode enn antatt utskiftingstakt, og de som henger igjen bør skifte utstyret av andre årsaker enn kravet om innføring av IPv6. Utbredelsestakten vil være på 100% for alle alternativer hele veien. Når det gjelder publisering av tjenester eksternt på IPv6 har vi gjort følgende anslag på antall virksomheter som har publisert mer enn 50 % av sine eksterne tjenester på IPv6. Se tabell under. Vi anslår at et obligatorisk krav vil ha litt større effekt enn et anbefalt krav. Det anslås derimot at få vil høre om og derfor ta hensyn til kravet, med mindre det gjennomføres et større prosjekt for å informere, veilede og koordinere. Det anslås at når det først gjennomføres et prosjekt der man informerer, veileder og koordinerer innføringen, så vil effekten av at kravet er obligatorisk være mye større. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 35 Det anslås at et krav som går både på publisering av tjenester eksternt og sikre tilgang til eksterne IPv6 tjenester for interne klienter, vil gi en raskere omlegging enn om man bare setter krav til eksterne tjenester. Dette fordi det gir større effekt for virksomheten selv og fordi virksomhetene vil få en raskere kompetanseheving. På området tilrettelegging for at interne klienter skal ha tilgang til eksterne tjenester på IPv6, så er nok det en litt tregere prosess, enn for eksterne tjenester. Dette kan kreve noe mer kompetanse i forhold til nettverksdesign og informasjonssikkerhet. I hvilken grad dette kravet oppfattes som vanskelig å imøtekomme varierer veldig fra virksomhet til virksomhet. Enkelte har et oppsett av klienter med full støtte for IPv6 og kan enkelte skru det på, mens andre trenger noe mer arbeid for å få det til. Det vil uansett kreve en gjennomgang av sikkerhetsregler og interne policies. Se anslag i tabell under på hvor mange virksomheter som har gitt mer enn 50 % av sine interne klienter tilgang til eksterne internettjenester på IPv6. IPv6 (dual stack) som obligatorisk forvaltningsstandard Side 36 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025 2026 2027 Alt 0 1% 3% 6% 9% 14 % 20 % 30 % 45 % 60 % 80 % 95 % 100 % Alt 0+ 2% 4% 8% 13 % 19 % 30 % 45 % 60 % 80 % 95 % 100 % 100 % Alt 1 1% 3% 8% 13 % 19 % 28 % 40 % 55 % 70 % 85 % 100 % 100 % Alt 1+ 2% 4% 10 % 17 % 26 % 42 % 65 % 80 % 95 % 100 % 100 % 100 % Alt 2 1% 3% 8% 13 % 19 % 28 % 40 % 55 % 70 % 85 % 100 % 100 % Alt 2+ 2% 5% 12 % 20 % 30 % 50 % 75 % 95 % 100 % 100 % 100 % 100 % Alt 3 1% 3% 8% 13 % 19 % 28 % 40 % 55 % 70 % 85 % 100 % 100 % Alt 3+ 2% 8% 20 % 50 % 80 % 95 % 100 % 100 % 100 % 100 % 100 % 100 % Tabell 9 – anslag over hvor mange virksomheter som har publisert mer enn 50 % av eksterne tjenester på IPv6 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025 2026 2027 Alt 0 0,50 % 1% 3% 8% 13 % 20 % 30 % 45 % 60 % 80 % 95 % 100 % Alt 0+ 0,50 % 1% 4% 11 % 18 % 30 % 45 % 60 % 80 % 95 % 100 % 100 % Alt 1 0,50 % 1% 3% 8% 13 % 20 % 30 % 45 % 60 % 80 % 95 % 100 % Alt 1+ 0,50 % 2% 3% 8% 13 % 20 % 30 % 45 % 60 % 80 % 95 % 100 % Alt 2 0,50 % 1% 4% 11 % 18 % 30 % 45 % 60 % 80 % 95 % 100 % 100 % Alt 2+ 0,50 % 4% 10 % 20 % 30 % 50 % 75 % 95 % 100 % 100 % 100 % 100 % Alt 3 0,50 % 1% 4% 11 % 18 % 30 % 45 % 60 % 80 % 95 % 100 % 100 % Alt 3+ 0,50 % 4% 15 % 50 % 80 % 95 % 100 % 100 % 100 % 100 % 100 % 100 % Tabell 10 – anslag over hvor mange virksomheter som har tilgjengeliggjort eksterne IPv6 tjenester for mer enn 50 % av interne klienter Analysen har lagt til grunn at tidspunktet en virksomhet går over til IPv6 er uavhengig av virksomhetens størrelse. Ulike virksomheter har ulik modenhetsgrad, og den er helt uavhengig av størrelse. Det er derfor tatt utgangspunkt i en jevn fordeling mellom små, mellomstore og store virksomheter når vi har beregnet kostnaden knyttet til de ulike kategorier virksomheter (små, middels, store). Kostnadene beregnet til kompetansebygging (jf. kapittel 5.2.4) og gjennomføring (jf. kapittel 5.2.5) antas å spre seg 50/ 50 mellom publisering av tjenester eksternt og tilrettelegging for at interne klienter skal ha tilgang til eksterne IPv6 tjenester. Fordelingen varierer veldig mellom ulike typer virksomheter, noen vil få mest kostnader på det ene området og andre på det andre området. Alt i alt antar vi at fordelingen vil være omtrent 50/ 50. 5.2.9 Vurdering av realopsjoner En type gevinst er knyttet til hvor fleksibel løsningen er når det gjelder å gjøre endringer i framtiden. En fleksibel løsning gir mulighet for realopsjoner. Man kunne tenke seg at ved å utsette beslutningen så fikk man et bedre beslutningsgrunnlag som kunne gi helt andre utfall. Alle interessenter og eksperter mener at området IPv6 nå er modent eller overmodent, slik at beslutning om å innføre obligatoriske krav ikke bør utsettes. Teknologien dual stack for å gjennomføre endringen er godt etablert. Det er knyttet en rekke ulemper ved det å utsette en beslutning, og kostnadene ved å finne midlertidige løsninger (NAT) øker med tiden. Det er ikke knyttet realopsjoner med positiv verdi til tiltaket. 