Hur har kontrollen av outsourcing stärkts efter Transportstyrelsens haveri?

Outsourcing av IT kan ske av olika skäl, oftast kostnadsmässiga, men även då teknik och kunskap enbart finns hos aktörer utanför egna verksamheten. Outsourcing behöver inte vara problematisk. Dock kan det innebära att flera kunders system och information hanteras i gemensam IT-miljö hos leverantör med riskexponering som följd, samt som möjligt mål för främmande makts underrättelseinhämtning. Säkerhetspolisen har pekat på dessa sårbarheter, som kan omfatta såväl myndigheter som privata företag, i flera år. Transportstyrelsens hantering vid outsourcing av IT-drift till IBM har undgått få. Bristande kontroll i upphandling gjorde att en leverantörs personal i andra länder som inte säkerhetsprövats, gavs tillgång till system med mycket känsliga uppgifter, t.ex. om individer med skyddad identitet inom Polismyndigheten. Detta efter ett aktivt val av Transportstyrelsens dåvarande generaldirektör att göra avsteg ifrån säkerhetsskyddslagen. En regeringskris med flera ministrar som avgick var ett faktum. Domaren i Högsta förvaltningsdomstolen, Thomas Bull, fick i uppdrag att utreda orsakerna till detta haveri. Utredningen visar att grundorsaken till det inträffade var att man på Transportstyrelsen inte visste vilken känslig information man hade (otillräcklig säkerhetsanalys) och inte heller hur den skulle hanteras.

Hur kunde detta hända? Utredningen visar på fleras brister inom Transportstyrelsen, däribland bristande samordning av informationssäkerheten, snäv tidsram för outsourcingen samt bristande kommunikation till styrelse och utanför myndigheten. I detta sammanhang bör nämnas att inte heller ska vikten av säkerhetschefens förmåga att kunna förmedla och värdera risker i dialog med ledningen underskattas. För vem orkar lyssna på någon som konstant lyfter risker och hävdar att alla risker är lika allvarliga?

För att kontrollera riskerna och sårbarheter i sin verksamhet är förutsättningen att man vet vad som är skyddsvärt. Uppgifterna ska inte få ett sämre skydd hos aktören som utför tjänsten eller uppdraget än inom den egna verksamheten. Regeringen har därför dragit slutsatsen att kontrollen av myndigheters outsourcing alltså behöver skärpas. Men vad gör regeringen för att förhindra att liknande situationer uppstår igen?

Från den 1 april har Försvarsmakten och Säkerhetspolisen möjlighet att avstyra myndigheters outsourcing om detta bedöms skada rikets säkerhet. Precis som tidigare gäller att den som omfattas av kraven i säkerhetsskyddslagstiftningen själv ansvarar för att analysera vilken skyddsvärd information man hanterar. En nyhet är dock att verksamhetsutövaren under vissa förutsättningar måste anmäla sin avsikt att inleda en utkontraktering till Säkerhetspolisen eller Försvarsmakten. Vilken av dessa myndigheter som ska väljas beror på om verksamhetsutövaren är en civil myndighet eller försvarsmyndighet (se 39 § säkerhetsskydds-förordningen). Ett sådant samråd ska ske innan ett förfarande för utkontraktering påbörjats och anbudsgivare delgivits underlag. Anmälningsplikten innebär att tillsynsmyndighet tidigt får information om outsourcingen och kan ge råd så att säkerhetsskyddet upprätthålls. Det faller dock inte inom tillsynsmyndighetens uppgifter att föreslå detaljerade åtgärder.  Myndigheten ansvarar för skyddet och har inte möjlighet att avtala bort detta med leverantör. Om säkerhetsskyddet inte är tillräckligt kan Säkerhetspolisen eller Försvarsmakten besluta att outsourcingen inte får genomföras.

Några av de frågor man bör ställa sig i samband med outsourcing av säkerhetskänslig verksamhet bör omfatta:

Har vi en uppdaterad säkerhetsanalys och kontroll över vilka våra skyddsvärden är? Vilken åtkomst kan leverantören få till vår information och hur bör den regleras? På vilka sätt delas olika kunders IT-miljöer hos leverantören? Vilken kontroll och omsättning av personal finns hos leverantören? Finns utförda säkerhetsrevisioner som styrker ett strukturerat informationssäkerhetsarbete hos leverantören? Även om det finns laglig grund för att outsourca, är det verkligen lämpligt, med tanke på de möjliga konsekvenserna av att riskerna med outsourcing realiseras?

Referenser:

http://www.sakerhetspolisen.se/publikationer/fallstudier-och-artiklar-fran-arsbocker/sakerhetsskydd/-outsourcing-och-offshoring-av-it-tjanster-kan-vara-en-sakerhetsrisk-for-svenska-myndigheter.html

http://www.regeringen.se/4929a7/contentassets/66c5a2ed9b824a8fb56d9addc7c0934f/ds-2018_6.pdf

https://www.regeringen.se/4a7e9b/contentassets/952cbf9c95bf4978bd8b51ba1d70333b/pm-utkontraktering-och-overlatelse-av-sakerhetskanslig-verksamhet.pdf