Sommeren 2017 rullet en IT-skandale i Sverige. Den svenske regjeringen ble hardt presset og flere statsråder måtte forlate sine poster. Dette ble utfallet etter at sensitiv informasjon kan ha kommet på avveie fra det svenske transporttilsynet.

Helt konkret ble hemmelige identiteter til svenske sikkerhetsagenter, politiagenter og militære styrker tilgjengelig for eksterne konsulenter som manglet nødvendig sikkerhetsklarering. Saken vakte stor oppsikt internasjonalt og paralleller ble trukket til Watergate-skandalen.

I Norge har vi foreløpig ikke opplevd saker av like alvorlig karakter, men saken gir viktig læring knyttet til outsourcing: Manglende kontroll og oppfølging kan få svært alvorlige konsekvenser. Likevel mener vi at outsourcing, riktig implementert, er en av de beste metodene for myndighetene til å øke IT-sikkerheten og gi bedre og mer effektiv service til brukere og innbyggere.

I de senere år har outsourcing blitt stadig mer utbredt i offentlig sektor, med flere virksomheter som velger å outsource hele eller deler av IT-driften til eksterne leverandører. Dette har gjerne gått sammen med økt bruk av skytjenester. Nå kommer en politisk motreaksjon om at det offentlige skal ta tilbake mer av IT-driften i egen regi. Denne bør ikke få gjennomslag. Den totale andelen av outsourcing innen IT er trolig  svært lav. Basert på anslag fra Statens Servicecenter i Sverige går mindre to prosent av IT-kostnadene til outsourcing. Og det er liten grunn til å tro at andelen er høyere i Norge. Dermed går mange offentlige virksomheter glipp av muligheten til bruke ressurser – og skattepenger – mer effektivt.

Et argument som ofte er brukt mot outsourcing er at brukerne får mindre kontroll, spesielt når utenlandske borgere er involvert. Vi mener at dette er en svak argumentasjon. Når lover brytes og kontroll mislykkes, kan konsekvensene bli alvorlige uansett hvordan du velger å drive din IT eller i hvilket land dataene håndteres. Det handler primært om lederskap, ikke outsourcing. Tvert imot er outsourcing en utmerket modell for å øke informasjon og kontroll i offentlige virksomheter. De som tror at du har mer kontroll og bedre beskyttelse bare fordi du kan se på serverne selv og harddiskene, lurer seg selv. Faktisk er den beste måten å både øke IT-sikkerheten og sikre tilgjengeligheten, å ta i bruk en organisasjon som spesialiserer seg på dette – og i tillegg gjør den i stor skala med de nødvendige ferdighetene.

Verken offentlig sektor eller norsk IT-næring kan bli konkurransedyktig uten bruk av outsourcing. Offentlige virksomheter kan ikke opprettholde kostnadseffektiv drift ved å løse alt selv. De vil mangle kompetanse og falle akterut i den raske teknologiske utviklingen som finner sted. Det gjelder ikke bare nye teknologier med stadig flere sammenhengende løsninger, skyttjenester eller nye tjenester for borgerne, men også parallell utvikling av nye og avanserte sikkerhetstrusler.

Ansvar og kontroll kan aldri outsources. Myndighetene må selvfølgelig ha kontroll over hvordan og hvor informasjonen lagres og etablere nødvendige sikkerhetsforanstaltninger og avtaler. Vi i IT-bransjen gjør vår del for å sikre at dette skjer i nær dialog med våre kunder, og vi kan levere det sikkerhetsnivået som kunden ønsker

Tidligere i september oppnevnte Regjeringen et IKT-sikkerhetsutvalg. Utvalgets oppgave er å se på regelverk og organisering innenfor IKT-sikkerhet. Målsettingen er økt IKT-sikkerhet. Dette er et prisverdig tiltak. Utvalget skal levere sin utredning i desember 2018, men det er mange nye tiltak som skal innføres før den tid, blant annet må alle følge opp de nye personvernreglene til EU.

Det som gikk galt i Sverige vil bli diskutert i lang tid fremover, og lærdom av erfaringer er avgjørende for det videre arbeidet med digitalisering og IT-sikkerhet også i Norge.  Men en ting er sikkert: outsourcing er ikke problemet, men en vesentlig del av løsningen dersom Regjeringen skal lykkes med ambisjonen om å gjøre Norge til et verdens mest innovative land, slik det sto i regjeringserklæringen fra 2013.

(Av Roger Schjerva, sjeføkonom, IKT-Norge og Gunnar Nybø, leder for offentlig sektor, Tieto Norge. Opprinnelig publisert i Dagens Næringsliv 18.10.17).