5.2.10 Sammenstilling av prissatte effekter (kostnader) Med utgangspunkt i anslagene for kostnader og utbredelse, har vi beregnet kostnadseffekter i løpet av analyseperioden. I tabellen under viser de to første radene netto nåverdi for de ulike alternativene, med og uten informasjons- og koordineringsprosjekt. Netto nåverdi av alternativene Netto nåverdi +alternativene Sensitivitetsanalyse Netto nåverdi av +alternativene med 50% besparelse Netto nåverdi av +alternativene med 20% besparelse 0-alternativet Alternativ 1 Alternativ 2 Alternativ 3 -214 233 952 -223 257 748 -236 498 740 -236 498 740 -210 149 117 -210 200 721 -248 805 952 -298 476 046 -183 261 273 -183 291 335 -219 176 144 -265 183 237 -223 593 040 -223 655 413 -263 620 856 -315 122 450 Tabell 11 Netto nåverdi for de ulike alternativene, samt sensitivitetsvurdering Beregningen viser at det minst omfattende tiltaket har lavest kostnader, og at en utsettelse av gjennomføringen reduserer kostnadene. Det siste reflekterer en kalkulasjonsrente på fire prosent, slik at investeringer i framtiden blir rimeligere enn å gjennomføre investeringer i dag. I tillegg inneholder beregningene et anslag om at kostnadene ved å innføre «dual stack» blir redusert med 3,5 prosent pr år (OECD, 2014) etter hvert som kunnskap og erfaring med gjennomføring øker. I og med at de prissatte effektene kun viser kostnadene gir ikke estimatene et grunnlag til å vurdere alternativene opp mot hverandre alene, de må ses i sammenheng med de ikke prissatte effektene. Enkelte av estimatene ved kostnadsberegningene er knyttet til usikkerhet. Dette gjelder særlig anslått besparelse knyttet til informasjons- og koordineringsprosjektet. Tilbakemeldingen fra arbeidsgruppen er at vårt anslag på 30 % er forholdsvis nøkternt. I sensitivitetsanalysen, viser vi konsekvensen av å anslå en besparelse på 50 % og 20 % i stedet. Øvelsen viser at det er en viss usikkerhet knyttet til tallene, men at det absolutt ikke er dramatisk for hver virksomhet. Det andre tallet i kostnadsberegningen det knytter seg stor usikkerhet til, er utbredelsestakten. Her viser de ulike alternativene med ulik utbredelsestakt, hvor stor usikkerheten er. Skulle utbredelsestakten bli langsommere enn beregnet vil kostnaden bli noe lavere. 5.3 Ikke-prissatte effekter Ikke-prissatte effekter er virkninger som ikke lar seg kvantifisere. De omfatter både fordeler og ulemper. Virkningene er vurdert i henhold til metode for å systematisere ikke-prissatte virkninger, ofte omtalt som «pluss-minus metoden».10 I pluss-minus metoden vurderes det enkelte løsningsalternativ opp mot en rekke kriterier. Disse kriteriene er omtalt senere i dette kapittelet. For hvert kriterium skal løsningsalternativet vurderes i tre trinn: 1) Betydning Vurderingen baserer seg på hvorvidt effektene av løsningsalternativet påvirker noe som har samfunnsmessig verdi. Skalaen som benyttes er liten, middels eller stor. 10 Finansdepartementets veileder i samfunnsøkonomiske analyser (2005) 4.5 Side 39 2) Omfang Vurderingen handler om hvor stor påvirkningskraft løsningsalternativet antas å ha for det aktuelle området, jf. trinnet over. Skalaen som benyttes er stort negativt omfang, middels negativt omfang, intet omfang, middels positivt omfang og stort positivt omfang. 3) Konsekvens Dette trinnet består i å fastsette løsningsalternativets antatte konsekvens, basert på vurderingene av betydning og omfang.11 For et gitt kriterium vil betydningen være det samme for alle løsningsalternativene. Omfang, og dermed konsekvens, vil variere for de ulike løsningsalternativene, pr. kriterium. Null-alternativet brukes som referansepunkt for å fastsette konsekvensen. Skalaen som benyttes er ni-delt og er som går fra (- - - -) til (++++) som illustrert nedenfor. Kriteriepoeng ++++ Meget stor positiv +++ Stor positiv ++ Middels positiv + Liten positiv 0 Ubetydelig - Liten negativ -- Middels negativ --- Stor negativ ---- Meget stor negativ Tabell 11: Skala for vurdering av ikke-prissatte effekter i forhold til 0-alternativet 5.3.1 Innovasjon Internett gir muligheter til utvikling av nye tjenester og produkter. Mange av de nye innovasjonene som gjøres på ulike områder baserer seg på tilgangen til et IPv6 nett, med en ubegrenset tilgang til adresser. Aktuelle eksempler på slik innovasjon er automatisk strømavlesning, smarthusteknologi, sensorer og løsninger for å skape fremtidens pleie og omsorgstjenester, overvåking av pasienter på sykehus, oversikt over 11 Som støtte i evalueringen brukes matrise fra .. s. 241 s. 241 http://www.regjeringen.no/pages/38440617/PDFS/NOU201320130010000DDDPDFS.pdf Side 40 miljøvennlige kjørerute, guidet vei til ledig parkering, smart belysning, smart resirkulering og mye mer. Dette er blant annet innovative løsninger som kan ha betydning for utviklingen av et bærekraftig samfunn og bidra til at offentlig sektor skal kunne møte de utfordringer samfunnet står overfor med lavere oljeinntekter og økt andel eldre. Dette er et område av stor betydning og som har et stort nedslagsfelt. Alternativet 3+ gir raskest overgang og får full score med 4 plusser, alternativ 1+ og 2 + får 3 plusser, mens alternativene 0+, 1, 2 og 3 får 2 plusser på området. 