En tekstboks som berører fokuset på og forståelse av sikkerhet, kompetanseunderskudd og -behov, sikkerhet både innenfor og utenfor landegrensene, risikovurderinger og tiltak, tjenesteutsetting og noen refleksjoner fra NSM (Nasjonal sikkerhetsmyndighet).

Det blir mye arbeid, diskusjoner og tekst i offentlige utvalg. Sammen med et knippe veldig bra folk og et veldig bra sekretariat har jeg i litt over 1 år fått være med å jobbe frem «NOU 2018: 14 IKT-sikkerhet i alle ledd — Organisering og regulering av nasjonal IKT-sikkerhet».

Et interessant, viktig og krevende arbeid, og samtidig som vi har jobbet har sikkerhet kommet stadig nærmere overflaten i den offentlige debatten. Debattene som også begynner å bære prege av at ikt-sikkerhet ofte kan være et tema som tvinger frem vilje til å sette hensyn opp mot hverandre.

Som vanlig er det mye lesestoff i en NOU, og med et mandat som bla stiller spørsmål om «er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet?» og «har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet?» er det mye rom for lange utgreiinger. Med tanke på mye av mediefokuset de siste par årene, og debatter som har vært og det er grunn til å tro kommer fremover er tekstboks 12.1 et godt sted å begynne med refleksjon for alle som jobber med sikkerhet, publiserer om sikkerhet, tar beslutninger om sikkerhet, utdanner i sikkerhet, gjør anskaffelser og flere.

En tekstboks som berører fokuset på og forståelse av sikkerhet, kompetanseunderskudd og -behov, sikkerhet både innenfor og utenfor landegrensene, risikovurderinger og tiltak, tjenesteutsetting og noen refleksjoner fra NSM (Nasjonal sikkerhetsmyndighet).

 

Boks 12.1 Tjenesteutsetting og offshoring
Det er mye debatt og mediedekning om mulige sikkerhetsrisikoer ved tjenesteutsetting og spesielt offshoring. Gjennomgående fokuseres det på sikkerhetsrisikoer som, i henhold til fremstillingene, antas å ville oppstå fordi tjenesteutsetting foregår utenfor Norge. Ofte bærer debattene og dekningen også preg av at databehandlingen er sikker eller til og med risikofri om den gjøres i Norge. En slik tilnærming til databehandling og risikovurdering er etter utvalgets syn i seg selv en sikkerhetsrisiko.

Av den offentlige debatten kan det også synes som at det er en utbredt oppfatning at det er forbudt å behandle data utenfor Norge. Et slikt generelt forbud finnes ikke.

Risikobildet varierer fra land til land, men det er ingen automatikk i at risikoene alltid er større utenfor Norge. Risikoen kan også være lavere. I Helhetlig IKT-risikobilde 2017 skriver NSM at «sårbarheter finnes i nær sagt alle virksomheter, systemer og infrastrukturer, både av teknisk, organisatorisk og menneskelig art». Hvor databehandlingen geografisk skjer er bare ett av flere momenter i den risikovurderingen som må gjøres for å kunne iverksette hensiktsmessige sikkerhetstiltak. Som utgangspunkt eksisterer de samme risikoene alle steder.

Uavhengig av hvilket land en tjeneste leveres fra, må man vurdere de samme forholdene, og gjennomføre mange av de samme tiltakene. Viser vurderingen at det knytter seg forhøyet risiko til enkelte forhold, må det iverksettes tiltak som reduserer risikoen til et akseptabelt nivå. Det må kontinuerlig vurderes om det er mulig å oppnå et akseptabelt sikkerhetsnivå for den gjeldende tjenesteleveransen. Denne risikovurderingen må inngå som en del av en samlet vurdering av fordeler og ulemper som følger av tjenesteutsettingen.

Tilgang på kompetanse er et viktig element når tjenesteutsetting skal vurderes. NSM påpeker at det er et økende gap mellom behov for og tilgang på sikkerhetskompetanse, og at dette utgjør en nasjonal sårbarhet. Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan redusere sårbarheten og bidra til bedre sikring av IKT-systemer og andre verdier.

NSM presiserer at tjenesteutsetting krever gode risikovurderinger og høy bestillerkompetanse. De ser at der sårbarheter lukkes, åpnes ofte nye. Likevel anbefaler NSM tjenesteutsetting, inkludert skytjenester, forutsatt at det gjøres grundige risikovurderinger.
Det finnes enkelte virkeområder i samfunnet som er regulert av lover og forskrifter som begrenser muligheten for offshoring (eksempelvis sikkerhetsloven og arkivloven). For øvrig gjelder en grunnleggende forutsetning om at den som skal gjennomføre en tjenesteutsetting, gjør en grundig risikovurdering knyttet til tiltaket og sikrer at uakseptabel risiko håndteres gjennom relevante avbøtende tiltak. NSM har utarbeidet en egen rapport om hvordan denne risikoen kan håndteres når det gjelder tjenesteutsetting til utlandet. Dersom en tjeneste skal leveres fra utlandet, anbefaler NSM at virksomheten vurderer landets statlige styringsindikatorer, IKT-sikkerhetstilstanden, IKT-infrastruktur og kompetanse samt forretningsstabilitet.

Sikkerhet kan også være en driver for tjenesteutsetting, særlig med fremveksten av skytjenester fra store, anerkjente IT-selskaper. Gitt at virksomheten har vurdert risiko og gjennomført tiltak for å bøte på risiko, vil tilgangen til store, profesjonelle sikkerhetsmiljø hos driftsleverandøren erfaringsmessig gi bedre sikkerhet, fordi kompetansen er større, sikringstiltakene er flere, og tjenester og løsninger i bruk er oppdatert til siste versjoner. I tillegg kommer det at denne typen tjenester baserer seg på standardisert teknologi, hvor leverandøren alltid sørger for løpende oppdatering.

Samtidig medfører tjenesteutsetting et endret risikobilde for virksomheten. Tjenesteutsetting kan føre til mindre kontroll over de tjenestene som kjøpes, og det stiller krav til effektiv leverandørstyring. Digitale verdikjeder, som det er vanskelig for en virksomhet å ha oversikt over, kan bli enda mer komplekse.

Resten av NOUen omhandler mer, blant annet forslag om et najsonalt senter for IKT-sikkerhet og en IKT-sikkerhetslov, den kan og bør leses her: https://www.regjeringen.no/no/dokumenter/nou-2018-14/id2621037/