JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.

Berit Svendsen, Telenor Norge:

– Outsourcing er risikosport om man ikke har orden i eget hus

Outsourcing ble debattert i Arendal. Det er viktig med kontroll, kan panelet enes om. Og viktig med teknologer som sier fra om noe skurrer.
DEBATTERER: Tekna arrangerte debatt under stikkordet «hvem skrudde av severen?» F.v. avdelingsdirektør i Nasjonal kommunikasjonsmyndighet Einar Lunde, adm.dir i Telenor Norge Berit Svendsen, direktør i Datatilsynet Bjørn Erik Thon, Tekna-president Lise Lyngsnes Randeberg og fagdirektør for sikkerhetskultur i NSM Roar Thon. Ordstyrer Shahzad Rana.

DEBATTERER: Tekna arrangerte debatt under stikkordet «hvem skrudde av severen?» F.v. avdelingsdirektør i Nasjonal kommunikasjonsmyndighet Einar Lunde, adm.dir i Telenor Norge Berit Svendsen, direktør i Datatilsynet Bjørn Erik Thon, Tekna-president Lise Lyngsnes Randeberg og fagdirektør for sikkerhetskultur i NSM Roar Thon. Ordstyrer Shahzad Rana.

Leif Martin Kirknes

leif.kirknes@lomedia.no

Tekna tok opp IT-outsourcing til debatt under Arendalsuka. Foreningen har ikke noe prinsipielt imot outsourcing i seg selv og heller ei at mye kritisk infrastruktur er driftet av private bedrifter, men er opptatt av sikkerheten. Det kan være en krevende øvelse å holde tunga rett i munnen i outsourcingens verden, tror Tekna-president Lise Lyngsnes Randeberg. Hun registrerer at flere virksomheter det siste året har hentet hjem drift som har vært outsourcet.

– Ofte er det sånn at IT-systemene er en blanding av gamle løsninger og nye løsninger. Har man en dør inn i systemet har man ofte tilgang til hele korridoren. I prinsippet skulle man kanskje røsket ut alt og begynt på nytt, men det er kostbart, sier hun.

Presidenten mener det er viktig å sikre helhet i regelverket rundt outsourcing av tjenester.

– Vi må ha klare og tydelige regler og noen til å forvalte de reglene. I dag har vi et system der ulike fagtilsyn har ansvar på sine områder, noen av dem med ansvar for mer eller mindre av det digitale. Alle bør ha ansvar for IT og digitalisering innenfor sin sektor, mener hun.

Selv jobber hun med sensorteknologi for medisinsk bruk, og når disse sensorene skal sertifiseres til klinisk bruk stilles det gjerne spørsmål om pasienten kan få støt, men ikke om sensordata kan havne på avveie eller systemet kan bryte sammen og slutte å fungere.

Kompetanse er sentralt i det hele, mener presidenten. Hun mener innkjøpskompetanse og fagkompetanse må være tungt inne i vurdering av risiko og sårbarhet rundt tilbudene man henter utenfra.

Det må sitte kompetanse i styret og det er viktig at informasjon ikke stopper på mellomledernivå og ikke når styret. Teknologi og teknologiforståelse vil hun ha på plass helt fra tidlig i skolen og med bedre satsning også innenfor høyere utdanning og forskning.

Kontroll i eget hus

Avdelingsdirektør i Nasjonal kommunikasjonsmyndighet Einar Lunde mener lange digitale verdikjeder kan være et problem: du ser ikke sammenhengen før det går galt. Et utløpt sertifikat på en server i Romania kan gjøre at en betalingstjeneste på Toten går ned. Da er ikke risikoerkjennelsen god nok, mener han.

Men legger til at det blir ensidig å snakke om outsourcing som risikosport. Vi er en del av et internasjonalt tjenestemarked der vi er avhengige av kompetanse og systemer for andre land. Vi må gjøre noe med det vi faktisk kan gjøre noe med og legge det andre til side, mener Lunde.

– Outsourcing blir risiko først når du ikke har kontroll i eget hus. Da blir det som å henge ut skittentøyet i sola uten å vaske det først. Men med riktig kompetanse kan outsourcing bidra til å styrke sikkerheten. Problemet er at vi altfor ofte ikke har orden og kompetansen som trengs og ikke lar kompetansen vi har slippe til på riktig tid og sted når beslutninger tas, sier han.

Administrerende direktør Berit Svendsen i Telenor Norge støtte oppunder den.

– Outsourcing er risikosport om man ikke har orden i eget hus. Det første man skal spørre seg om når man setter ut er hva slags type data som ligger i det systemet. Om det er kundedata så gjelder personvernlovgivningen for Norge og partneren i utlandet, sier hun.

Om det er snakk om samfunnskritisk infrastruktur, handler det om sikkerhetsklarering, legger hun til.

Må ha noen som sier fra

Telenor har outsourcet litt i løpet av de siste 15 årene. Blant annet har de outsourcet deler av det gamle fastnettet som er basert på 70-tallsteknologi. Maskinvaren driftes fra Norge, men applikasjonene fra et annet land. Teknologien i fastnettet er såpass gammel at data ikke automatisk lar seg overføre fra fastnett-systemet og over til Telenors mer moderne kundesystemer, og Telenor har blant annet satt ut jobben med å hente ut data fra det ene systemet og legge inn i det andre systemet.