5.3.2 Kriminalitetsbekjempelse I behovsanalysen har vi forklart hvordan NAT medfører at mange personer deler samme nettadresse, og at informasjon som legges ut på nettet ikke blir sporbar. Dette gir utfordringer for politiet i tilknytning til politiarbeid hvor sporing av aktivitet på internett og epost ofte er viktig del av politiarbeidet. Økt grad av NAT gir økte utfordringer knyttet til sporbarhet og har direkte følger for politiarbeid. Vi kan se til Asia som ligger noen år foran Europa i forhold til mangel på IPv4adresser og bruk av NAT-løsninger. Under leverandørmøtet ble det opplyst at opptil 25 000 personer deler en IPv4 adresse i noen steder i Asia, som i praksis gjør sporing umulig. NAT fører også meg seg andre effekter, som i tilfeller der en bruker av et offentlig nettsted må stenges ute pga. usømmelig eller krenkende oppførsel. Da blir ikke bare personen utestengt, men også de han deler adresse med. Kriminalitetsbekjempelse er viktig, og i en situasjon med økt beredskap, slik vi har i Norge i dag, er det ekstra viktig at slike funksjoner fungerer. Hurtighet på innføring av IPv6 vil gjøre utfordringen mindre, og vi gir derfor alternativene 0+, 1, 2 og 3 en pluss. Alternativene 1+ og 2+ får 2 plusser, mens alternativ 3+ får 3 plusser. 5.3.3 Konkurransevridende effekter Det er tatt tilbake noen få ubrukte IPv4 adresser, slik at nyregistrerte nettleverandører får utdelt 1024 IPv4 adresser. Dette er derimot ikke tilstrekkelig for å drive kommersiell virksomhet av en viss størrelse. Nye aktører i dette markedet vil allerede i dag bli tvunget til å kjøpe IPv4 adresser i et «uoffisielt» marked eller de må ta i bruk NAT i stor skala. Dette vil begrense markedsadgangen for nye aktører og er konkurransehemmende. På sikt vil det kunne påvirke prisen på nettbaserte tjenester, slik at disse blir høyere enn de ville vært i et marked uten begrensninger for nye aktører. Side 41 Vi har ikke grunnlag til å estimere i kroner hvor mye prisene til nettbaserte tjenester blir påvirket av at markedet i praksis stenger ute nye aktører. Over tid vil også etablerte nettleverandører oppleve mangel på IPv4-adresser, og se seg nødt til å innføre bred bruk av NAT eller kjøpe adresser. Hvor stort problemet vil være er avhengig av antall brukere uten egen IPv4adresse og antall tjenester på IPv4. Kostnaden for å drifte en NAT-løsninger for disse kundene og hvor degradert nettverkstjenestene blir på grunn av NATbruken. Altibox er en relativt ny aktør og har konkrete erfaringer med å ha for få IPv4 adresser. I 2013 kjøpte Altibox 130 000 adresser, mens markedsprisen lå på rundt $10 pr adresse. Dette er en betydelig kostnad for å få markedsadgang når konkurrentene har null kostnad. Altibox opplever at de igjen vil få behov for å kjøpe nye adresser. Ut fra økonomisk teori vil prisen pr. IPv4 adresse øke over tid, fordi mangelen på adresser er tiltakende. Det betyr at det blir vanskeligere for nye aktører å etablere virksomhet. Det oppstår en konkurransevridning mellom nettleverandører som har mange IPv4-adresser og de som har få IPv4-adresser. IPv4-adresser har blitt en salgsvare, og har verdi for firma som eier mange IPv4-adresser. Dette er uheldig og var ikke intensjonen den gang adressene ble fordelt gratis. Mange av de små ISP-leverandørene, som vil oppleve disse problemene, er mindre leverandører av mobiltjenester. En sterk konkurransevridning i dette markedet vil også kunne påvirke konkurransen i mobiltjenestemarkedet. Dette er et stort problem for deler av markedet, og har således litt mindre nedslagsfelt. Det er også flere aktører som har tilgang til adresser og som kan skape konkurranse. Dette er allikevel et reelt problem, som bør motvirkes. Vi har derfor gitt alternativ 0+, 1, 1+, 2, 2+ og 3 en pluss hver, mens alternativ 3+ har fått to plusser. 5.3.4 Loggføring og kostnader ved NAT I dag lagres sporingsdata om internettrafikk i tre uker hos en ISP, noen ganger lengre hvis politiet har fått en rettskjennelse for at ISP-en skal gjøre dette på deres vegne. Politiet vil normalt forespørre ISP-en om hvilken kunde som hadde IP-adressen som ble benyttet i den kriminelle handlingen. Etter hvert som brukerne kommer over på IPv6 mens tjeneste leverandørene blir hengende etter på IPv4, vil logging av slike spor blir mer komplekst, vanskelig og kostbart. Side 42 I mange nett får brukerne tildelt en IP-adresse hver gang de logger seg på. For at leverandøren skal vite hvilken kunde som har benyttet hvilken IP-adresse til enhver tid, trenger de kun å logge en linje med IP-adresse, kundenummer og tidsrom. Har ikke leverandøren nok IP-adresser til alle brukere som er pålogget til enhver tid, må de begynne å dele samme adresse. Da kan man ikke lengre logge hvem som har adressen til enhver tid. Da må all trafikk per bruker logges, ellers vil man ikke kunne finne frem til hvem av IP-adressebrukerne, som utførte den kriminelle handlingen. Det å logge bruk på denne måten kan føre til hundre linjer logg bare for forsiden av VG og gir enorme datamengder, sammenlignet med loggene der hver