Gode risikovurderinger må ligge i bunn ved anskaffelse av datasentertjenester eller reforhandling av eksisterende avtaler. Svikt kan i ytterste konsekvens gå ut over nasjonal sikkerhet. Derfor er sikkerheten og påliteligheten til datasentre viktig å ta hensyn til. I en fersk veiledning fra myndighetene kommer tre sentrale råd for å lykkes: gjør grundige risiko- og sikkerhetsvurderinger, gjennomfør kvalitetskontroll av datasenter-leverandøren og still tydelige krav i anskaffelsen.
Nasjonal sikkerhetsmyndighet (NSM) og Nasjonal kommunikasjonsmyndighet (Nkom) ser et økende behov for informasjon om sikkerheten ved kjøp av datasentertjenester i Norge. Derfor har de to myndighetene laget en veiledning for å bistå offentlige og private virksomheter i kjøpsprosessen, temarapporten «Anskaffelse av datasentertjenester».
Sikkerhet i datasenteranskaffelser
Norske virksomheter må stille krav til leverandører av datasentertjenester, slås det fast fra de to myndighetene. Veiledningen er et hjelpemiddel i anbuds- og anskaffelsesprosesser, og ment som et første trinn i å hjelpe virksomheter med utfordringer relatert til sikkerhet i datasenteranskaffelser. Kravene blir gjerne fastsatt i en anskaffelsesprosess eller reforhandling av eksisterende avtaler.
Rapporten tar opp ulike tema virksomheter bør ta stilling til ved anskaffelse av datasentertjenester, og kan benyttes av både offentlige og private virksomheter i ulike sektorer. Den gir en innføring i sikkerhet ved fysiske datasenteranskaffelser, og dekker temaer som sikkerhetsstyring, risikovurdering og sårbarheter i leveransekjeden. Gode risikovurderinger må ligge i bunn, heter det.
Nær 100% tilgjengelighet
For at samfunnet til enhver tid kan benytte seg av tjenestene som et datasenter understøtter, må mange datasentre tilby nær 100 % tilgjengelighet, fremgår det av rapporten. Nedetid eller driftsavbrudd kan få alvorlige konsekvenser, fra økonomiske tap til forstyrrelser i tjenesteleveranse. I ytterste konsekvens kan det true nasjonal sikkerhet. Derfor er sikkerheten og påliteligheten til datasentre viktig å hensynta.
De to myndighetene peker også på at enkelte datasentre har en større rolle når det gjelder nasjonal autonomi og suverenitet, og er essensielle for å understøtte samfunnskritiske funksjoner. Å ha kontroll over datasentrenes lokalisering, drift og sikkerhet er avgjørende for å beskytte sensitive eller samfunnskritiske data og tjenester samt å redusere Norges avhengighet til andre land. – Dette sikrer ikke bare nasjonal kontroll, men også at Norge kan opprettholde sin digitale infrastruktur uavhengig av eksterne forhold som hendelser og kriser i andre land, heter det.
Vurderinger før kontraktinngåelse
Virksomheter bør gjøre tilstrekkelige sikkerhetsmessige vurderinger ved anskaffelse av datasentertjenester eller reforhandling av eksisterende avtaler, fremholdes det i rapporten. Rapporten skal bidra til en overordnet forståelse av hva et datasenter er, de viktigste delene i et datasenter og hvordan det driftes. Denne kunnskapen vil gi grunnlag for å gjøre bedre risikovurderinger og kravstilling, som igjen vil bidra til å oppnå et forsvarlig sikkerhetsnivå gjennom hele avtaleperioden. Kravene til en leverandør blir gjerne fastsatt i forkant av et kundeforhold. Det er derfor viktig at tilstrekkelige vurderinger gjøres før kontraktsinngåelse, understreker de to myndighetene.
Tre sentrale råd er å finne i rapporten:
- Still tydelige krav: Virksomheter må inkludere datasenteroperatørene underveis i arbeidet. Still tydelige krav til operatørene og følg opp over tid. Benytt gjerne rapporten som hjelpemiddel i prosessen.
- Sikkerhetsvurderinger: Virksomheter må kartlegge sine egne verdier og behov, og gjennomføre grundige risiko- og sikkerhetsvurderinger når de kjøper eller reforhandler datasentertjenester.
- Kvalitetskontroll: Virksomheter bør undersøke om datasenteroperatøren har gode systemer for sikkerhet og kvalitet, som for eksempel tilstrekkelig strømforsyning, kjølesystemer, kontinuerlig overvåking og vedlikehold.
Bli den første til å kommentere på "Slik sikrer du sikkerhet og pålitelighet når du kjøper datasenter-tjenester"