Offshoring på grunn
UKENS LEDER: Det er på tide med en bred nasjonal debatt om hvorvidt sikkerheten blir ivaretatt i offshoring-avtaler.
Det blåser kraftig rundt flere store outsourcings-prosjekter i Norge, særlig i prosjekter med elementer av offshoring, hvor drift utføres fra lavkostnadsland.
Mens ledelsen hos kundene og leverandørene forsikrer oss om at sikkerheten og personvernet blir ivaretatt, viser enkelthendelser at ting kan gå galt, fryktelig galt.
NRK kunne i fjor høst avsløre at en indisk it-arbeider stanset produksjonen på Mongstad. Årsaken var en tastefeil. Men hva kunne en person, stat eller organisasjon fått til med slik tilgang og onde hensikter? Statoil forstod da at outsourcing til India hadde satt sikkerheten i fare.
Minst like ille var det når det på nyåret ble klart at Nødnettet, som myndighetene har investert enorme summer i, ble driftet muligens ulovlig fra India. Nødnettet er av avgjørende betydning for kongerikets sikkerhet og er definitivt definert som kritisk infrastruktur.
Begge disse eksemplene skjer altså til tross for forsikringer om at ”sikkerheten er ivaretatt” i outsourcingsavtaler.
De siste ukene har Computerworld snakket med flere ansatte i Sykehuspartner, i tillegg til sikkerhetseksperter som alle nå er bekymret.
Høsten 2016 valgte Helse Sør-Øst (og den interne it-leverandøren Sykehuspartner) å inngå avtale med HPE som partner for å modernisere regionens ikt-infrastruktur. Computerworld kunne i forrige uke fortelle at HPE vil benytte seg av ansatte fra øst-europeiske land til å utføre administrativ drift på infrastrukturen der pasientdata oppbevares. Dette mener vi er problematisk.
Har du tilgang til infrastrukturen, er veien til sensitive data kort. Og vi er ikke beroliget av Helse Sør Øst sine forsikringer om at: ”sikkerheten er ivaretatt”. Personvernrisikoen og sannsynligheten for korrupsjon henger sammen.
Outsourcing er imidlertid kommet for å bli. Store organisasjoner som DNB, Nav, Statoil og Helse Sør Øst er helt avhengig av eksterne partnere for å skape en moderne it-infrastruktur. Men det kan se ut som kundene har vært for naive i iveren etter å sette ut driften av kritisk infrastruktur.
Det er tid for en bred nasjonal debatt om hvorvidt sikkerheten blir ivaretatt i slike avtaler. Vi må rett og slett ta en pust i bakken før vi gyver på videre.