bruker får tilgang til egen IP-adresse. I tillegg setter slik logging krav til sikring av loggen, siden den nå vil inneholde sensitive data om brukeres adferd på nettet. Den økte kostnaden til logging som dette er betydelig for leverandører av internettilknytning. Å innføre datalagringsdirektivet vil medføre betydelig lagringsbehov med dagens logg regime. For de internettleverandørene som har mangel på IPv4 adresser, vil slike krav bli svært vanskelig å etterleve. Merkostnadene vil bli store og mengden med data som skal lagres uhåndterlig. Kostnader til dette er vanskelige å estimere da norske internettleverandører har begrenset erfaring med å la brukerne dele IP-adresser. Teknologien nødvendig for å la brukerne dele adresser koster om lag to millioner kroner for 50 tusen brukere, men vil være avhengig av antall tilgjengelige adresser for brukerne og antall tjenester som bare er tilgjengelig på IPv4. Alltibox har en periode gjennomført deling av adresser mellom brukerne, men har ikke beregnet hva loggføringen kostet. De forteller at praktisering av adressedeling og logging av data var krevende. Den største utfordringen med adressedeling er at kvaliteten på nettbaserte tjenester blir redusert. Dette har vært viktige grunner til at Alltibox heller har valgt å kjøpe flere IPv4 adresser, enn å fortsette med deling, selv om kostnaden for å kjøpe adresser er omtrent 10 ganger så dyrt. Det antas at prisene for IPv4 adresser vil øke gradvis etter hvert som etterspørselen etter flere adresser øker ved innføring av ny teknologi (Internet of things). Loggføring og kostnader ved deling av IP-adresser vil reduseres ved en raskere innføring av IPv6. Alternativene medfører gradvis høyere innføringstakt med påfølgende økt positiv besparelse og flere plusser. Vi har derfor gitt alternativ 0+, 1, 1+, 2, 2+ og 3 en pluss hver, mens alternativ 3+ har fått to plusser. Side 43 5.3.5 Sikkerhet En innføring av IPv6 vil få konsekvenser for informasjonssikkerheten i offentlige virksomheter, og de tiltak vi foreslår vil gi både positive og negative effekter i forhold til informasjonssikkerhet. Utstyr har i dag hovedsakelig støtte for både IPv4 og IPv6. De som ikke er bevisst at utstyret i utgangspunktet er satt opp til å støtte IPv6, vil kunne ha mange sikkerhetshull, hvis de ikke har skrudd av IPv6 støtten. Noe mange ikke gjør på grunn av manglende kunnskap og andre ikke gjør, fordi enkelte store leverandører, f.eks. Microsoft, ikke garanterer at deres løsninger vil fungere om IPv6 skrues av. I tillegg vil klienter kunne fungere som IPv6 rutere, hvis det ikke er gjort tiltak for å hindre dette, og dermed utgjøre en betydelig sikkerhetsrisiko. Et bevisst forhold til IPv6, vil redusere denne risikoen og dermed minske kostnadene ved sikkerhetsbrudd for offentlige virksomheter. Håndtering av utstyr som støtter IPv6 kan gjøres på to måter, enten ved å skru av IPv6 støtte og innføre tiltak for å hindre angrep knyttet til IPv6 eller ved å innføre et sikkerhetsregime for begge protokoller (IPv4 og IPv6). Det er billigere å skru av IPv6 enn å sette opp et sikkerhetsregime for begge protokollene i parallell. Innføres begge protokollene må det settes opp systemer og regler for å regulere trafikk av begge typer. Det krever merarbeid for driftsansvarlige. I tillegg kreves det at man gjør arbeid knyttet til oppgradering av interne regelverk for hva som er lov og ikke i virksomhetenes nett. Det vil også være større sannsynlighet for å gjøre feil i et miljø med støtte for to protokoller enn i et miljø med kun en protokoll. Det er vanskelig å sammenligne anslag på økte driftskostnader opp imot økt risiko for brudd på informasjonssikkerheten. I denne analysen har vi valgt å sidestille dem. Dette vil derimot variere betraktelig fra virksomhet til virksomhet avhengig av hva slags type informasjon de forvalter med påfølgende sikkerhetsbehov. Vi mener derimot at hvis det gjennomføres et innføringsprosjekt, så kan dette bidra betraktelig på sikkerhetssiden og i de alternativene gis det derfor en pluss. 5.3.6 Stabilitet og tilgjengelighet Det å utsette innføring av IPv6 vil ha flere følger for de som drifter nettet, etter hvert som utviklingen krever tilgang til flere IP-adresser, og nettverksansvarlige må sette opp løsninger også internt som legger opp til deling av IP-adresser. En av følgene vil være at en del ende til ende tjenester slutter å virke. Dette gjelder blant annet IP-telefoni og enkelte eLæringsløsninger. På Internett generelt vil dette ramme hardt de som er aktive på dataspill, særlig der mange spiller sammen. Side 44 En annen utfordring som vil dukke opp er kvalitet på nettet, jo flere som deler adresser, dess oftere vil det bli nettverksfeil og kvaliteten forringes. Det vil også være krevende å sette opp løsninger for å omgå de begrensninger, for få IP-adresser gir. Dette krever stadig mer avansert nettverksdesign og komplekse løsninger, med tilsvarende utfordringer sikkerhetsmessig. Noen ganger vil det også være umulig å få til løsninger som tilfredsstiller de sikkerhetskrav som gjelder. I et aldrende IPv4-nett