«Nå går dere all in»: Slik fikk Oljefondets skyreise en flying start
– Nå kan vi ta fart og bruke skyen for alt den er verdt, sier Oljefondets teknologidirektør Age Bakker.
En dag i 2016 banket teknologidirektør Age Bakker i Norges Bank Investment Management (NBIM) på kontordøra til sin daværende sjef, Yngve Slyngstad, for å snakke om strategier fremover.
Som administrerende direktør for NBIM var Slyngstad ansvarlig for Statens pensjonsfond utland – eller Oljefondet på folkemunne.
– Jeg hadde skrevet ned noen forsiktige setninger om at vi planla å utforske mulighetene som ligger i skyen. Tilfeldighetene ville det slik at han nettopp hadde kommet tilbake fra en tur til Silicon Valley, der han og noen porteføljeforvaltere hadde fått se og høre på alt de gjør der, forteller Bakker og fortsetter:
– Og det var åpenbart at Slyngstad hadde kommet hjem med ny og verdifull kunnskap, fordi han sa: «Nå må du ikke skrive så forsiktig – du må skrive at nå går dere all in.»
Hadde ikke kraften, kvaliteten og sikkerheten
Dermed ble jobben med å flytte NBIM til skyen raskt et stort prosjekt – med hurtig progresjon.
– For oss var støtten fra Slyngstad helt avgjørende. I et slikt prosjekt opplever du gjerne framgang, men også noen tilbakesteg – og da er det fint med noen som støtter deg fra toppen. Det er også veldig viktig at et slikt prosjekt ikke er et rent teknologiinitativ, men noe som er forankret over hele organisasjonen, sier Bakker.
Men la oss spole litt tilbake: Hva var det egentlig som gjorde at NBIM ønsket å gi seg ut på denne skyreisen?
– Vi har kontorer i Shanghai, Singapore, Oslo, London og New York. Det er en veldig global modell, der alle jobber på fellessystemer som må driftes og monitoreres døgnet rundt. For å serve alle, hadde vi to datasentre i Amsterdam, der vi kjørte alle våre løsninger – levert av en IT-serviceleverandør. I tillegg kjørte vi to delivery-sentre, med fjerndrifting av datasentrene i Amsterdam og nettverk frem til de forskjellige kontorene, sier Bakker.
Da de begynte å snakke om strategien mot slutten av 2016, var konklusjonen at denne modellen fungerte godt for det de gjorde der og da.
– Men vi hadde ikke kraften, kvaliteten og sikkerheten som vi trengte for veien videre.
Vi måtte rett og slett rigge oss for bedre kvalitet, raskere leveranse og bedre it-sikkerhet, sier Bakker.
La oss se litt nærmere på de tre områdene der skoen trykket aller mest:
Kvalitet:
– Dersom det oppsto en feil, måtte leverandøren prøve å fikse den. Men det fikset gjerne ikke selve kjernen til problemet – noe som gjerne medførte at feilen mest sannsynlig ville gjenoppstå, sier Bakker.
Med et slikt system får man ikke oversikt over hvordan ting blir løst, påpeker han:
– Alt er basert på at du sender inn en «ticket», og håper at problemet blir løst innen rimelig tid. Men du har ikke kontroll på hva som blir gjort, eller kvaliteten på leveransen. Det var gjerne litt bingo: hadde du flaks, kom det en leveranse ut i andre enden.
Smidighet:
– Om vi ønsket å øke kapasiteten vår, betød det gjerne at vi måtte kjøpe en ny server – med alt det medførte av tid og ressurser på å få satt opp denne, sier Bakker.
Som kjent blir hardware også raskt utdatert, eller må byttes ut av andre grunner.
– Det å holde styr på alt sammen krever uforholdsmessig mye ressurser og tankekraft. Dette er jo ting som kan komme bedre til nytte andre steder, fortsetter han.
IT-sikkerhet:
Dette temaet ble etterhvert den store elefanten i rommet.
– Vi hadde en stor leverandør med mange ansatte som driftet det hele i India, og det ble raskt ukomfortabelt, sier Bakker.
Spesielt aktuelt ble dette i kjølvannet av debatten rundt hvordan det norske nødnettet ble driftet ut av India, og hvordan norske helseopplysninger har kommet på avveie i utlandet.
Han peker også på hvordan eksterne IT-leverandører gjerne må levere på drift, stabilitet og sikkerhet – og dette er hensyn som fort går mot hverandre.
