– Det er trygt å bruke utenlandske skytjenester. Det kan være bedre enn å håndtere det selv in house. Alle virksomheter må imidlertid være seg svært bevisst hva de tjenesteutsetter og hvilken risiko det innebærer. Konklusjonene kommer fra Nasjonal sikkerhetsmyndighet i en kommentar til Anbud365s reportasje om en svenske rapport som skremte de offentlige innkjøpsmiljøene i vårt naboland.
Anbud365 bragte forleden nyheten om at da en «tung», offentlig ekspertgruppe i Sverige la fram sin rapport om sky-tjenester gikk alarmen i svenske offentlig innkjøpsmiljø. Gruppen slo fast at ved bruk av utenlandske, f.eks. amerikanske, skytjenester, er det ingen garanti for at sikkerhetsbelagte opplysninger ikke havner i hendene på uvedkommende.
Det var en rapport fra eSam som vekket offentlige oppdragsgivere i Sverige, melder upphandling24.se. eSam er et samarbeid mellom 23 myndigheter og Sveriges Kommuner och Landsting med formål å fremme og påskynde digitaliseringen av det offentlige Sverige.
Trygt i Norge
Anbud365 ville gjerne vite hvordan dette er i Norge og tok kontakt med Nasjonal sikkerhetsmyndighet (NSM) for kommentar:
– Det er trygt å bruke utenlandske skytjenester. Det kan være bedre enn å håndtere det selv in house. Alle virksomheter må imidlertid være seg svært bevisst hva de tjenesteutsetter og hvilken risiko det innebærer. Tjenesteutsetting må gjøres etter en grundig verdi- og risikovurdering. Det vil alltid eksistere risiko. Risikoen må vurderes opp imot hvor verdifull informasjonen er, heter det i meldingen fra avdelingsdirektør Mona Strøm Arnøy i NSM, som også viser til en veiledning de har utarbeidet om dette: «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting».
Fem nøkkelpunkter
Der heter det at for å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for:
- Oversikt og kontroll på hele livsløpet
- God bestillerkompetanse
- Gode risikovurderinger for å kunne ta riktig beslutning
- Riktige og gode krav til IKT-tjenesten og til leverandør
- Riktig beslutning på riktig nivå
NSM skriver i sin veiledning at tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.
Er virksomheten «rigget»?
En tjenesteutsetting, fremholder NSM i veiledningen, stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både sikkerhetsloven og personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette.
Bli den første til å kommentere på "Nasjonal sikkerhetsmyndighet: Trygt å bruke utenlandske skytjenester"