vil en oppleve et stadig høyere antall feil, som det tar tid å fikse (OECD 2014). Feil knyttet til IPv4, men også feil knyttet til at nyere løsninger uforventet setter i gang IPv6 trafikk i nettet, med påfølgende søking etter feil og retting av disse. Et eksempel kan være en kopimaskin, som har fått service og som plutselig begynner å sende IPv6 trafikk med andre enheter i nettet. Det å ha et stabilt og godt Internett er avgjørende både for offentlige virksomheter, Norges næringsliv og privatpersoner. Det er avgjørende både i forhold til å få gjennomført nødvendige transaksjoner, men også avgjørende for en del underholdningsaktivitet, som mange ønsker å drive. Her har vi også gitt et økende antall plusser jo raskere man får innført IPv4 og IPv6 (dual stack). Alternativene 0+, 1, 2 og 3 får en pluss, alternativene 1+ og 2+ får to plusser, mens alternativet 3+ får tre plusser. 5.3.7 Driver i markedet Et obligatorisk krav til bruk av IPv6 i offentlige virksomheter vil øke kompetansen på IPv6 ikke bare i offentlig sektor, men hos leverandører og konsulenter. Det forventes også at ikke bare offentlige tjenesteytere vil gjøre tjenestene sine tilgjengelig på IPv4 og IPv6 (dual stack), men at også private tjenesteytere følger etter. De vil da enkelt kunne kjøpe internettilgang med støtte for IPv4 og IPv6, fordi offentlige tjenesteytere krever det, og det vil være enkelt å finne kompetanse i konsulentmarkedet for å legge over. Det at offentlige virksomheter legger om, vil også gjøre det mer attraktivt for internettleverandører og sikre at alle deres kunder har tilgang til IPv6. Et krav til offentlig sektor vil derfor bidra til å opprettholde konkurransekraften til norske virksomheter internasjonalt og legge til rette for innovasjon. Offentlig sektor kan bli en driver i markedet, men en av mange drivere. Selv om dette vil gi effekt vil det derfor ikke kunne anses å være så viktig som en del av de andre områdene. Vi har valgt å gi alternativene 1+, 2+ og 3+ en pluss hver på dette området. Side 45 5.3.8 Oppsummering ikke prissatte effekter 0Alternativ Alternativ alternativet 0+, 1, 2 og 3 1+ og 2+ Alternativ 3+ Innovasjon 0 ++ +++ ++++ Kriminalitetsbekjempelse 0 + ++ +++ Konkurranse 0 + + ++ Loggføring og kostnader ved NAT 0 + + ++ Sikkerhet 0 0 + + Stabilitet og tilgjengelighet 0 + ++ +++ Driver i markedet 0 0 + + Tabell 12 Løsningsalternativ vurdert opp mot kriterier Side 46 5.4 OPPSUMMERING AV PRISSATTE OG IKKEPRISSATTE EFFEKTER 0-alternativet Alternativ 1 Alternativ 2 Alternativ 3 Netto nåverdi av kostnader uten null+ 214 233 952 223 257 748 236 498 740 236 498 740 Netto nåverdi av kostnader ved null+, 30% besparelse 210 149 117 210 200 721 248 805 952 298 476 046 2 1 Rangering av ikkeprissatte effekter - 3 Alternativene skiller seg ikke betydelig fra hverandre når det kommer til kostnader. I og med at tiltaket må gjennomføres uansett, er det i hovedsak effekten av å gjøre dette tidligere eller senere som framkommer i analysen. Det har ikke vært mulig å prissette de økonomiske gevinstene. Kun kostnadene er prissatt. Den største kostnaden er knyttet til selve gjennomføringen, både i form av opplæringskostnader og kostnader til å gjennomføre aktuelle endringer av nettverk og systemer. Av dette følger at dersom vi kun ser på de prissatte effektene, vil det være lønnsomt å utsette gjennomføringen av IPv6 så lenge som mulig. Den økte kostnaden per virksomhet for å gjennomføre de ulike alternativene er derimot beskjeden og kan håndteres innenfor gjelden ramme. En utsettelse av IPv6 vil derimot gi dårligere nett i Norge enn hos mange andre land. Det vil hindre innovasjon og nye løsninger som kan være med å utvikle Norge til et mer moderne land og som kan bidra til avgjørende tjenesteutvikling blant annet i helse- og omsorgssektoren. En utsettelse vil gi store utfordringer for politiet i forhold til bruk av elektroniske spor i etterforskning og vil være konkurransevridende i markedet for Internettilknytning. En utsettelse av IPv6 gir betraktelig økt risiko for brudd på informasjonssikkerheten. Bevissthet rundt og kompetanse på IPv6 gjennom et obligatorisk krav vil senke denne risikoen betraktelig. Etter hvert som det blir behov for stadig flere adresser i nettet vil virksomhetenes måtte lage komplekse løsninger for å omgå mangelen på adresser. Dette vil medføre en økt risiko for feil og nedetid i nettet. En overgang til Ipv4 og IPv6 (dual stack) vil redusere risikoen. Det er økonomiske forskjeller og det blir noe billigere å utsette kostnaden. Risikoen forbundet med en slik utsettelse er derimot høy og vi risikerer at en utsettelse vil hindre viktige fornyingsprosjekt i offentlig sektor og i samfunnet som helhet. Side 47 6 ANBEFALING 6.1 Alternativene Å innføre IPv6 er et tiltak alle virksomheter må gjennomføre, om de ønsker eller ikke. Det er et spørsmål om tidspunkt for gjennomføring, og denne analysen prøver å besvare to hovedspørsmål. Det første er: Vil det være samfunnsøkonomisk lønnsomt å anvende sentrale politiske virkemidler for å framskynde offentlige virksomheters overgang til «dual stack» og IPv6. Det andre spørsmålet er: Vil standardisering være er et egnet virkemiddel til å framskynde gjennomføringen, eventuelt om dette bør kombineres med andre tiltak. Det er tidligere positive erfaringer med å kombinere standardisering med informasjon, opplæring og koordinering. Vi har derfor valgt å inkludere tiltak for dette i analysen. For å besvare disse spørsmålene har vi vurdert 3 ulike alternativer, med forskjellig omfang av standardisering i tillegg til dagens situasjon (nullalternativet). I alternativ 1 og 2 utvides området som får et obligatorisk krav. I alternativ 3, for kravene en raskere overgangsordning. Vi har prøvd å illustrere forholdet mellom alternativene, og hvordan de bygger på hverandre i figuren nedenfor. 