Den outsourcing av it-driften som Transportstyrelsen gjorde till IBM 2014 har minst sagt varit i fokus de senaste dagarna. Det är inte bara ansvarsutkrävande och stundande misstroendevotum som har blivit en följd av detta. Även frågan om myndigheters outsourcing diskuteras flitigt för tillfället.
På en presskonferens i måndags meddelade statsminister Stefan Löfven att regeringen ska tillsätta en utredning där frågan om myndigheters outsourcing ska granskas. Givetvis kommer fokus ligga på Transportstyrelsens outsourcing till IBM. Men det ska även göras en mer generell granskning av de säkerhetsbrister som finns hos myndigheterna.
Läs också: It-skandalen hos Transportstyrelsen – detta har hänt
För it-branschen har de senaste åren inneburit allt fler stora outsourcingaffärer. David Frydlinger är advokat på Lindahl och jobbar mycket med outsourcingavtal. Enligt honom är det inte outsourcingen i sig som är problemet, utan det viktiga är att alla rutiner finns på plats.
– Det är förstås inte outsourcing i sig som är problemet utan hur outsourcingen genomförs och följs upp och om man då har ett fokus på informationssäkerhet eller inte. Jag har ingen närmare kunskap om Transportstyrelsens informationssäkerhetsarbete, men det är ju känt genom flera rapporter från Riksrevisionen att detta arbete generellt är eftersatt inom stat och kommun, säger han och utvecklar:
– Om man redan från början har svagt informationssäkerhetsfokus så kommer detta förstås att följa med i outsourcingen. Om man däremot har ett sådant fokus så kan ju en outsourcing vara ett utmärkt sätt att faktiskt höja informationssäkerhetsnivåerna, eftersom många av outsourcingleverantörerna är betydligt kunnigare i frågorna än den outsourcande myndigheten.
Är myndigheter för slappa med säkerhetsfrågorna när de lägger ut sin it?
– Problemet verkar ju vara mer grundläggande. Slapphet kanske spelar in men jag uppfattar att det till stor del handlar om bristande medvetenhet och förståelse för informationssäkerhet, vilket kanske i viss mån är begripligt eftersom digitaliseringen trots allt inte har kommit jättelångt inom många myndigheter. Riksrevisionens rapporter pekar dessutom på brister i stat och kommuners informationssäkerhet generellt, oavsett om it:n är outsourcad eller inte.
Bland de föreslagna åtgärderna i regeringens tilltänkta utredning finns ett förslag om att sätta skarpare gränser för vad som är möjligt att outsourca, där Post- och Telestyrelsen ska få i uppdrag att ta fram en modell för it-drift med högt säkerhetsklassad information.
Behövs det?
– Spontant låter det som en utmärkt idé. Det finns dock en fara här som jag ser det, nämligen att man tror att det blir väldigt mycket säkrare om man inte outsourcar. Ordet ”outsourcing” uppfattas ofta som något lite fult och associeras lätt till förlorade jobb när tjänster läggs ut till låglöneländer och andra dåligheter. Utan tvekan använder både media och Alliansen dessa associationer för att föra fram sina poänger här. Med denna logik riskerar man dock sedan att skapa en koppling att outsourcing är osäkert och inte outsourcing är säkert.
– Förutom att det är direkt felaktigt så är det en riskabel uppfattning. Grundidén med outsourcing, att fokusera det man är bäst på och låta experter på it-tjänster leverera dessa, är rätt och för att Sverige ska hänga med som land i digitaliseringen tror jag att outsourcing ofta är helt nödvändigt. Så risken här blir att en medie- och oppositionsdriven storm leder till mindre outsourcing generellt och fortsatt slapphet i den interna hanteringen eftersom man tror att allt är ok bara för att man inte har outsourcat.
Tror du att turerna på Transportstyrelsen kommer att leda till att vi kommer att se en minskad outsourcing av it från myndigheternas håll?
– Det är förstås för tidigt att säga. På kort sikt är det ju inte osannolikt, men på lång sikt tror jag knappast det. Skälen för att outsourca är starka och det går förstås att göra det med god informationssäkerhet. Men visst finns det en risk för det och det är som sagt inte alls nödvändigtvis det bästa för svensk informationssäkerhet.
Transportstyrelsen är knappast den enda myndigheten som har lagt ut sin it. Finns det risk att det finns liknande scenarior på andra myndigheter?
– Ja, självklart. Jag skulle bli mycket förvånad om det inte finns exakt motsvarande scenarior på andra myndigheter.
Läs också: Säpo varnar för outsourcing
Hans Werner, vd på analysföretaget Radar, är också medveten om den pågående diskussionen kring farorna med outsourcing. Han är dock fast övertygad om att den kommer att fortsätta öka.
– Jag tror att man ska väga två saker mot varandra. Outsourcing i sig är en trend som måste fortsätta av den enkla anledningen att produktion av it sker bäst där du kan skapa stordriftsfördelar. Därför kommer outsourcingens andel att fortsätta växa. Kring SLA:er och annat gäller det att sätta villkor om vi ska hantera det inom rikets gränser eller om det ska vara fritt fram att släppa ut det i den globala it-fabriken, men det är en annan fråga, säger han och konstaterar att den typen av frågor kommer att få hjälp på traven att lösas när EU:s nya dataskyddsförordning GDPR träder i kraft i maj 2018.
– Informationsklassificering är den i särklass viktigaste komponenten i det här. Och där kommer vi att få hjälp nu av GDPR i frågor kring information och var den lagras. Det är något som vi måste lösa innan maj nästa år. Framför allt när det handlar om klassificering av information kommer vi att se en markant skärpning, men det är även där som vi som land kan skapa konkurrensfördelar om vi visar att vi kan vara överlägsna inom det området.
Och Hans Werner konstaterar också att när det gäller företags eller myndigheters skyddsvärda uppgifter är det tydligt att det handlar om mer än bara en it-fråga och att det därför även måste hanteras som det.
– Det kan handla om sådant som patent, unicitet och annan form av konkurrenskraft. Det måste ses som skyddsvärda egenskaper. Och nu rullar huvudena. På generaldirektörsnivå, och snart kanske även på ministernivå. Det visar att det här är frågor som måste diskuteras i ledningen. Det är inte en it-fråga, utan det är en verksamhetsfråga.
Läs också: Regeringen vill se mer outsourcing
När det gäller GDPR så har det pratats om dryga böter för den som inte lever upp till kraven. En intressant fråga är huruvida Sverige, och Transportstyrelsen, hade riskerat att få statuera exempel med en megabot på 20 miljoner euro om GDPR redan hade trätt i kraft. David Frydliger besvarar den hypotetiska frågan på följande sätt:
– Det är ju Datainspektionen som kommer att utdöma böter och i så fall skulle det bli till Transportstyrelsen, om man nu följer datalagsutredningens förslag att även myndigheter ska kunna göras till föremål för sanktionsavgifter. Vidare måste det ju handla om brister som omfattar personuppgifter och jag skulle tro att det här framför allt rör sig om information som inte är personuppgifter, även om sådana också finns.
– Jag vet förstås inte men jag uppfattar att om GDPR hade gällt så hade man nog ansett att en överträdelse har skett, men det är osannolikt att maximala sanktionsavgifter skulle ha dömts ut. Man kanske borde påpeka att det i så fall sannolikt har skett en överträdelse av den redan idag gällande personuppgiftslagen i så fall.
