Våren 2015 satte det svenske Transporttilsynet ut driften av sine IT-serverer til IBM i Irland. Med det fikk utenlandske IT-teknikere uten sikkerhetsklarering tilgang til sensitive data. Omfanget av det som nå omtales som den svenske IT-skandalen ble først kjent for allmennheten i midten av juli, og har til nå fått store politiske konsekvenser.
- Bakgrunn:
– Vi kunne lett fått den samme situasjonen i Norge, spesielt fordi dette i stor grad handler om en beslutningstager som har valgt ikke å følge regelverket, når de har bestemt hvordan de skal drifte systemene sine, sier Torgeir Waterhouse, direktør for internett og nye medier i bransjeorganisasjonen IKT Norge.
«Et havari»
Sveriges statsminister Stefan Löfven har omtalt saken som «et havari» og vil som en konsekvens blant annet gjøre det vanskeligere å outsource håndtering av sensitiv informasjon. Torgeir Waterhouse mener det er viktig at debatten ikke bare handler om det er riktig å sette ut drift av IT-systemer eller ikke.
– Man har et like stort behov for å sikre data uansett om det er egne ansatte som gjør jobben eller andre. Det er viktig å forstå at når vi har data som mennesker har tilgang til, er vi avhengig av at de ikke velger å kopiere og distribuere dem på ulovlig vis, sier Waterhouse.
– Sannsynlig at noe lignende skjer i Norge
Han mener årsaken i mange tilfeller der sensitive data har kommet på avveie er at viktige driftsvurderinger er tatt av ledelse som ikke har tilstrekkelig sikkerhetskompetanse og forståelse for konsekvensene av hvordan de bruker teknologi.
– Du sier at det kunne skjedd i Norge. Kan det skje i nær fremtid?
– Det tror jeg det er stor sannsynlighet for. Vi har mange systemer som er gamle og som har vært i drift i mange år, før man tenkte noe særlig på sikkerhet. Mange systemer er satt opp hvor man har valgt løsninger uten tilstrekkelig sikkerhet, blant annet for å spare penger.
- Les mer om: Utflagging av IT-arbeidsplasser
Waterhouse mener vi burde tenkte på etterslep i sikring av IT-systemer på samme måte som vi gjør i andre samfunnssektorer.
– Vi må sørge for at systemene våre er i tråd med de kravene og forventningene vi har til sikring av data. Det er relativt nytt at dette er så viktig for oss, men det må høyere på agendaen, og ikke bare i dramatiske enkeltsaker, men generelt.