0-alternativet Dagens anbefalte krav om støtte for IPv4 og IPv6 (dual stack) Alternativ 1 Obligatorisk krav om å publisere alle nye eksterne tjenester på IPv4 og IPv6. Eksisterende tjenester må over innen 2021 Alternativ 2 Utvider alternativ 1 med obligatorisk krav til at alle interne klienter skal ha tilgang til eksterne tjenester på IPv4 og IPv6 innen 2021. Alternativ 3 Likt alternativ 2, men obligatorisk krav til publisering av eksisterende tjenester og intern tilgang til eksterne tjenester skal være på plass innen 2018. Krav til IPv4 og IPv6 støtte ved kjøp av nytt utstyr og i nye interne løsninger. Alternativ 2 og 3 innebærer mer omfattende krav enn alternativ 1, og alternativ 3 innebærer en raskere innføring enn de to andre alternativene. Denne forskjellen gjenspeiles i kostnadene, da alternativ 2 og 3 har noe høyere kostnader enn alternativ 1. Forskjellen er estimert til ca. 13 millioner kroner. Side 48 Det understrekes at kostnadsestimatene er usikre. Dette skyldes i hovedsak manglende erfaringsdata. Analysen omfatter i tillegg virkningen av en koordinert gjennomføring mellom virksomhetene (de ulike +-alternativene). Det har kun vært mulig å prissette kostnadene, mens nytteeffektene er behandlet som ikke-prissatte effekter. Dette betyr at vi har måttet gjennomføre en vurdering av prissatte kostnader opp mot nytteeffekter som ikke er prissatt for de ulike alternativene. 6.2 Drøfting De estimerte kostnadene er i hovedsak knyttet til prioritering av interne ressursers bruk av tid. I gjennomsnitt har vi estimert den økte kostnaden på bakgrunn av sentrale krav til å være 375 531 kroner pr. virksomhet. Kostnaden vil være noe større for store virksomheter og mindre for små virksomheter. Kostnaden per virksomhet bør være håndterbar innenfor gjeldende budsjettrammer. Det er ikke snakk om en investering i form av økte driftsbudsjetter, men en prioritering hva som skal gjøres innenfor eksisterende budsjett. IPv6 har typisk ligget på 3-5. plass i prioriteringslisten, men det har stadig kommet opp nye ting som har godt forbi, og innføringen har blitt skjøvet og skjøvet ut i tid. Siden det stadig er nye ting som kommer opp, er det vanskelig å forutse hvilke ting som eventuelt blir nedprioritert, som en følge av at IPV6 blir prioritert. Det er derimot en gjenganger at infrastruktur og vedlikehold ofte blir utsatt, til fordel for nye konkrete tjenester og funksjonalitet. Ofte går man langt i å utvikle løsninger som omgår infrastrukturens begrensninger, før man tar skrittet med å oppdatere selve infrastrukturen. Slik har det også vært med IPv6. Mye av den gode funksjonaliteten vi så i IPv6 på midten av nittitallet, har blitt implementert som tilleggstjenester til IPv4 de siste 20 årene (for eksempel bruk av IPsec). Nå har vi derimot kommet til en del av IPv6, som ikke kan håndteres på annet vis, adresserommet. Kostnaden for en overgang til IPv6 må tas på et eller annet tidspunkt. Spørsmålet er når den rette tiden for å ta investeringen er. I en samfunnsøkonomisk analyse vil ofte det alternativet som utsetter kostnader til senere komme best ut. Venter man lenge nok i dette tilfelle, blir derimot kostnaden ved å omgå begrensningene større enn kostnaden ved å gjennomføre dem. I dette tilfellet er det viktig å gi rom nok til at IT-sjefen kan planlegge gjennomføringen på en tid som passer dem best, slik at mindre travle perioder kan utnyttes, synergier mot andre områder kan tas ut og opplæringstiltak kan samkjøres. Vi mener at 2 år er stramt men tilstrekkelig for at dette skal være mulig. 5 år gir økt fleksibilitet i gjennomføringen, men er såpass langt frem i tid at de negative ikke prissatte effektene kan bli betydelige. Blant de kan vi nevne spesielt følgende: Side 49 Kriminalitetsbekjempelse Vi er allerede i en situasjon hvor mange nettleverandører bruker deling av IPv4-adresser. Dette skaper utfordringer for både nettleverandører som skal gjennomføre kostnadskrevende sporing og politiet som skal bekjempe kriminaliteten. Her har vi et eksisterende problem som vil vokse seg større, og derfor vil det være en fordel med raskest mulig overgang. Innovasjon og utvikling av «Internet of things» Det er ikke like lett å forutse når ulike løsningene vil bre om seg og skape tjenesteutvikling, bedre tjenestekvalitet og redusere kostnadene til offentlig og privat