Skriftlig spørsmål fra Kjersti Toppe (Sp) til næringsministeren

Dokument nr. 15:1847 (2017-2018)
Innlevert: 15.06.2018
Sendt: 18.06.2018
Rette vedkommende: Kommunal- og moderniseringsministeren
Besvart: 22.06.2018 av kommunal- og moderniseringsminister Monica Mæland

Kjersti Toppe (Sp)

Spørsmål

Kjersti Toppe (Sp): Vil erfaring med for dårlig IKT-sikkerhet, som gjorde at styret i Helse Sør-Øst (HSØ) 14. juni besluttet å terminere kontrakten om outsourcing av IKT-infrastruktur, få betydning for hvordan regjeringen vurderer outsourcing som virkemiddel for modernisering av offentlig sektor?

Begrunnelse

Helseminister Høie begrunnet outsourcingen av grunnleggende IKT- systemer i Helse Sør- Øst med at det ville sikre mer penger til pasientbehandling. Nasjonal strategi for bruk av skytjenester, omtaler i liten grad IKT-sikkerhet. Kommunal- og moderniseringsdepartementet skriver i sin introduksjon til strategien:

"...skytenester skil seg frå tradisjonell tenesteutsetting på viktige område som vi ser skaper utfordringar for verksemder som vurderer å ta i bruk slike tenester – og kanskje særleg for offentlege verksemder: Ein kan ikkje alltid vite nøyaktig kor informasjonen blir lagra eller behandla til kvar tid, og kontraktane ein bruker er ofte standard-kontraktar frå leverandøren. Mange verksemder er usikre på om det å bruke skytenester er trygt nok, og om regelverket tillèt at dei bruker slike tenester."

I strategien oppgir regjeringen også at:

"I digitaliseringsrundskrivet for 2016, som gjeld alle verksemder i statleg sektor, har vi derfor tatt inn ei anbefaling om at offentlege verksemder skal vurdere skytenester som eit alternativ når dei skal skaffe IKT-tenester."

Erfaringen som nå er gjort i Helse Sør- Øst må få konsekvenser for den nasjonale politikken for outsourcing og den nasjonale politikken for IKT-sikkerhet.
Spørsmålsstilleren viser også til debatt om IKT- sikkerhet i Stortinget 12. juni og at Sikkerhetsloven må ivaretas. I Sikkerhetslovens kapittel 6 blir det gitt to alternative vilkår for at et informasjonssystem skal kunne ses på som skjermingsverdig: enten at systemet behandler skjermingsverdig informasjon, eller at systemet i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner. Helse Sør-Øst viser blant annet til Sikkerhetsloven for sin beslutning om å terminere kontrakt om outsourcing av IKT- infrastruktur.

Monica Mæland (H)

Svar

Monica Mæland: Det er opp til den enkelte virksomhet å organisere sin IT-funksjon på en hensiktsmessig måte, og tjenesteutsetting er allerede i dag vanlig i alle sektorer og i alle typer virksomheter.
Dette er en ønsket utvikling. Offentlig sektor bør i utgangspunktet ikke skjermes for konkurranse fra private. Effektiv ressursbruk tilsier at en gitt tjeneste leveres av den mest effektive leverandøren, uavhengig av om den er privat eller offentlig. For mange virksomheter bidrar tjenesteutsetting til at de får mer ressurser til å fokusere på sin kjernevirksomhet. I tillegg vet vi at mange virksomheter mangler nødvendig kompetanse internt, og derfor vil øke sikkerhet og tilgjengelighet for sine løsninger gjennom bruk av profesjonelle aktører.
Nasjonal sikkerhetsmyndighet (NSM) publiserte nylig sine råd om tjenesteutsetting. De skriver i sin innledning:

Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.
Det er med andre ord ikke noe motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting. Også det digitale sårbarhetsutvalget (Lysne-utvalget) peker i sin rapport på at tjenesteutsetting og skytjenester kan gi økt teknisk sikkerhet, fordi leverandøren ofte har både bedre kompetanse og mer ressurser enn kunden. Jeg vil likevel understreke at det alltid er kunden – den offentlige virksomheten – som har ansvaret for at det stilles krav til informasjonssikkerhet og for å følge opp leverandøren etter at kontrakt er inngått.
Alle offentlige virksomheter pålagt å ha internkontroll av informasjonssikkerhet. Det kan være krevende for virksomhetene å etablere slik kontroll. Som fagorgan for forebyggende IKT-sikkerhet i statsforvaltningen, har Difi derfor utarbeidet en praktisk veileder i hvordan statlige virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjons-sikkerhetsområdet. Også Datatilsynet og NSM utarbeider veiledninger for å hjelpe virksomhetene med deres informasjonssikkerhetsarbeid.
Spørsmålsstilleren viser i bakgrunnen for spørsmålet til Nasjonal strategi for bruk av skytenester og digitaliseringsrundskrivet. Begge disse dokumentene understreker betydningen av informasjonssikkerhet med tilhørende risikovurderinger. I digitaliserings-rundskrivet oppfordres virksomhetene til å utvikle en sourcingstrategi, der de tar stilling til hva de skal utføre selv, og hva som helt eller delvis skal overlates til eksterne. Det understrekes at:

"Strategien må ta høyde for de risikovurderingene virksomheten har gjort som en del av sitt internkontrollsystem for informasjonssikkerhet."

Regjeringen mener bruk av skytjenester kan gi økt fleksibilitet og mer kostnadseffektiv bruk av IKT. I digitaliseringsrundskrivet sier vi:

Når det ikke foreligger spesielle hindringer for å ta i bruk skytjenester, og slike tjenester gir den mest hensiktsmessige og kostnadseffektive løsningen, bør en velge slike tjenester.
Det understrekes videre at spesielle hindringer for eksempel kan være særlige krav til sikkerhet og sårbarhet, og at det er en forutsetning at valgt løsning tilfredsstiller virksomhetens krav til informasjonssikkerhet, og at det gjennomføres en risikoanalyse.
Virksomheter som vurderer tjenesteutsetting av sin IT, må kjenne sine egne IT-systemer og de dataene de forvalter. Ikke all informasjon egner seg for tjenesteutsetting, og for enkelte typer informasjon setter regelverket begrensninger på hva man har lov til å gjøre. Gjennom-føring av risiko- og sårbarhetsanalyser er et viktig verktøy for å avdekke hvilke krav som må stilles til driften av IT-systemene det er snakk om.
For IT-systemer som behandler personopplysninger, gjelder personopplysningsloven- og forskriften. Disse gjelder enten virksomheten selv drifter sine IT-systemer, eller om systemene er satt ut til andre. I utgangspunktet kan personopplysninger – også sensitiv personinformasjon – overføres til andre land, såfremt landet har et regelverk som kan sikre en forsvarlig behandling av opplysningene. Dette gjelder blant annet hele EØS-området.
Lov om offentlige anskaffelser regulerer anskaffelser av varer og tjenester. I henhold til dette regelverket er det i utgangspunktet ikke tillatt å avgrense tjenestekontrakter mot leverandører innenfor EØS-området, med mindre det gjelder løsninger som komme inn under sikkerhets-lovens virksområde.
For IT-systemer som inneholder sikkerhetsgradert informasjon, gjelder sikkerhetsloven. I utredningen som ligger til grunn for ny sikkerhetslov, peker man på at det også er et behov for at IT-systemer som i utgangspunktet ikke inneholder gradert informasjon, men som er avgjørende for driften av en grunnleggende nasjonal funksjon, skal omfattes av sikkerhetsloven. Det framgår at det er departementene som skal identifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner (kapittel 2 i loven). Dette vil gjelde et fåtall av det samlede antall offentlige virksomheter. De virksomhetene det gjelder vil måtte ta høyde for dette i sine vurderinger av sourcing og risiko.