Outsourcing – Judas eller Frälsaren?

Det var titeln på en presentation jag höll på Cyberförsvarsdagen som arrangerades av SOFF, Säkerhets- och försvarsföretagen på självaste Alla hjärtans dag den 14 februari. Eftersom jag har fått en del frågor om det i efterhand så skriver jag ner det jag sa – i grova drag i alla fall.

Är outsourcing en räddning eller en förbannelse? Allt mer data från våra liv och våra verksamheter hanteras och förvaras i molnet, i outsourcingtjänster som använder internet och servrar för att lagra och göra vår information tillgänglig när vi behöver den. Framstegen inom molnteknik har gjort det enkelt och billigt att förvara snabbt växande mängder data. Men den mycket positiva utvecklingen till trots har molntjänsterna också fört med sig en rad kritiska frågor, framför allt kring säkerhet och integritet.

Både experter och vanliga medborgare börjar i allt högre utsträckning kräva svar på hur det påverkar oss att våra företag, myndigheter och medborgare förvarar kritiska data på olika platser runt om i världen, långt bortom vår kontroll, och i värsta fall, kanske utanför deras.

Vi har sett ett antal händelser där myndigheter köpt lösningar som inneburit att kritisk och i en del fall säkerhetsskyddad data hanteras utanför Sveriges gränser av privata företag med anställda som inte genomgått nödvändiga säkerhets- eller bakgrundskontroller. Efter dessa händelser börjar allt fler se molntjänster som en del av vårt lands kritiska infrastruktur och som en viktig pusselbit i frågor som rör både rikets och medborgarnas säkerhet. Frågan vi måste ställa oss: Är outsourcing värt risken?  – och vi behöver analysera grundligt om fördelarna överväger nackdelarna.

Jag anser att myndigheter inte gör en tillräckligt bra analys av om IT-verksamheten ska utföras inom den egna verksamheten eller av en extern leverantör och i hur stor omfattning. Många myndigheter saknar relevant beställarkompetens, som är nödvändig för att kunna utföra rimliga prövningar i sourcingfrågan, särskilt prövningar av de mer komplexa delarna av IT-verksamheten.

Dessa brister i myndigheternas beställarkompetens i kombination med svårtillämpliga regler i lagen om offentlig upphandling (LOU) är en förklaring till varför prövningar i sourcingfrågan ibland inte kommer till stånd över huvud taget. En annan är att starka och självständiga IT-avdelningar med låga effektiviseringskrav på sig gör att relativt få myndigheter ens prövat om outsourcing kan vara ett medel för att öka effektiviteten i verksamheten.

Sedan ska man komma ihåg att tid är en parameter. Studier visar att ett lyckat outsourcingprojekt tar cirka 18-24 månader att genomföra om man vill göra rätt i en hyfsat omfattande verksamhet.

Anpassa molnet till verksamhetens behov

På internet finns ett stort utbud av molntjänster att välja bland, de är ofta lättillgängliga, enkla att använda, billiga eller i vissa fall till och med gratis. I grunden handlar det om små spelare som delar på stora spelares tjänster. De vanligaste fallen är:

Software as a service (SaaS) – en typ av molntjänst som tillhandahåller programvara över internet

Platform as a service (PaaS) – innebär tillgång till en standardiserad plattform där du kan öka eller minska kapaciteten baserat på verksamhetens behov

Infrastructure as a service (IaaS) – låter dig dynamiskt anpassa verksamhetens it-infrastruktur efter verklighetens varierande och oförutsedda behov

Under alltihop finns också underleverantörer till exempel för datahall och för integration, support och underhåll.

Säkerhetsansvaret ligger hos verksamheten

När en verksamhet vill flytta sin nuvarande verksamhet till molnet, måste vissa frågor vara ordentligt belysta om flytten ska bli lyckad. Vi kan inte förlita oss på att molntjänstleverantören tar hand om säkerheten åt oss; vi behöver själva analysera riskerna för att förstå hotbilden och kommunicera med leverantören för att avgöra hur säkerhetskraven tillgodoses och fortsätta diskussionen därifrån.

Vi tar mycket för givet, inte minst inom följande områden.

Tillförlitlighet och tillgänglighet till tjänsten
Vi förväntar oss att våra molntjänster och applikationer alltid är tillgängliga när vi behöver dem, vilket är en av anledningarna till att flytta till molnet. Även om molntjänstleverantörer har reservkraftförsörjning och redundans kan även de misslyckas, så vi kan inte förlita oss på molntjänster och att de ska vara igång 100% av tiden. Vi måste ta ett driftstopp i beaktande, men det gäller å andra sidan även när du kör ditt eget privata moln.

Osäker kryptering
Det finns bättre och sämre krypteringsalgoritmer och det finns bättre och sämre implementationer. Se till att välja kryptering efter det som är aktuellt just för ögonblicket, så kallad best practice, och se till att vara den som håller i nyckeln till informationen.

Dataskydd och portabilitet
När du väljer att byta molntjänsteleverantör  mot en billigare, bättre, säkrare eller vad det nu är, måste du lösa problemet med dataförflyttning och radering. Den gamla leverantören måste radera alla data de lagrat i sitt datacenter för att inte information ska skvalpa runt i onödan.

Leverantören måste kunna lämna alla uppgifter till kunderna i ett format som gör att de kan flytta till en alternativ leverantör, varefter all data behöver tas bort. Vad händer om leverantören går i konkurs utan att uppgifterna lämnas tillbaka?

Leverantörsinlåsning
Vi vill inte välja en leverantör som tvingar oss att använda alla deras egna tjänster med exklusivitet eftersom vi ibland vill använda en leverantör för en sak och en annan leverantör för något annat. Akta er för att checka in där ni inte kan checka ut.