tjenesteyting. Å være tidlig ute kan gi rom for å teste ut nye løsninger og få et forsprang i konkurransen om utvikling av nye tjenester og produkter. Flere land har kommet lengre enn oss, når det gjelder innføring av IPv6. Det er viktig å hindre at norsk næringsliv blir hengende etter i utviklingen av nye spennende løsninger og tjenester, fordi Norges del av infrastrukturen henger etter. Det er viktig å tilrettelegge for «state of the art» infrastrukturer hele tiden, selv om nytten av tjenesteutviklingen i starten kan være begrenset. Vi tror også at tidlig pilotering og testing av nye løsninger kan bidra til en raskere innføring av ny teknologi over tid, og dermed bidra til økt besparelser ved raskere innføring på senere tidspunkt. Norge har lenge ligget langt fremme internasjonalt med stor utbredelse av ulike typer brukerutstyr og god nettilgang både i fastnett og på mobil. Vi har også hatt en oppegående brukergruppe med vilje til å ta nye løsninger i bruk. Det har gjort Norge til et interessant sted for uttesting av nye innovative løsninger på det internasjonale IT-markedet. En rask overgang til IPv6 vil bidra til å opprettholde Norges posisjon som en egnet testområde for ny teknologi. Like konkurransevilkår Konkurransearenaen på nettilgang og mobil er preget av noen store tunge aktører og en del små utfordrere. Skal de små utfordrerne få mulighet til å vokse og tilby både bedre priser og bedre kvalitet på tjenestene, er det viktig at offentlig sektor bidrar til å fjerne praktiske hindre som mangelen på IPv4-adresser. Alternativ 0 ble innført i 2012 og har vist seg å ha liten effekt på utbredelsen. Skal offentlig sektor ta sin del av dugnadarbeidet og bidra til å få fart på utbredelse av IPv6, trenger vi et strengere krav som gir klart signal til virksomhetene om at arbeidet med IPv6 må prioriteres. Alternativ 1-3 viser at økte krav til bruk av standarder gir økt effekt på utbredelsen. Analysen viser derimot at de økte kravene først får stor betydning når det gjennomføres et betydelig prosjekt for å informere om kravene og koordinere innføringen ved å bidra til erfaringsutveksling og opplæring. Dette har vi også sett på andre standardiseringsområder. Der det ikke gjøres noe særlig informasjons- og veiledningsarbeid har et obligatorisk krav liten effekt. Side 50 Der slikt arbeid gjennomføres får en overgang til et obligatorisk krav stor effekt. De positive effektene kommer først når vi er villige til å prioritere arbeidet med IPv4 og IPv6 (dual stack) og ta den økte kostnaden i driftsutgifter. På den andre siden har analysen vist at en av de positive effektene er reduserte kostnader til drift. En besparelse som vil bli større etter hvert som tiden går. Ekspertene mener at gevinsten over tid vil være større en den initiale utgiften. 6.3 Konklusjon Difi anbefaler alternativ 3+ som innebærer: Obligatorisk standard gjennomføres for nytt utstyr, nye eksternt publiserte tjenester og nye interne løsninger fra det tidspunkt standarden er gjeldende. Obligatorisk standard gjennomføres fra og med 2018 for eksisterende eksternt publiserte tjenester og for interne klienters tilgang til eksterne tjenester. For å få en best mulig gjennomføringsstrategi etableres et prosjekt med oppgave å informere om kravet, koordinere virksomhetenes aktivitet og tilby gode løsninger for opplæring/e-læring. Kravene gjelder ikke for peer to peer kommunikasjon mellom offentlige virksomheter. Valget har falt på alternative 3+, fordi dette alternativet gir klart best utbredelsestakt til en forholdsvis lav kostnad. Ser man på betydningen av Internett i dagens samfunn er kostnaden det her er snakk om svært begrenset. Den viktigste årsaken er behovet for et velfungerende nett med stabil drift, noe analysen viser at et nett basert på både IPv4 og IPv6 (dual stack) best understøtter. Det er viktig at norsk offentlig sektor går foran og bidrar i dugnadsarbeidet for å få et velfungerende Internett. Norge står overfor en økt andel eldre og lavere oljeinntekter. Det er derfor viktig å understøtte nye teknologiske løsninger, som kan gi innovasjon i offentlig sektor. Tjenesteutvikling som kan bidra til mer effektive tjenester og frigjøring av arbeidskraft til andre oppgaver. Sist men ikke minst opplever vi om dagen økt beredskap. Det er viktig å få på plass en infrastruktur som kan bidra til sporing for å hindre kriminalitet og terror, samtidig som regelverket ivaretar personvernet. Side 51 7 REFERANSER APNIC. (u.d.). IPv6 for Governments. Hentet fra APNIC Community: http://www.apnic.net/community/ipv6-program/ipv6-for-governments Fujii, M. (2013). IPv6 deployment: where are we now. APNIC. Seoul, Korea: APRiGF. Hentet fra http://www.slideshare.net/apnic/ipv6-deploymentwhere-are-we-now-asia-pacific-regional-internet-governance-forum Gartner. (2014, November 11). Gartner Says 4.9 Billion Connected "Things" Will Be in Use in 2015. Hentet fra http://www.gartner.com/newsroom/id/2905717 Herseus, E. (2014). IPv6 in Sweden. Post- og telestyrelsen. Hentet fra Netnod: https://www.netnod.se/sites/default/files/IPv6%20in%20Sweden%20%20Netnod%20Spring%20Meeting%202014.pdf