Utelukker ikke at digital konkurranseutsetting gir datalekkasjer
Nasjonal sikkerhetsmyndighet mener det må være nasjonal kontroll over sensitive data og kan ikke utelukke at viktige opplysninger lekker ut når IT outsources.
– Å gjøre gode vurderinger for hva slags informasjon som er kritisk for samfunnet, er viktigere enn noen gang. Informasjon som samfunnet ikke har råd til å tape, bør underlegges en form for nasjonal kontroll og ikke outsources uten gode prosesser, sier fagdirektør for sikkerhetssystemer i Nasjonal sikkerhetsmyndighet, Roar Thon, til Klassekampen.
I Sverige ruller en IT-skandale der sensitive opplysninger om personer under vitnebeskyttelse og om svensk infrastruktur kan ha havnet i hendene på uvedkommende fordi østeuropeiske IT-arbeidere uten sikkerhetsklarering har fått tilgang til Transportstyrelsen datasystemer etter en IT-outsourcing.
Leverandørdatabasen som Kommunal Rapport har satt sammen, viser at kommuner og fylkeskommuner i 2015 var innkjøp fra leverandører registrert i IKT-bransjen på minst 1,8 milliarder kroner. Drift av IKT-systemer er ikke egne kontoer i de nasjonale regnskapsstandardene for Kommune-Norge. Regnestykket er kun basert på hvilke leverandører som er registrert å jobbe innen informasjonsteknologi. 74 kommuner brukte i 2015 minst 5 millioner kroner på å kjøpe varer og tjenester fra denne typen selskaper.
Mener kontrollen er god
Thon mener det er god kontroll på norske, offentlige registre. Til Klassekampen sier han at en av lærdommene fra den svenske skandalen, er at når stadig flere offentlige tjenester blir digitalisert, må aktørene gjøre helhetlige risikovurderinger som omfatter mer enn sin egen sektor.
IT-skandalen i Sverige følges med interesse av IKT-Norge. Organisasjonen mener at saken viser at IT-sikkerhet må prioriteres mye høyere også i Norge.
–Denne saken viser at IT-sikkerhet må prioriteres mye høyere – også i Norge. Nå må alle norske ledere og politikere forstå hvor viktig IT-sikkerhet er, sier IKT-Norges administrerende direktør Heidi Austlid til NTB.
IT-skandalen i Sverige kan få politiske konsekvenser. Maria Ågren, lederen for det svenske transporttilsynet Transportstyrelsen, gikk brått av i januar i år, og tidligere denne måneden ble det kjent at Ågren hadde erkjent brudd på regelverket om databehandling etter at hun i 2015 besluttet at det kunne gjøres avvik fra lovene som beskytter sensitiv informasjon hos Transportstyrelsen.
Dermed kan sensitiv informasjon som gjør det mulig å spore opp personer med hemmelig identitet og adresse ha kommet på avveie.
– Norge er ganske likt Sverige
– Hoder ruller i den svenske statsforvaltningen, og den politiske opposisjonen vurderer mistillit mot en eller flere svenske statsråder. Norge er ganske likt Sverige. Etter dette må alle politiske og byråkratiske ledere sette gode rutiner for sikkerhet og personvern høyt på sin egen arbeidsliste, mener Austlid. Samtidig understreker hun at det er viktig å ikke gjøre IT-sikkerhet til del av et politisk spill.
– Det er lett å hausse opp slike saker, men det må ikke bli et sikkerhets-teater. Ledere må sikre at de grunnleggende strukturelle og gjennomgripende endringene tas, sier hun.
Store variasjoner
Austlid mener at det er store variasjoner i hvordan personvern og sikkerhet generelt prioriteres i Norge.
– Enkelte er gode, mens andre har andre lang vei å gå. Det er viktig å huske på at de som gjør det bra også har konkurransefordeler, både innenfor det private og offentlige. Man må slutte å se på IT-sikkerhet som en ren byrde, mener IKT-direktøren.
Hun mener at det viktigste er å ha sikkerhet på dagsordenen hele tiden i beslutninger. uansett hvor i organisasjonen de tas.
– Sikkerhetsperspektivet må inn i toppledelse og styrerom. Man må sikre at det er én person som har overordnet sikkerhetsansvar, og at vedkommende har en tung stemme når kjernebeslutninger tas. Selv om risikobildet kan variere, er det i hovedsak de samme vurderingene og tiltakene som må gjøres uavhengig av hvem som drifter og har ansvar for dataene, avslutter Austlid.