Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Bakgrunn
Det er en økende trend at private og offentlige virksomheter velger å tjenesteutsette hele eller deler av sin IKT-portefølje. Ifølge Statistisk sentralbyrå (SSB) benytter 85,4 % av kommunene seg av skytjenester1. Private virksomheter med ti eller flere ansatte benytter 51 % seg av en eller flere skytjenester. Internasjonalt er trenden den samme.
Tjenesteutsetting, inkludert skytjenester, er av de mest betydningsfulle trendene innen digitaliseringen av samfunnet. Digitalisering av samfunnet kan sammenlignes med øvrig samfunnsutvikling som strøm, jernbane og vann. Vellykket digitalisering er en viktig driver for innovasjon og for effektivisering av samfunnets tjenester. Virksomhetene benytter tjenesteutsetting som ett av virkemidlene for å holde følge med teknologiutviklingen og digitaliseringen, og ofte skjer dette ut av landet.
Økende bruk av tjenesteutsetting gjelder også for virksomheter som understøtter samfunnets beredskap og krisehåndtering. Dette er leveranser som bør være mer robuste og tilgjengelige enn vanlige kommersielle løsninger, fordi de skal fungere i situasjoner hvor mye annet er utilgjengelig. Dette må tas hensyn til når tjenesteutsetting vurderes.
Det blir stadig mer krevende å ha oversikt over allerede komplekse verdikjeder ved økende digitalisering av samfunnet. Tjenesteutsetting bidrar til å øke risikoen ved ytterligere å øke kompleksiteten i verdikjeden.
Erfaringer fra NSMs operative virksomhet og andre statlige tilsynsorganer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester. Risikovurderinger og konsekvensutredninger som utføres ved tjenesteutsetting er ofte mangelfulle. NSM er bekymret for at samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak, og at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.
Hensikten med temarapporten er å bistå offentlige og private virksomheter med overordnede sikkerhetsfaglige anbefalinger om hva som bør ivaretas ved tjenesteutsetting av basisdrift, applikasjonsdrift eller applikasjonsforvaltning. Anbefalingene er relevante for offentlige og private virksomheter. Rapporten bør leses i sammenheng med NSMs grunnprinsipper for IKT-sikkerhet.
Kontaktpunkt for kommentarer er [email protected]. Vennligst bruk rapportens navn som emne. Kommentarer og innspill mottas med takk.
1. Statistisk sentralbyrå, «Digitalisering i kommunene», 2019