Sveriges myndigheter och statliga bolag outsourcar en allt större del av sin it-verksamhet. Det finns pengar att tjäna på att lägga system i molnet, istället för att låta dem ligga på de egna servarna. Det är en utveckling som oroar Försvarets radioanstalt, FRA.
De kontrollerar hur myndigheter och statligt ägda bolag sköter sin it-säkerhet, och har stött på exempel där man avtalat bort sina egna rättigheter. I vissa fall har myndigheten eller bolaget inte ens haft möjlighet att få reda på hur deras egen data sköts av företaget som anlitats.
– Vi har varit med om att avtalen varit så pass dåliga att vi inte kunnat få grepp om helheten när vi ska genomföra vår granskning. Det har varit så illa att kunden inte har rätt att gå in och titta på hur deras egen information hanteras, säger Cecilia Laurén som är it-säkerhetsspecialist på FRA.
Läs också: Så tar du reda på om du övervakats av NSA eller FRA
En myndighet med ett sådant avtal utsätter sig för stora risker när en tredje part, som FRA, inte kan komma in och granska hur säkerhetsarbetet sköts.
Cecilia Laurén menar att en orsak till de dåliga avtalen kan vara kompetensbrist. När myndigheterna lägger ut allt mer av sin it-verksamhet försvinner kompetent personal från de egna leden.
– För vilken duktig it-personal sitter kvar om man inte har några egna utmaningar?, undrar hon.
Det ligger också i linje med grundtanken med outsourcing: att färre saker ska skötas av den egna personalen. Det i sig är inte problemet menar FRA. Risken är snarare att myndigheterna blir dåliga it-köpare när det inte finns någon på plats som vet vilka krav de ska ställa på leverantörerna.
– Man tappar förmågan att vara en duktig it-beställare, inte minst när det gäller it-säkerhet. I värsta fall slutar det med att man står med sämre villkor när man tecknar avtal, säger Cecilia Laurén.
Det kan också bli en rent ekonomisk fråga förlust, det är lättare att råka teckna ett dåligt avtal om det inte finns någon som vet vilka behov som finns.
Samtidigt som FRA höjer ett varnande finger finns det mycket att vinna på att lägga ut verksamhet. En regeringsutredning som presenterades i december slog fast att svenska myndigheter skulle kunna spara upp till två miljarder om året på att börja använda molntjänster i större utsträckning. Det motsvarar runt fem procent av deras totala it-budget.
Läs också: FRA ska hacka Borås fängelse - sedan får fångarna surfa
Med FRA:s resonemang i huvudet blir en satsning på molntjänster och outsourcad it ett dilemma för myndigheter. För att säkerställa att de får rätt avtal krävs hög intern kompetens. Men själva poängen med outsourcing är att den interna verksamheten kan krympas.
– Det är ett av problemen med outsourcing. Har man bra it-kompetens, och sedan outsourcar man all sin it-verksamhet försvinner den såklart, och vem ska då ställa kraven på en god it-säkerhet? Det är en stor utmaning att få det att fungera, säger Cecilia Laurén.
En lösning som FRA gärna hade sett är ett statligt myndighetsmoln. Då skulle myndigheter och statliga bolag kunna lägga ut sin data utan att behöva förlita sig på privata aktörer, och det skulle bli enkelt att se till att informationen lagras och hanteras korrekt.
– Vi förespråkar att staten bygger ett eget moln, med en egen statlig driftcentral där man verkligen kan tillgodose de it-säkerhetskrav som kan ställas på den här typen av information, Cecilia Laurén.
Några konkreta planer på att bygga en sådan tjänst i Sverige finns dock inte idag.
FRA ser inte outsourcing i sig som något av ondo. Så länge avtalen är tillräckligt bra, och så länge ingen känslig information läggs ut i molnet kan det rentav vara en fördel för vissa myndigheter och bolag att lägga ut verksamheten.
– För vissa mindre verksamheter som inte själv har möjlighet att upprätthålla en hög informationssäkerhet, kan det till och med vara bra för säkerheten att outsourca, säger Cecilia Laurén.