Internetberoende
Genom att använda molntjänster, är vi beroende av fungerande internet-anslutning. Om internetanslutningen går ner på grund av ett blixtnedslag, att internetoperatören genomför tillfälligt underhåll eller en kabel grävs av, på grund av en överbelastningsattack eller av något annat skäl kommer kunderna kanske inte att kunna ansluta till molntjänsten. Då kommer verksamheten förlora pengar eller förtroende, eftersom användarna inte kan använda tjänsten och det gäller förstås framför allt sådana tjänster som måste vara tillgängliga 24/7, som tillämpningar inom ett sjukhus, där människoliv står på spel. Hur ordnar man redundans i en outsourcingmiljö? Vems är ansvaret?

Ställ krav och följ upp!

Vi måste lära oss att ställa relevanta krav på leverantörerna både Saas, Paas och Iaas – kräv svar från alla leverantörer. Följ upp att kraven efterlevs, både i upphandlingssituationen och löpande under avtalsperioden. Utvärdera på flera nivåer.

Utvärdering av drift: Hur sker autentisering av administratörer, vad har man för behörighetsprocess, hur hanteras härdning/patchning av programvara, lagring och backup, spårbarhet, kan du som kund få åtkomst till loggarna, finns det processer för incidenthantering (inkl. säkerhetsincidenter) et cetera.

Utvärdering av tjänst: Tillämpar man säker utveckling (Secure Development Lifecycle (SDL), Open Web Application Security Project (OWASP)), genomförs säkerhetsgranskningar och penetrationstester, finns det Web Application Firewall (WAF), vilka autentiseringsmekanismer stöds, hur får man till kryptering av information både under transport och under lagring, finns det spårbarhet?

Utvärdering av integration: Nya infrastrukturkomponenter kan bli dyra, själva molntjänsten kan vara billig men om nya komponenter  måste skapas internt för att använda den  – då kan det bli dyrt. Att anlita tredjepartsintegratörer för utveckling, hantering av behörigheter och drift kan skapa ett konsultberoende som gör verksamheten sårbar och beroende av nyckelpersoner.

Krav på uppföljning: Kan kunden ta initiativ till att genomföra revision (enligt avtalet)? Extern revision eller av kunden själv? Kräv återrapportering från granskningar, tester och hantering av upptäckta sårbarheter och incidenter.

Krav vid avslut: Finns det någon strategi för avslut? Finns det stöd i avtalet att informationen kan exporteras till en annan tjänst eller till kunden själv? Hur tas informationen bort efter exit? All information? Även behörigheter? Loggar?

Det finns definitivt saker man bör fundera på innan man lägger känslig information i molnet. Ta reda på var den i slutändan hamnar, och ställ egna krav. Det finns molnleverantörer som använder sig  av underleverantörer som har underleverantörer, och till slut vet du inte var informationen lagras någonstans, eller hur säker den är. Det bästa skyddet är kryptering där den som äger informationen också har kontroll över nyckeln.

Outsourcing utgör enligt min mening inte alltid ett reellt alternativ då det är fråga om känsliga uppgifter där det råder sekretess, eller där en sådan outsourcing innefattar leverantörer (eller underleverantörer) verksamma i något land utanför EU.

Ett ord till våra leverantörer

Verksamheter vänder sig till er för att de tror att ni kan göra något bättre än de kan själva. Då kan ni inte fortsätta att agera som om ni inte visste vad som krävs. Branschen måste själv ta ett större ansvar för att kunden får det de behöver, inte bara det de frågar efter. Om ni ska vara framgångsrika i att sälja tjänster till den offentliga förvaltningen får ni inte ducka för frågor som rör offentlighets- och sekretesslagstiftningen, hanteringen av hemliga handlingar och den offentliga förvaltningens krisförmåga. Här måste ni skärpa till er.

Molntjänster är här för att stanna

Molntjänster är här för att stanna. Många är bra, men det finns spelare med bristande rutiner. Se till att utvärdera och följa upp kvalitet och säkerhet på alla nivåer. Avtal bör innehålla detaljerad reglering av alla relevanta delar. Kostnadseffektivitet är inte samma sak som vinstintresse. Pratar vi om myndigheter är jag förstås glad att man är rädd om mina skattepengar och hanterar dem med försiktighet. Samtidigt vill jag att de digitala tjänsterna ska vara tillgängliga när jag behöver och att ingen obehörig kommer åt information som är ”min”.

Fem steg på vägen:

  1. Ställ krav på alla nivåer och utvärdera dem.
  2. Beräkna en totalkostnad inklusive integration.
  3. Genomför risk- och sårbarhetsanalys – vad blir konsekvensen för dig och din information?
  4. Agera efter det!
  5. Följ upp regelbundet att du får vad du har bett om och är villig att betala för.
Etiketter: , , , , Foto: Cloud Computing - In the Cloud av Blue Coat Photos (CC BY-SA)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Frivilligt

Kommentarer

  • Frank 7 april 2018, kl 18.56

    Hej Anne-Marie,
    det du säger är mycket bra dock känns det mest som pekpinnar, således vore det önskvärt att du pekade på t.ex. några checklista med konkreta frågor som måste besvaras. Att beställarkompetens är ett svårt område håller jag med om, dock skulle även i detta fall exempel kanske vara till bättre vägledning.
    Sedan är det tyvärr så att det blir väldigt snabbt väldigt tekniskt – samt väldigt kommersiellt, där dock konsulterna tar liten/ingen risk då verksamheten alltid står hela risken.
    OM IIS verkligen vill göra något skulle man kunna ta fram några bra exempel resp. visa några dåliga exempel och förklara varför dessa är dåliga – man bygger upp och analysera scenarier. Jag kan hjälpa till med exempelframtagning (scenarier/checklistor) ifall intresse finns.

    Svara