Mens det er andre sider av fastnettet de har vurdert å outsource, der de har avbrutt prosjektet fordi det ville gitt utenforstående for mye innsikt i Telenors infrastruktur.

– Vi har noen vellykkede prosjekter, men det er viktig å ha sikkerhet og sikkerhetsdirektøren rundt lederbordet. Man må ha noen som sier fra når andre sitter og nikker. Noen som stiller de riktige spørsmålene, sier Svendsen.

Man må også ha gode sikkerhetsrutiner om hvordan man drifter, hvem som har tilgang til hva, hva de som har tilgang til kan gjøre, logger for å se om noe avviker samt simple ting som å stenge ned brukerkontoer når folk slutter, legger Svendsen til.

Ikke bare data-på-avveie

Fagdirektør for sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM) Roar Thon understreker Einar Lundes poeng om at vi på alle måter er omgitt av internasjonal og utenlandsk teknologi, og nevner at han har brukt svært mye utenlandsk teknologi bare for å komme seg til Arendalsuka.

Han ser andre problemer i debatten om IT-sikkerhet enn bare den «vante» diskusjonen om konfidensielle data på avveie. Hva hvis informasjon tas til gissel, påpeker han.

– Tenk hvis vi ikke kan kjøre trygdeutbetalinger fordi en aktør vi har kommet i konflikt med hindrer oss i det? Det må vi tenke på, sier han.

At det er behov for et kompetanseløft i det norske samfunnet kan han være enig om.

– Jeg hørte fra en i Helse Sør-Øst-saken som ikke forstod problemet da bulgarere jo ikke snakker norsk. Da har vi litt å jobbe med, sier Thon, som poengterer at alle egentlig driver med IT-sikkerhet i hverdagen.

God risikovurdering essensielt

Bjørn Erik Thon i Datatilsynet er ikke for eller mot outsourcing. Er det gjort riktig, er det bra. Er det ikke gjort riktig, er det ikke spesielt bra. Det handler mye om forarbeid. Thon sier de altfor ofte ser tilfeller av dårlige eller mangelfulle risikovurderinger når de er på tilsyn.

Risikovurdering er blant temaene når de nå ser på Helse Sør-Øst-saken. Thon understreker at de ikke har konkludert i saken og uttaler seg derfor ikke om denne, men sier de vil se på ting som hva slags risikovurdering som er gjennomført, hvem som har hatt tilgang og hvor brede tilgangene har vært.

– Det er ikke mulig å drive godt sikkerhetsarbeid i en bedrift om man ikke gjør risikovurdering. Det er basen for alt man gjør, sier han.

– Vi ser en del tilfeller der data som ikke skal komme på avveie kommer på avveie fordi ansatte har gjort feil eller har manglende opplæring. Det har kanskje ikke så mye med cyberangrep å gjøre, men handler også om tillit til å bruke tjenester. Det brukes mye penger på digitalisering, men på den andre siden må vi også ha tillit til å bruke det, sier han.

GDPR nytt våen

Thon sier mange feil begynner i det små. Han er overrasket over hvor vanlig det er med cyberangrep som starter med at noen klikker på feil vedlegg, som var et velkjent tema selv da han var forbrukerombud for sju års tid siden.

Tilsynets nye våpen mot sløve tilstander har fått den fiffige forkortelsen GDPR, General Data Protection Regulation, et regelverk fra EU som trer i kraft like før neste sommer. Personvernsforordningen (eller «den nye personvernsforordningen») omtales det gjerne som på norsk.

Regelverket gir mulighet til å ilegge ekstremt saftige bøter på opptil fire prosent av selskapers globale omsetning og er ment å tvinge bedrifter til mer bevissthet rundt hvordan de håndterer sine kundedata og sensitiv informasjon.

– Persondata er attraktive data som mange vil ha tak i av ulike grunner. Da må man bygge gode rutiner for å sikre disse dataene. Når det går mye galt må man skjerpe regelverket, og det gjøres nå, sier Thon, som understreker at Datatilsynet også har en veiledningsrolle og at han ikke nødvendigvis ser for seg å dele ut bøter til heftet tomt for blekk.

– Vi ser ikke for oss å håndheve regelverket primært ved hjelp av gebyrer. Vi har andre verktøy også, sier han.

Er Google kritisk norsk infrastruktur?

Olav Lysne er direktør i Simula og har også ledet to sårbarhetsutvalg, Lysne I og Lysne II. Han innser at ikke alle er enige i alt som har kommet ut av disse utvalgene, men mener det viktigste er at diskusjonen har kommet på dagsordenen.

– Når det gjelder outsourcing er jeg ikke av de som for enhver pris vil være negativ til outsourcing og offshoring. Det handler om håndverk, og gjøres det godt og riktig kan det være en god ting, sier Lysne.

Han må flire litt av Helse Sør-Øst-saken.

