Skip to main content

    Vi har de siste årene sett flere eksempler i Norge og Sverige på at mangelfulle eller manglende risikovurderinger ved tjenesteutsetting av IKT-tjenester til andre land førte til sikkerhetsbrudd.

    Helse Sør-Øst ble i 2017 ilagt millionbøter etter outsourcing av sykehus-IT.

    Statoils utflagging av IT til India satte sikkerheten i fare, og nå henter Statoil hjem alle sikkerhetskritiske IT-oppgaver mot anlegg.

    Nødnett-saken, der Broadnet forpliktet seg til at hele Nødnettet skulle driftes fra Norge hvor det ble avdekket at linjer i Nødnettet i lengre tid ble driftet fra India – av personell som kunne ha satt store deler av nettet ut av drift. 

    Risikabelt fokus på kostnadsbesparelse

    Fokus på kostnadsbesparelse har gjort mange selskaper og organisasjoner blinde på konsekvenser av å sette ut drift av IT-systemer til selskaper hvor en mister kontroll med hvordan systemer og data behandles og lagres. Dette forholdet blir særlig kritisk når vi snakker om IT-sikkerhet. Derfor blir det enda viktigere å ta kontroll der det er mulig.

    President i Tekna (Teknisk-naturvitenskapelig forening), Lise Lyngsnes Randeberg, er kritisk til at norske bedrifter setter ut vesentlig infrastruktur til utenlandsk kompetanse:

    "Jeg skjønner ikke at bedriftene tør å gjøre seg avhengig av en leverandør i et annet land som de ikke har kontroll på."

    Direktør i Nkom, Einar Lunde, deler denne oppfatningen:

    “Utflagging av IT kan være en risikosport hvis man ikke har orden i eget hus og mangler kompetanse på IT.”

     

    Gjør en total sikkerhetsvurdering ved offshoring

    Nasjonal sikkerhetsmyndighet (NSM) er bekymret over at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.

    I sin rapport Sikkerhetsfaglige anbefalinger ved tjenesteutsetting anbefaler NSM at virksomheter som “offshorer” IKT-tjenester til utenlandske IT-selskap, først må ha gjort et godt grunnarbeid for å kunne vurdere risiko og stille riktige sikkerhetskrav.

    Tilsvarende eller høyere nivå på IKT-sikkerhet bør være en målsetning ved tjenesteutsetting til andre land.

    Hvis tjenesten skal leveres fra utlandet, bør virksomheten – i tillegg til å vurdere tjenestetilbyderen – vurdere vertslandet der leverandøren har tilhold, og hvor tjenesten tilbys fra. Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet til sine IKT-tjenester må gjelde uavhengig av geografisk lokasjon.

    Landvurderingen bør inngå som en del av den totale risikovurderingen ved tjenesteutsettingen.

    Nasjonale forhold kan påvirke en tjenesteleverandørs mulighet til å levere tjenester, f. eks. gjennom kvaliteten på nasjonal infrastruktur eller nasjonal lovgivning som gir rett til innsyn i data lagret i vertslandet.

     

    Hvorfor velge norske leverandører?

    Det er mange grunner til at norske selskaper bør foretrekke norske leverandører av IT-sikkerhetsløsninger og -tjenester. Kontroll over data som overføres eller lagres, er hovedutfordringer som går igjen. Økt grad av skytjenester, økende kompleksitet i IT-løsninger og manglende kompetanse gjør det imidlertid stadig vanskeligere å oppnå ønsket kontroll og sikkerhet.

     


    Argumenter for å velge norske leverandører av IT-sikkerhetsløsninger og -tjenester:

    Hjemlig kompetanse og verdiskaping

    Ved å benytte norsk IKT-sikkerhetskompetanse skaper virksomheter mulighet til å opprettholde og bygge opp solide nasjonale kompetansemiljøer, noe som på sikt styrker teknologiutviklingen og konkurransekraften og bidrar til verdiskaping i Norge.

    Ulik lovgivning

    Det er ulik lovgivning for datalagring og datatilgang mellom ulike land. Velger man en skytjeneste fra utlandet, underlegges man det aktuelle landets lovgivning – og det er ikke alltid at den harmonerer med tilsvarende norsk eller europeisk lovgivning (f. eks. GDPR).

    Tilgjengelighet

    Vil du kunne få tilgang til dataene hvis de oppbevares i India fremfor i Norge? Dette er en vurdering som bør veie tyngre enn rene kostnadsvurderinger.

    Utfordringer ved offshoring
    • Kulturelle forskjeller
    • Tidsforskjeller
    • Språk
    • Geografisk avstand
    • Politisk ustabilitet, korrupsjon, nettverk, etc.
    • Mindre mulighet for kontroll
    • Mindre mulighet for kunnskapsoverføring
    • Vanskeligere å estimere kostnadene (skjulte kostnader)

    Utflagging av IT-sikkerhetsløsninger og -tjenester kan få alvorlige konsekvenser for kontroll og sikkerhet.

    Det er ikke IT-avdelingen som er øverste ansvarlig for at virksomheten overholder lover og forskrifter knyttet til bruk av IT-systemer og lagring av data. IT-sikkerhet er et ledelsesansvar.

     

     

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm