Vi har de siste årene sett flere eksempler i Norge og Sverige på at mangelfulle eller manglende risikovurderinger ved tjenesteutsetting av IKT-tjenester til andre land førte til sikkerhetsbrudd.
Helse Sør-Øst ble i 2017 ilagt millionbøter etter outsourcing av sykehus-IT.
Statoils utflagging av IT til India satte sikkerheten i fare, og nå henter Statoil hjem alle sikkerhetskritiske IT-oppgaver mot anlegg.
Nødnett-saken, der Broadnet forpliktet seg til at hele Nødnettet skulle driftes fra Norge hvor det ble avdekket at linjer i Nødnettet i lengre tid ble driftet fra India – av personell som kunne ha satt store deler av nettet ut av drift.
Fokus på kostnadsbesparelse har gjort mange selskaper og organisasjoner blinde på konsekvenser av å sette ut drift av IT-systemer til selskaper hvor en mister kontroll med hvordan systemer og data behandles og lagres. Dette forholdet blir særlig kritisk når vi snakker om IT-sikkerhet. Derfor blir det enda viktigere å ta kontroll der det er mulig.
President i Tekna (Teknisk-naturvitenskapelig forening), Lise Lyngsnes Randeberg, er kritisk til at norske bedrifter setter ut vesentlig infrastruktur til utenlandsk kompetanse:
"Jeg skjønner ikke at bedriftene tør å gjøre seg avhengig av en leverandør i et annet land som de ikke har kontroll på."
Direktør i Nkom, Einar Lunde, deler denne oppfatningen:
“Utflagging av IT kan være en risikosport hvis man ikke har orden i eget hus og mangler kompetanse på IT.”
Nasjonal sikkerhetsmyndighet (NSM) er bekymret over at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.
I sin rapport Sikkerhetsfaglige anbefalinger ved tjenesteutsetting anbefaler NSM at virksomheter som “offshorer” IKT-tjenester til utenlandske IT-selskap, først må ha gjort et godt grunnarbeid for å kunne vurdere risiko og stille riktige sikkerhetskrav.
Tilsvarende eller høyere nivå på IKT-sikkerhet bør være en målsetning ved tjenesteutsetting til andre land.
Hvis tjenesten skal leveres fra utlandet, bør virksomheten – i tillegg til å vurdere tjenestetilbyderen – vurdere vertslandet der leverandøren har tilhold, og hvor tjenesten tilbys fra. Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet til sine IKT-tjenester må gjelde uavhengig av geografisk lokasjon.
Landvurderingen bør inngå som en del av den totale risikovurderingen ved tjenesteutsettingen.
Nasjonale forhold kan påvirke en tjenesteleverandørs mulighet til å levere tjenester, f. eks. gjennom kvaliteten på nasjonal infrastruktur eller nasjonal lovgivning som gir rett til innsyn i data lagret i vertslandet.
Det er mange grunner til at norske selskaper bør foretrekke norske leverandører av IT-sikkerhetsløsninger og -tjenester. Kontroll over data som overføres eller lagres, er hovedutfordringer som går igjen. Økt grad av skytjenester, økende kompleksitet i IT-løsninger og manglende kompetanse gjør det imidlertid stadig vanskeligere å oppnå ønsket kontroll og sikkerhet.
Ved å benytte norsk IKT-sikkerhetskompetanse skaper virksomheter mulighet til å opprettholde og bygge opp solide nasjonale kompetansemiljøer, noe som på sikt styrker teknologiutviklingen og konkurransekraften og bidrar til verdiskaping i Norge.
Ulik lovgivningDet er ulik lovgivning for datalagring og datatilgang mellom ulike land. Velger man en skytjeneste fra utlandet, underlegges man det aktuelle landets lovgivning – og det er ikke alltid at den harmonerer med tilsvarende norsk eller europeisk lovgivning (f. eks. GDPR).
TilgjengelighetVil du kunne få tilgang til dataene hvis de oppbevares i India fremfor i Norge? Dette er en vurdering som bør veie tyngre enn rene kostnadsvurderinger.
Utfordringer ved offshoringUtflagging av IT-sikkerhetsløsninger og -tjenester kan få alvorlige konsekvenser for kontroll og sikkerhet.
Det er ikke IT-avdelingen som er øverste ansvarlig for at virksomheten overholder lover og forskrifter knyttet til bruk av IT-systemer og lagring av data. IT-sikkerhet er et ledelsesansvar.