– De sa de skulle drifte systemet fra Bulgaria uten at bulgarerne skulle ha tilgang til data. Jeg har aldri hørt om at det går an, og rundt om alle lunsjbord i Norge satt det folk og lo godt av det. Likevel ble det sagt i fullt alvor, og beslutningene ble basert på det, statsråd orientert om det. Noe slikt ville ikke skjedd om det satt teknologer på toppen, tror Lysne.

Debatten om outsourcing til side, Lysne er svært interessert i å drøfte hva som regnes som kritisk norsk infrastruktur i en globalisert og digitalisert verden. Er Googles server i Irland norsk infrastruktur, undrer han, og legger til at han hørte om noen på krigsskolen som diskuterte i Whatsapp, fordi tjenesten er kryptert. Vil det si at Whatsapp kan være kritisk norsk infrastruktur?

– Det er ikke nødvendigvis slik lenger at begrepet norsk infrastruktur må være noe som er innenfor norsk territorium, poengterer han, uten å konkludere med om det er bra eller dårlig – men at det i alle fall er viktig å ha et tungt blikk på problemstillingen, sier han.

Uoversiktlig

Han trekker opp mobilen sin.

– Denne inneholder komponenter fra kanskje opp mot tolv forskjellige land, produsert i mange forskjellige systemer. Jeg er forsker. Gi meg uendelig tid og ressurser til å finne ut hva denne kan gjøre, så må jeg nok likevel si «beklager, det er ikke mulig», sier Lysne.

Det er i motsetning til slik det var før, påpeker han. Før kunne vi kjøpe et gevær, plukke det fra hverandre og si hvordan det er laget. «Siktet er feil» eller «denne vil ikke kunne skyte» for eksempel.

– I elektronikk har vi mistet dette. Når vi kjøper elektronikk er vi henvist til i beste fall svaksynt, om ikke blind, tillit, og det er en realitet vi ikke kan gjøre noe med. Men vi kan være klare over det og forholde oss til det, sier Lysne, som minner om at norsk infrastruktur som tele og strøm på lik måte er bygget av uendelig mange mennesker med uendelig mange bakgrunner fra uendelig mange land, sier han.

Roar Thon i NSM legger til at vi vet lite om andre lands kapasiteter militært i cyberdomenet.

– Ingen av landene er interessert i å vise hva slags kapasiteter de har, så vi må sørge for at blir sikrere, selv om det ikke er noen garanti for at vi kan stå imot om noen går løs på oss, sier han.

Må være bedre enn trusselaktørene

Berit Svendsen i Telenor sitter på en stor porsjon kritisk infrastruktur. 80 prosent av kommunikasjonen her til lands går gjennom deres nett. Hun mener Norge ikke er godt nok rustet for et cyberangrep, selv om vi har blitt bedre.

Svendsen skulle gjerne sett bedre deling av informasjon mellom privat og offentlig.

– Å ha forståelse av hvem trusselaktørene er, er viktig for å gjøre en risikovurdering av hva slags kapasiteter, kapabiliteter og intensjoner aktørene har. Den situasjonsforståelsen bør være en felles oppfatning mellom aktører som myndigheter, telekomleverandører, og bank, strøm, finans, sier Svendsen.

Mye av det som angripes i Norge eies av private aktører, påpeker Svendsen. Det er viktig å overvåke egne nett etter unormal trafikk slik at man finner ut om noen er på innsiden. Men om man finner noen på innsiden, slik Telenor tidligere har gjort, er det ikke nødvendigvis lurt å hive dem rett ut.

– Vi hadde en kinesisk aktør på innsiden av våre systemer. Hvis vår sikkerhetsavdeling hiver dem ut, kommer de bare tilbake igjen med verktøy vi ikke kjenner. I stedet observerte vi dem og lærte av dem. Den eneste måten å gjøre det på er å være bedre enn trusselaktørene og verktøyene disse bruker, sier Svendsen.

Snakke så folk forstår

Hun skulle ellers gjerne sett at politiet håndterte datainnbrudd i cyberspace som innbrudd i den fysiske verden.

– Politiet må få en større rolle innen forebygging og informasjon om hvordan virksomhetene skal etterforske etter datainnbrudd. Det er kriminelt å bryte seg inn, enten det er fysisk eller i cyberspace, sier hun.

Roar Thon påpeker at politiet allerede har ansvar for å forebygge og etterforske kriminalitet, men er klar på at det ikke er slik at de kommer stormende inn på serverrommet når noe skjer – det må systemeierne ordne opp i.

Han mener for øvrig at Thons nevnte GDPR er en flott drivkraft for å få mer oppmerksomhet rundt IT-sikkerhet.

– Men GDPR stiller også større krav til oss sikkerhetsfolk. Vi har mast og skremt og nesten truet oss plass for å snakke om hvor viktig sikkerhet er. Nå begynner vi å bli hørt. Da er det viktig at vi snakker et språk folk forstår, sier han.

Warning
Dette er en sak fra

Vi skriver om ansatte innen elektro, energi, telekom og IT.

Les mer fra oss

Annonse
Annonse