Säpo

Outsourcing och offshoring av IT-tjänster kan vara en säkerhetsrisk för svenska myndigheter

Globaliseringen och utvecklingen av elektroniska kommunikationsnätverk ger stora möjligheter att få olika tjänster utförda var som helst i världen. Detta har blivit allt vanligare inom IT-området och leder till utläggning av tjänster — så kallad outsourcing, som är när en extern aktör utför utvecklings-, underhålls- eller driftsarbete av system — och offshoring, som är när outsourcingen sker till en aktör i ett annat land.

Det finns många fördelar med outsourcing och offshoring — en mängd olika verksamheter och system kan skötas av andra. Men för svenska myndigheter innebär det att staten riskerar en sämre kontroll över samhällsviktiga system. Vid offshoring blir man dessutom beroende av det internationella säkerhetsläget. Om det förändras, och det kan gå snabbt, saknas i värsta fall kompetens, kapacitet och tid för att kunna flytta hem system och samhällsviktig information.

Innan de lägger ut tjänster till andra aktörer och länder bör myndigheter och företag genomföra årliga och genomgripande säkerhetsanalyser. När det gäller verksamhet som är viktig för det svenska samhället och rör rikets säkerhet bör de särskilt beakta sekretesslagens bestämmelser om utlämnande av uppgifter och möjligheten att genomföra och kontrollera säkerhetsskyddet. Offshoring bör endast ske efter särskilda överväganden och man måste noga överväga de säkerhetsrisker som det kan innebära. Svensk lagstiftning gäller inte utomlands och möjligheterna till en fullgod säkerhetsprövning av personal och möjligheten att utföra tillsyn eller genomföra kontroller begränsas. Det är dessutom svårare för svenska myndigheter att bedöma säkerhetshotet i de länder där man lagt verksamheten.

Ökade säkerhetsbrister och sämre kontroll

Dessutom innebär outsourcing att flera kunders system och information blandas i samma fysiska datorsystem. Olika kunders data kan därför hamna i samma lagringsmiljöer, switchar, routrar och brandväggar. Ofta söker leverantören kostnadsbesparingar som leder till att system förs samman och virtualiseras, det vill säga ett fysiskt system uppträder som flera logiska. Det innebär att en kunds externa webbserver kan placeras på samma fysiska maskin som en annan kunds interna databasserver ligger. Detta medför en ökad risk då en störning i en kunds system kan orsaka störningar även i andra kunders system.

Att ha tillräcklig kontroll över leverantörens driftspersonal är också svårt. Vilka rättigheter har de att komma åt kunders information? Hur stor omsättning har leverantören på sin personal? I hur stor utsträckning använder man sig av konsulter? Det har kunden ofta ingen eller liten insyn i. När en stor mängd information från flera olika myndigheter och företag världen över hamnar hos en enskild leverantör riskerar den dessutom bli en central punkt för till exempel andra länders underrättelseinhämtning.

Ekonomi går före säkerhet

Drivkraften bakom outsourcing och offshoring är framför allt ekonomisk. Genom att ta på sig ansvaret för att sköta IT-verksamhet för flera företag och myndigheter kan outsourcingbolagen sänka kostnaderna. Om verksamhet förläggs till länder där löneläget för välutbildad och IT-kunnig personal är betydligt lägre än i Sverige sänks kostnaden ytterligare. Genom att begränsa sig till enbart ekonomiska analyser ökar risken för att allvarliga sårbarheter uppstår som potentiella angripare kan utnyttja.

Tydligare avtal behövs

Säkerhetspolisens erfarenhet är att många myndigheter och företag som lägger ut verksamhet på andra aktörer och länder inte hanterar säkerhetsfrågor med tillräcklig kraft och inte heller ser till att detta ingår i avtalen. Det är därför mycket viktigt att man som kund ser till att man enligt avtalet har rätt till opartiska säkerhetsrevisioner. En myndighet kan inte heller avtala bort sitt ansvar för en viss verksamhet.