IT-SKANDALE: En IT-skandale kan felle den svenske regjeringen. Sveriges statsminister Stefan Löfven (i midten), SÄPO-sjef Anders Thornberg (t.v.), og Jonas Bjelfvenstam, generaldirektør i Transportstyrelsen (t.h.) har de siste dagene måtte svare for seg etter at det ble kjent at sensitiv informasjon kan ha kommet på avveie til utlandet.
IT-SKANDALE: En IT-skandale kan felle den svenske regjeringen. Sveriges statsminister Stefan Löfven (i midten), SÄPO-sjef Anders Thornberg (t.v.), og Jonas Bjelfvenstam, generaldirektør i Transportstyrelsen (t.h.) har de siste dagene måtte svare for seg etter at det ble kjent at sensitiv informasjon kan ha kommet på avveie til utlandet. Foto: Stina Stjernkvist / NTB scanpix

IT-ekspert advarer mot ukritisk outsourcing

INNENRIKS

– Er du en liten gründerbedrift er det kanskje ikke så farlig, men hvis du skal forvalte nasjonens hemmeligheter, er det ikke så lurt, sier ekspert på IT-sikkerhet.

  • Hilde Sandvær
Publisert:

Norske og svenske myndigheter har det siste året risikert at sensitiv informasjon og personopplysninger har kunnet komme på avveie ved å sette ut IT-drift til utenlandske selskaper, såkalt outsourcing, uten å sikre at dataene er tilstrekkelig beskyttet.

Sofie Nystrøm, direktør for Center for Cyber and Information Security (CCIS) ved NTNU er bekymret for at virksomheter ukritisk setter bort all IT-drift.

– I noen virksomheter kommer det som en ordre fra toppnivå at man skal outsource alt av IT-drift. Å kategorisk sette ut alt, ukritisk, til en leverandør, det vil jeg advare mot, sier hun og fortsetter:

– Er du en liten gründerbedrift er det kanskje ikke så farlig, men hvis du skal forvalte nasjonens hemmeligheter, er det ikke så lurt.

Konflikt mellom kutt og sikkerhet

Det siste eksempelet på at sensitiv informasjon kan ha kommet på avveie gjennom outsourcing er den store IT-skandalen i Sverige som statsminister Stefan Löfven omtaler som et «havari».

Nå risikerer regjeringen og flere ministere å bli stilt til mistillitsforslag, etter at det har blitt kjent at sensitiv informasjon, som blant annet gjør det mulig å spore opp personer med hemmelig adresse og beskyttet identitet, kan ha kommet på avveie fra det svenske transporttilsynet, Transportstyrelsen (TS).

Les også: Stefan Löfven om IT-skandalen: – Skulle fått informasjon tidligere

Selve saken startet allerede i våren 2015, da Transportstyrelsen, som er underlagt næringslivsdepartementet, overførte IT-driften til IBM. For at overføringen skulle skje raskt, ble det gjort flere unntak fra datasikkerhetsregler, avslører svenske Dagens Nyheter.

Nystrøm forklarer det som har skjedd i Sverige på følgende måte:

– Fra mediebildet ser det ut til å være er en kultur med brist mellom fagmiljø og ledelse, der ledelsen ønsker kostnadsreduksjoner eller ikke har korrekt beslutningsgrunnlag, noe vi ser konsekvensene av i Sverige.

VG-LEDER: Dataskandalen som ryster Sverige

– Krevende for offentlige etater

Hun mener at man også i Norge kan finne igjen denne kulturen.

– Det er helt sammenfallende med en del offentlige etater som strever med samme beslutninger i Norge. De skal levere på tid, kostnad og kvalitet, hvor det enkleste er å levere på tid og kostnad som er målbart, og man ofte vil kutte kostnader.

NRK avslørte tidligere i år at over 100 IT-arbeidere i Bulgaria og Malaysia hadde hatt tilgang og utvidede rettigheter til Helse Sør-Østs datasystemer.

Administrerende direktør Cathrine Lofthus, innrømmet da at de ikke hadde kontroll på modernisering av infrastruktur, og meldte at de kom til å stanse outsourcing av IT-tjenester.

Les også: 1200 datamaskiner i Helse Sør-Øst benytter seg av utdatert operativsystem

Nystrøm forteller at dette ofte er en krevende problemstilling for offentlige etater, som forvalter en del gradert informasjon, samtidig som de får beskjed om å kutte kostnadene til IT-systemer og drift.

Mer utbredt i Norge

Hun mener at outsourcing er mye mer utbredt i Norge, sammenlignet med Sverige.

– Et eksempel her er hvor bank og finanssektoren tidlig var ute med å flytte mye av IT-driften over på kontrakter til andre selskaper, og tok lærdom av dette tidlig.

Også i februar avslørte NRK at nødnettet ble ulovlig driftet fra India.

Det ble da kjent at IT-arbeidere i India har hatt store tilganger til nødnettet, uten å ha gyldig autorisasjon og nødvendig sikkerhetsklarering. Noe som er i strid med sikkerhetsloven.

Med denne tilgangen kunne også IT-arbeiderne i India med letthet ha stengt ned deler av nødnettet, uten at norske myndigheter hadde hatt muligheter til å hindre dette.

– Lærdommen fra bank og finanssektorens og IT-skandalen i Sverige viser at man må vurdere verdien av det som skal driftes.

Her kan du lese mer om