– Skal det prioriteres, så er det gjerne drift som får forrang – fordi det er det som står i driftsavtalen, og er det leverandøren gjerne blir målt på.
Formulerte et målbilde
I etterkant av møtet med Slyngstad, formulerte Bakker og hans kollegaer et målbilde for hvor de ville med en skyløsning, bestående av fem punkter:
- Public cloud: De ville ikke lenger ha et eget datasenter, men ønsket i stedet å kunne utnytte elastisiteten og skalerbarheten i de skybaserte løsningene. Da var det også viktig å velge en standardisert løsning der ting kunne velges fra en «meny» – og ikke en skreddersydd løsning.
– Det er også et poeng å gå all in, og ikke ha en hybridløsning som krever arbeid med å ivareta både gammel og ny løsning, sier Bakker. - Økt automasjon: «Brainpower over manpower», som Bakker sier. Får man automatisert mange rutineoppgaver, frigjør det verdifull hjernekapasitet som kan skape verdi andre steder i organisasjonen.
- Strategiske innkjøp: NBIM klarer ikke å gjøre alt alene. Men de ønsket heller ikke en stor, generell IT-leverandør, da de ville være mer hands-on for å bevare kontroll.
- Bygging av intern kompetanse: Resultatet var at NBIM måtte bygge opp kapasitet internt i organisasjonen: – Vi måtte bli doers i stedet for managers, som også innebar øking av den interne kompetansen, sier Bakker.
- Sikkerheten først: Sikkerhet er ekstremt viktig, og må være det første punktet på agendaen i alle prosesser – også de nevnt i punktene over.
Valg av skyplattform
Et av de første stegene handlet om å lande på en tilbyder av teknologitjenester. Her arbeidet eksperter i NBIM tett med eksterne skyspesialister, og testet underveis mange forskjellige skyplattformer og teknologier.
– Vi valgte Amazon Web Services (AWS) etter en offentlig anskaffelsesprosess. Dermed fikk vi tilgang på et stort, globalt nettverk. De har datasentre i nærheten av der vi har kontorer, men kjører også et hoveddatasenter fra Dublin, forteller Gunnar Lunde, Lead Solution Architect i NBIM.
Med dette valget kan en server alltid overta for en annen om noe skulle oppstå, og vi har muligheten til å skalere opp og ned som de måtte ha behov for.
– Vi har også muligheten til å replikere data, slik at de kommer nærmere brukerne, sier Lunde.
I tillegg til AWS, kjører NBIM også Office 365 hos Microsoft.
Flytting til skyen
Deretter begynte den omstendelige jobben med å flytte hele organisasjonen fra den eksisterende serverløsningen og «over i skyen».
– Vi begynte med å etablere en «landing zone», altså den grunnleggende kjernekonfigurasjonen av hele skyløsningen – der sikkerheten var det første som kom på plass. Så fulgte en omfattende replatforming-prosess, der vi sørget for å automatisere så mye som overhodet mulig, samt at vi installerte og satte opp virtuelle maskiner, sier Lunde.
Ifølge Age Bakker var det ikke noe rom for hvileputer i prosessen:
– Faktisk endte vi opp med å signere ut den eksisterende plattformen vår et år før vi ble ferdig, noe det ble gjort et stort nummer ut av – da var det ingen vei tilbake. Vi brukte lang tid på å overbevise organisasjonen om at det var det riktige valget, og det siste året var det mye hard jobb. Men det var heldigvis verdt det.
Hva innebærer er en skytjeneste?
Når vi snakker om «skytjenester», er det egentlig en samlebetegnelse på flere forskjellige tjenestemodeller:
- Infrastructure as a Service (IaaS): Her får du nettverk, datalagring, datakraft og visualisering levert av en tjenestetilbyder – slik at du selv slipper å kjøpe og drive egne servere og infrastrukturen rundt.
- Platform as a Service (PaaS): Baserer seg igjen på IaaS, og gjør det mulig å gi en tjenesteleverandør ansvaret for drift og oppdatering av dine operativsystemer og programvare.
- Software as a Service (SaaS): Dette er den mest helhetlige tjenesten, der du rett og slett kjøper tilgang til en applikasjon fra en tjenesteleverandør – som tar hånd om IaaS og PaaS i bakkant uten at du trenger å tenke på disse.
