Opinion
”Outsourcing – förutsättning för att klara it-säkerheten”
DEBATT. Låt skandalen på Transportstyrelsen bli en väckarklocka. Detta är ingen isolerad händelse i den offentliga sektorn utan ett vanligt exempel på att beställarna saknar säkerhetskunskaper. Det är inte outsourcing av it-tjänsterna som är problemet – tvärtom, enligt Olle Segerdahl på F-Secure.
Oavsett om vi tittar på skandalen kring Transportstyrelsens upphandling av it-tjänster eller det nyligen uppdagade fallet med Polisens interna löne- och personalsystem så är det beklagligt att diskussionen så tydligt fokuserar på ansvarsutkrävande – på att huvuden ska rulla. Istället borde vi titta på de systemfel och kunskapsbrister som orsakat dem. Det här är inga isolerade fall, och det är inget som är typiskt för offentlig sektor.
I dagens digitaliserade samhälle är de flesta företag, myndigheter och organisationer beroende av externa partners och leverantörer av it-tjänster för att få den dagliga verksamheten att fungera.
Allt från e-post och kalenderhantering för slutanvändare till databashantering och drift av affärskritiska applikationer läggs ut på entreprenad. Förklaringarna är många. Bland annat råder det en stor – och växande – brist på kvalificerad it-personal som har den utbildning och den förståelse som krävs för att hantera den digitala transformationen. Inte minst gäller det inom säkerhetsområdet.
Således är det både lockande och enkelt att köpa in en tjänst som fungerar utan att lägga tillräcklig tanke på – och ta tillräckligt ansvar för – säkerhetsfrågorna.
Ofta skrivs det tydliga kravställningar på vad tjänsten ska tillhandahålla, på tillgänglighet och på support. Det läggs stor omsorg vid sådant som avtalslängd och ansvarsfördelning, och självklart spelar även prislappen stor roll när beslutet väl ska fattas.
Läs mer:
Ni ser vart vi är på väg? Var själva problemet ligger?
Säkerhet och dataintegritet är sällan faktorer i den här processen. Alltför ofta tar man för givet att leverantören ska ta det ansvaret (vilket ironiskt nog lämnar fältet öppet för leverantören att ta för givet att den upphandlande organisationen ska göra det).
Men även när avtalet innehåller krav på säkerhet så saknas oftast tydliga definitioner av vad som förväntas av leverantören. Jämfört med exempelvis tillgänglighet, där man kan sätta tydliga mätbara mål, är det betydligt svårare att kvantifiera säkerhetsarbete. Denna oklarhet medför risker som beställaren inte förutsett och omöjligt kan bedöma.
Ibland kan det handla om något så grundläggande som att leverantörens system delas av flera olika kunder, eller något så enkelt som att den lagrade informationen blir tillgänglig för deras personal. Det medför dolda risker för informationsläckage och kan utgöra en risk gällande såväl säkerhet som integritet – precis som vi sett i Transportstyrelsens upphandling.
Ofta är det ont om tid när avtal ska tecknas och beslut ska fattas, och under tidspress verkar det särskilt lätt att glömma bort säkerhetsfrågan – eller som det verkar vara i fallet med Polisen, att medvetet göra avsteg från rådande reglemente och lagar.
Men det finns undantag – exempel på föredömligt duktiga beställare – inom både privat och offentlig sektor. Dessa har ofta några saker gemensamt. De har gjort sin hemläxa innan de sätter igång upphandlingsprocessen – de har en tydlig bild av vad de vill ha och behöver, och de tar in säkerhetsfrågan i alla delar av processen.
Läs mer:
De tänker redan i ett tidigt skede igenom vilken information som ska hanteras, vilka möjliga risker som finns (och vilka lagar som kan tänkas vara applicerbara). En sådan riskanalys är nödvändig, oavsett om det är den egna organisationen eller en leverantör som ska stå för säkerhetsarbetet.
Den som inte gjort hemläxan hamnar i en position där de omöjligt kan ställa rätt krav på leverantören.
Outsourcing behöver inte betyda försämrad säkerhet, tvärtom kan det ofta leda till bättre säkerhet i och med att säkerhetsarbetet tas över av någon med mer kunskap, större erfarenhet och bättre resurser. Men det kräver att man tänker rätt från början, att man är tydlig med vad som gäller när man skriver avtal och att man varken stressar igenom processen eller fäster för stor vikt vid prislappen.
Egentligen borde skandalen på Transportstyrelsen fungera som en väckarklocka och ge upphov till en livlig debatt om de underliggande faktorerna, om de systemfel som ledde fram till den. Men istället är det skygglapparna på som om det handlar om en isolerad händelse.
Det är dags att sluta blunda och ta tag i problemet.
/Olle Segerdahl, IT-säkerhetskonsult på F-Secure
