Sikkerhet på anbud

MENINGER

Stefan Löfvens regjering sitter fortsatt utrygt i Sverige. Det straffer seg å outsource sin egen sikkerhet.

Publisert:

To statsråder er nå sparket ut av Stefan Löfvens regjering, mens en tredje gikk av på grunn av sviktende helse. Forsvarsministeren, som opposisjonen har varslet mistillitsforlag mot, ble sittende i denne runden. Det betyr at saken ikke er over. Löfven leder en mindretallsregjering og kan bli tvunget til å gå av i neste runde.

Det hele skyldes outsourcing av datasystemene i den svenske Transportstyrelsen til IBM. Det ga utenlandske serviceteknikere tilgang til registre og systemer som de aldri skulle hatt. I registrene finnes det informasjon som kan skade rikets sikkerhet dersom den kommer på avveie.

LES OGSÅ: Löfven kjemper for sitt politiske liv

Litt absurd er det selvfølgelig. At en sosialdemokratisk regjering kan falle på outsourcing. Å sette offentlige oppgaver ut på anbud til privat sektor er jo sånt som arbeiderbevegelsen pleier å være mot. Kanskje det er venstresidens eget karmahjul som har innhentet Löfven?

Men saken er alvorlig nok. Digitaliseringen av samfunnet og forvaltningen skaper nye store sikkerhetsutfordringer. Det meste blir enklere og billigere når det digitaliseres, men sårbarheten øker. Sikre løsninger er dyre, både i investeringer og drift. Økonomien vinner ofte over sikkerheten.

I Sverige har man i tillegg, som i Norge, et innarbeidet sektorprinsipp i statsforvaltningen. Hvert departement eller etat svarer kun for sin egen del av virkeligheten. Dette gjør et sammenhengende sikkerhetsarbeid vanskelig. Betegnende nok fikk ikke den svenske statsministeren en gang vite om skandalen i Transportstyrelsen før januar i år, over ett år etter at den var et faktum.

Kunne dette skjedd i Norge? Ja. Og vi har allerede opplevd noen betydelige outsourcingsskandaler som ligner på den svenske. I Helse Sør Øst hadde utenlandske serviceteknikere tilgang til pasientjournaler i flere uker, før NRK avslørte sikkerhetshullet. Flere sjefer måtte gå av.

LES OGSÅ: Nordmenn frykter cyberangrep mer enn terror

I 2014 stanset produksjonen på Statoil opp etter at en konsulent i det indiske selskapet HCL, som hadde fått jobben med å drifte deler av oljeselskapets IT-system, gjorde en feil. I kjølvannet av dette ble det oppdaget betydelige sårbarheter i Statoils datasystemer.

I februar i år ble det avdekket at indiske IT-arbeidere i mange måneder hadde hatt tilgang til systemene som drifter Nødnett, det nye digitale sambandet som brukes av politiet og nødetatene. Tilgangen kom gjennom den norske underleverandøren Broadnet.

LES OGSÅ: Dataekspert advarer mot outsourcing

Dette er sakene som er kjent. Sannsynligvis er det langt flere sikkerhetshull i viktige norske IT-systemer. Både når det gjelder tilgang til opplysninger, og mulighetene for å plante skadevare i systemene.

Helt avgjørende deler av Norges digitale infrastruktur bygger på komponenter som leveres av utenlandske firmaer. Noen av dem fra land vi er allierte med, noen ikke.

Telenors 4G-nett er bygget ut av kinesiske Huawei. Det nye 5G-nettet som nå skal bygges ut, og som blir et av de viktigste nettverkene i Norge, skal også leveres av Huawei. De som leverer komponentene i slike nettverk, som rutere og annen fysisk infrastruktur, har tekniske muligheter til å legge inn nærmest usynlig programvare som kan tappe nettet, eller sette det ut av spill.

I land som USA og Storbritannia er det derfor krav om at slik avgjørende infrastruktur må være nasjonal. Slik er det ikke i Norge.

I en sikkerhetspolitisk krise regner man med at sabotasje, manipulasjon eller spionasje mot IT-systemer vil være sentrale virkemidler. De som kjenner inngangene til norsk digital infrastruktur kan sette store deler av landet vårt ute av spill. Mobilnett kan slutte å virke, sykehus og helsevesen kan slås ut, energileverandører og systemer som regulerer trafikk og samferdsel kan bli rammet dersom systemene ikke er sikre.

LES OGSÅ: Datakrim til å grine av

Det er dette som gjør sikkerhetsbristen i Sverige til en politisk skandale som kan ende med å felle regjeringen. En manglende evne hos myndighetene til å ta sikkerhet på alvor i møtet med en ny digital virkelighet.

I Norge arbeides det nå med en ny sikkerhetslov. Regjeringen la frem et forslag i juni. Sektorprinsippet gjør seg gjeldende også her. Lovforslaget utvider riktignok området som kan defineres som grunnleggende samfunnsfunksjoner, men departementene kan selv i en viss grad definere hva som skal omfattes av loven av det som ligger i deres område.

Her ligger det en betydelig risiko for at ting sklir utenfor den nye lovens krav til sikkerhet. Spesielt når man må avveie dyre tiltak mot stramme budsjetter. I privat eller delvis privat sektor vil det også kunne oppstå nye brister i sikkerheten, dersom ikke bevisstheten om dette blir større.

Kanskje kan den politiske skandalen i Sverige være en vekker. Outsourcing av nasjonal sikkerhet er ingen god idé uansett.

Her kan du lese mer om