Fagblogg | NetSecurity

Derfor bør du velge et norsk IT-sikkerhetsselskap

Skrevet av Jan Søgaard | 22. august 2018 06:46:26 Z

Vi har de siste årene sett flere eksempler i Norge og Sverige på at mangelfulle eller manglende risikovurderinger ved tjenesteutsetting av IKT-tjenester til andre land førte til sikkerhetsbrudd.

Helse Sør-Øst ble i 2017 ilagt millionbøter etter outsourcing av sykehus-IT.

Statoils utflagging av IT til India satte sikkerheten i fare, og nå henter Statoil hjem alle sikkerhetskritiske IT-oppgaver mot anlegg.

Nødnett-saken, der Broadnet forpliktet seg til at hele Nødnettet skulle driftes fra Norge hvor det ble avdekket at linjer i Nødnettet i lengre tid ble driftet fra India – av personell som kunne ha satt store deler av nettet ut av drift. 

Risikabelt fokus på kostnadsbesparelse

Fokus på kostnadsbesparelse har gjort mange selskaper og organisasjoner blinde på konsekvenser av å sette ut drift av IT-systemer til selskaper hvor en mister kontroll med hvordan systemer og data behandles og lagres. Dette forholdet blir særlig kritisk når vi snakker om IT-sikkerhet. Derfor blir det enda viktigere å ta kontroll der det er mulig.

President i Tekna (Teknisk-naturvitenskapelig forening), Lise Lyngsnes Randeberg, er kritisk til at norske bedrifter setter ut vesentlig infrastruktur til utenlandsk kompetanse:

"Jeg skjønner ikke at bedriftene tør å gjøre seg avhengig av en leverandør i et annet land som de ikke har kontroll på."

Direktør i Nkom, Einar Lunde, deler denne oppfatningen:

“Utflagging av IT kan være en risikosport hvis man ikke har orden i eget hus og mangler kompetanse på IT.”

 

Gjør en total sikkerhetsvurdering ved offshoring

Nasjonal sikkerhetsmyndighet (NSM) er bekymret over at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.

I sin rapport Sikkerhetsfaglige anbefalinger ved tjenesteutsetting anbefaler NSM at virksomheter som “offshorer” IKT-tjenester til utenlandske IT-selskap, først må ha gjort et godt grunnarbeid for å kunne vurdere risiko og stille riktige sikkerhetskrav.

Tilsvarende eller høyere nivå på IKT-sikkerhet bør være en målsetning ved tjenesteutsetting til andre land.

Hvis tjenesten skal leveres fra utlandet, bør virksomheten – i tillegg til å vurdere tjenestetilbyderen – vurdere vertslandet der leverandøren har tilhold, og hvor tjenesten tilbys fra. Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet til sine IKT-tjenester må gjelde uavhengig av geografisk lokasjon.

Landvurderingen bør inngå som en del av den totale risikovurderingen ved tjenesteutsettingen.

Nasjonale forhold kan påvirke en tjenesteleverandørs mulighet til å levere tjenester, f. eks. gjennom kvaliteten på nasjonal infrastruktur eller nasjonal lovgivning som gir rett til innsyn i data lagret i vertslandet.

 

Hvorfor velge norske leverandører?

Det er mange grunner til at norske selskaper bør foretrekke norske leverandører av IT-sikkerhetsløsninger og -tjenester. Kontroll over data som overføres eller lagres, er hovedutfordringer som går igjen. Økt grad av skytjenester, økende kompleksitet i IT-løsninger og manglende kompetanse gjør det imidlertid stadig vanskeligere å oppnå ønsket kontroll og sikkerhet.

 

Argumenter for å velge norske leverandører av IT-sikkerhetsløsninger og -tjenester:

Hjemlig kompetanse og verdiskaping

Ved å benytte norsk IKT-sikkerhetskompetanse skaper virksomheter mulighet til å opprettholde og bygge opp solide nasjonale kompetansemiljøer, noe som på sikt styrker teknologiutviklingen og konkurransekraften og bidrar til verdiskaping i Norge.

Ulik lovgivning

Det er ulik lovgivning for datalagring og datatilgang mellom ulike land. Velger man en skytjeneste fra utlandet, underlegges man det aktuelle landets lovgivning – og det er ikke alltid at den harmonerer med tilsvarende norsk eller europeisk lovgivning (f. eks. GDPR).

Tilgjengelighet

Vil du kunne få tilgang til dataene hvis de oppbevares i India fremfor i Norge? Dette er en vurdering som bør veie tyngre enn rene kostnadsvurderinger.

Utfordringer ved offshoring
  • Kulturelle forskjeller
  • Tidsforskjeller
  • Språk
  • Geografisk avstand
  • Politisk ustabilitet, korrupsjon, nettverk, etc.
  • Mindre mulighet for kontroll
  • Mindre mulighet for kunnskapsoverføring
  • Vanskeligere å estimere kostnadene (skjulte kostnader)

Utflagging av IT-sikkerhetsløsninger og -tjenester kan få alvorlige konsekvenser for kontroll og sikkerhet.

Det er ikke IT-avdelingen som er øverste ansvarlig for at virksomheten overholder lover og forskrifter knyttet til bruk av IT-systemer og lagring av data. IT-sikkerhet er et ledelsesansvar.