– Målet vårt er å bevege seg så langt ned på denne listen som mulig. Strategien er å outsource så mye som mulig av driften, sier Age Bakker, og legger til:
– Samtidig vil vi ha tilgang på infrastrukturen som kode, slik at vi hele tiden kan se hva som blir installert – og hvor det blir installert. På denne måten har vi kontroll over sikkerheten.
Da NBIM skulle flytte over sine eksisterende tjenester til skyen, fant de ikke noe god pipeline i markedet.
– Så da bygget vi det selv, slik at vi fikk flyttet over all funksjonaliteten vi trengte. Vi etablerte et Cloud Center of Excellence (CCoE) som et utgangspunkt for migreringen, der eksterne konsulenter var en del av teamet sammen med NBIM-eksperter. Et viktig aspekt ved migreringen var å få jobben «hjem», så vi også i fremtiden hadde kompetanse inhouse.
– En super erfaring
Nå har det gått to år siden migreringen, og det har ifølge Age Bakker vært «en super erfaring»:
– Vi har minst like god kontroll på infrastrukturen som vi hadde før, om ikke bedre, sier Bakker og fortsetter:
– Det gjelder også de tre tingene vi ville forbedre: Vi har i dag en bedre driftskvalitet, raskere vei til leveranser og en bedre IT-sikkerhet.
Bedre driftskvalitet:
– Den modellen vi har bygget opp, viser at en slik overgang kan gjøres på en trygg og effektiv måte. Og derfra kan man bare bygge videre – nå kan vi ta fart og bruke skyen for alt den er verdt, sier Bakker.
Han forteller om «en eksplosjon» i bruk av tjenestene rundt om i hele organisasjonen, og helt nye former for samarbeid.
– Tidligere sa vi at mye av IT-arbeidet handlet om å «holde lysene tent» – der mye av hjernekapasiteten gikk med til bare det å holde ting i gang. Nå som mye av denne kapasiteten er frigjort, ser vi at den har kommet til god nytte andre steder. Blant annet har vi fått et helt annet samarbeid med business-teamene, og folk fra flere forskjellige disipliner deltar nå i leveransene, sier Bakker.
Større smidighet:
– Med skybaserte tjenester kan vi nå skalere opp og ned akkurat som det passer oss. Vi har kommet ut av syklusen der vi måtte kjøpe ny hardware etter noen år, og det er også mulig å få til en raskere implementering av nye løsninger, sier Bakker og legger til:
– Det å være agile er raskt blitt den nye normalen, og da er det lett å glemme hvordan ting faktisk var, forteller Bakker.
I et slikt rigg, får han også større muligheter innenfor et område han brenner spesielt for:
– Alt som kan automatiseres, bør automatiseres. Da frigjør du hjernekapasitet til viktigere oppgaver. Vi så at det var mange ting som kunne gjøres med automatisering, om alt dette ble gjort på en annen måte – og det er noe vi nå høster fruktene av.
Bedre IT-sikkerhet:
– Vi brukte spesielt mye tid på å sikre at startpunktet vårt, vår «landing zone», var bygget på en slik måte at sikkerheten kom først. Her fikk vi hjelp av tre-fire eksterne selskap, der vi var transparente på alt vi gjorde og ville gjøre i skyen. Vet du hva du skal beskytte, vet du også hvor endepunktene er – og hvor du eventuelt er mest sårbar, sier Bakker.
Det viste seg at NBIM til sammen har hundrevis av systemer, som til sammen krever mye monitorering.
– På mange måter er vi heldige som ikke har noen noen direktekunder – i motsetning til store nettbutikker, som gjerne har enda mer de må passe på. Men til gjengjeld er vi et profilert mål, så vi kan aldri senke skuldrene, sier Bakker.
Han forteller at de gjennom dette prosjektet har fått et enda høyere fokus på sikkerhet enn de hadde før.
– Det er blitt et mantra i organisasjonen: Det er vår «job zero» å tenke på sikkerhet. Før tenkte vi kanskje at det var nettverket vårt som var perimeteret for et eventuelt angrep, men sånn er det ikke lenger, sier Bakker og fortsetter:
– Dette skyprosjektet har ikke bare gjort oss mer bevisst på hvordan alt henger sammen, men også hvordan de kriminelle vil prøve å utnytte dette – enten det er via phishing av ansatte, utnyttelse av svakheter i programvare eller på helt annet vis.