Howard, L., & Sowell, J. H. (2014). A Comparison of Public Policy Approaches to the IPv4-IPv6 Transition. Time Warner Cable. Massachusetts Institute of Technology (MIT). Näringsdepartementet (ITP). (2011). It i människans tjänst – en digital agenda för Sverige. OECD. (2013). Building Blocks for Smart Networks. OECD Digital Economy Papers No. 215. Hentet fra http://dx.doi.org/10.1787/5k4dkhvnzv35-en OECD. (2014). The Economics of Transition to Internet Protocol version 6. OECD Publishing. Post- og telestyrelsen, Sverige. (2013). Kostnader för IPv6-införande - fem exempel från verkligheten. Hentet fra http://www.pts.se/upload/Ovrigt/Internet/IPv6/Referensfall/Kostnader_I Pv6-inforande_2013.pdf Post- og telestyrelsen, Sverige. (2013). Redovisning – Införande av IPv6 hos svenske myndigheter och PTS informationsinsatser om IPv6. Post- og telestyrelsen, Sverige. Hentet Januar 2015 fra http://www.pts.se/upload/Ovrigt/Internet/IPv6/Redovisning-av-IPv6hos-myndigheter-och-PTS-informationsinsatser-2013-17.pdf RIPE NCC. (2011). Understanding IP Adressing. Hentet fra https://www.ripe.net/internet-coordination/press-centre/understandingip-addressing Viktige møter/intervjuer Møte med Ole Trøan (ISOC Norge/Cisco) og Tore Anderson (Redpill Linpro) (29.10.14 og 11.12.14) Side 52 Arbeidsgruppemøte. (08.01.2015). Leverandørworkshop. (21.01.2015). Intervju med drifts- og utviklingsenheten i Difi (03.02.2015) Arbeidsgruppemøte. (04.02.2015). Møte med Ola Thoresen (tidl. Powertech) (06.02.15) Intervju med Havforskningsinstituttet (06.02.15) Møte med Oslo kommune (29.04.2015) Møte med Bærum kommuner (06.05.2015) Møte med Sør Trøndelag fylkeskommune (13.05.2015) Møte med Skatteetaten (13.05.2015) Side 53 VEDLEGG 1 – OVERSIKT, ALLE ETATER MED DUAL STACK (Utdrag fra http://stat.hanazo.no.ipv4.sixxs.org/ ) Domene Web Mail DNSSEC Åseral kommune Dual-Stack IPv4 Nei Audnedal kommune Dual-Stack IPv4 Nei Hægebostad kommune Dual-Stack IPv4 Nei Høgskolen i Ålesund Dual-Stack Dual-Stack Nei Høgskolen i Gjøvik Dual-Stack Dual-Stack Nei Høgskolen i Narvik Dual-Stack IPv4 Nei Høgskolen i Oslo og Akershus Dual-Stack Dual-Stack Nei Høgskolen i Østfold Dual-Stack Dual-Stack Nei Høgskolen i Vestfold Dual-Stack Dual-Stack Nei Hordaland fylkeskommune Dual-Stack - Ja Havforskningsinstituttet Dual-Stack IPv4 Nei Karmøy kommune Dual-Stack IPv4 Nei Lindesnes kommune Dual-Stack IPv4 Nei Mandal kommune Dual-Stack IPv4 Nei Marnardal kommune Dual-Stack IPv4 Nei NOVA - Norsk institutt for forskning om oppvekst, velferd og aldring Dual-Stack Dual-Stack Nei Post- og teletilsynet Dual-Stack IPv4 Nei Universitetet i Agder Dual-Stack IPv4 Nei Universitetet i Bergen Dual-Stack Dual-Stack Nei Vest-Agder fylkeskommune Dual-Stack IPv4 Nei Vox, nasjonalt senter for læring i arbeidslivet Dual-Stack Dual-Stack Nei Side 54 VEDLEGG 2 – SPØRREUNDERSØKELSE, IPV6 I OFFENTLIG SEKTOR Undersøkelse sendt ut til 584 etater/kommuner i perioden 30.01.15-05.02.15. Antall svar: 171 1. Hva er deres forhold til IPv6? 100% 90% 80% Prosent 70% 60% 49.1% 50% 36.3% 40% 30% 20% 10% 5.8% 5.3% 3.5% 4.1% 4 5 6 0% 1 2 3 Side 55 Svar Prosent 1 Har ikke hørt om det 5,8% 2 Har hørt om det, men ikke vurdert å innføre det i virksomheten 49,1% 3 Har gjort vurdering om innføring, men ikke planlagt når 36,3% 4 Har lagt en plan om innføring 5,3% 5 Det er innført på eksternt publiserte tjenester (nettsider) 3,5% 6 Det er innført internt i virksomheten 4,1% Tot ant 171 2. I dag er det anbefalt å ha støtte for både IPv4 og IPv6(dual stack). Når tror du at dere vil innføre IPv6 på dine eksternt publiserte tjenester? Innen... 100% 90% 80% Prosent 70% 60% 49.1% 50% 40% 30% 20% 10% 12.3% 15.8% 6.4% 4.1% 8.2% 0% 1 2 3 4 5 0.0% 0.6% 1.2% 1.2% 0.0% 0.0% 1.2% 6 7 8 9 10 11 12 13 Side 56 Navn Prosent 1 1 år 4,1% 2 2 år 12,3% 3 3 år 15,8% 4 4 år 6,4% 5 5 år 8,2% 6 6 år 0,0% 7 7 år 0,6% 8 8 år 1,2% 9 10 år 1,2% 10 12 år 0,0% 11 15 år 0,0% 12 Allerede innført 1,2% 13 Vet ikke 49,1% Tot ant 171 3. Dersom kravet blir gjort obligatorisk, hvor mye raskere vil dere da innføre det? Innen... 100% 90% 80% Prosent 70% 60% 50% 40% 30.0% 30% 20% 20.6% 23.5% 11.8% 10% 8.2% 2.4% 0% 1 2 3 4 5 0.0% 0.0% 1.2% 1.2% 0.0% 0.0% 1.2% 6 7 8 9 10 11 12 13 Side 57 Navn Prosent 1 1 år 20,6% 2 2 år 23,5% 3 3 år 11,8% 4 4 år 2,4% 5 5 år 8,2% 6 6 år 0,0% 7 7 år 0,0% 8 8 år 1,2% 9 10 år 1,2% 10 12 år 0,0% 11 15 år 0,0% 12 Allerede innført 1,2% 13 Vet ikke 30,0% Tot ant 170 4. Hvor viktig for din virksomhet vil det være at det gjennomføres et veiledningsprosjekt for å understøtte innføringen? 100% 90% 80% Prosent 70% 60% 50% 40% 37.1% 28.8% 30% 17.6% 20% 7.6% 10% 7.6% 1.2% 0% 1 2 3 4 5 6 Side 58 Navn Prosent 1 Veldig viktig 37,1% 2 Middels viktig 28,8% 3 Mindre viktig 17,6% 4 Helt ubetydelig 7,6% 5 Allerede innført 1,2% 6 Vet ikke 7,6% Tot ant 170 Side 59 VEDLEGG 3 BEREGNINGSFORMLER OG KILDER I dette vedlegget er en nærmere beskrivelse av hvordan vi har beregnet de ulike prissatte effektene og hvilke kilder vi har basert oss på. 1.1 Opplæring Opplæring er beregnet 1.2 Side 60
© Copyright 2024