De flesta har säkert hört eller läst om hur katastrofalt Transportstyrelsen hanterat outsourcingen av bland annat körkortsregistret. Men de flesta som outsourcar sin utveckling eller sin drift hanterar knappast lika kritiska data som Transportstyrelsen. Därför finns det anledning att reflektera över hur man hanterar säkerhetsfrågor i samband med outsourcing.
Detta har hänt
Enligt Sveriges Television så uppmuntrade Riksrevisionen 2011 svenska myndigheter att outsourca mer drift. Detta stöddes av den dåvarande regeringen. 2015 beslutade transportstyrelsen att outsourca körkortsregistret, fordonsregistret till IBM. Generaldirektören för Transportstyrelsen beslutade i maj 2015 att göra avsteg från olika lagar och säkerhetsrutiner. Detta trots att säkerhetschefen och en internrevisor ifrågasatte detta. Avstegen rör bland annat att personalen som skulle hantera data inte behövda vara säkerhetsklassade.
Tack vare en rådig internrevisor ledde detta dock slutligen till en SÄPO-undersökning och den ansvariga generaldirektören avskedades och fick betala relativt blygsamma böter. Men undersökningen och situationen offentliggjordes inte och informationen om vad som hänt skickades inte vidare till berörda parter i den grad som borde skett.
Tack vare den svenska offentlighetsprincipen kunde Sveriges television begära ut SÄPOs förundersökning. Visserligen är vissa delar av undersökningen hemligstämplade (t.ex. huruvida detta faktiskt skadat rikets säkerhet) men oavsett om data faktiskt kommit på avvägar eller inte är det uppenbart att mycket grova felsteg skett, sannolikt på grund av inkompetens men också ren slarvighet och bristande kommunikation.
Transportstyrelsens lagbrott
Skandalen handlar egentligen inte om huruvida data kommit på villovägar eller inte. Såvitt jag kan förstå finns inget som direkt tyder på att IBM gjort något formellt fel. Man kan dock hävda att IBM borde insett vilken typ av data de skulle hantera och att de borde ha upplyst myndigheten om vilka krav de borde ställa eller att IBM till och med borde sagt nej till affären såvida inte sådana krav ingick i avtalet. Men i princip är det nog beställarens, dvs. Transportstyrelsens, ansvar att ställa krav på vilka säkerhetskrav som gäller.
Skandalen handlar i första hand om att sekretessbelagda uppgifter relaterat till polisen, försvaret och privatpersoner lagrats på servrar som varit tillgängliga för tjeckiska och serbiska datorexperter och som inte säkerhetsprövats enligt svensk lag. Transportstyrelsen bröt mot tre olika lagar då man outsourcade driften till IBM: Säkerhetsskyddslagen, offentlighets- och sekretesslagen samt personuppgiftslagen.
Man kan filosofera om huruvida IBMs anställda eller leverantörer stulit data som de sålt vidare, varefter de sopat igen spåren. SÄPO har hemligstämplat delar av utredningen och inget sådant framgår. IBM lär vara bundet av sitt NDA-kontrakt och såvida inte svenska myndigheter släpper information om detta så lär vi aldrig få veta. Med största sannolikhet lär sådan kunskap förbli hemligstämplad under lång tid.
Det är dock rimligt att anta att IBM, som är vana vid att hantera företagshemligheter, trots allt agerat professionellt och haft omfattande säkerhetssystem på plats. Om någon hade kunnat visa att IBM eller deras anställda faktiskt brutit mot säkerhetsreglerna som trots allt måste ha funnits på plats, borde de rimligen ha krävts på skadestånd. Min slutsats är därför att data inte läckt eller åtminstone att det är okänt om så är fallet. Å andra sidan eftersom de data som hanterats är så kritiska, måste man ändå agera som om de läckt.
Om man blir biten av en hund i ett land där rabies finns endemiskt (om här i Indien) så är det bäst att vaccinera sig oavsett om man vet om hunden har rabies eller inte. Om man väntar tills man får symptom på rabies är det försent.
Hur ser man till att data inte kommer på villovägar?
När man outsourcar finns det utmärkta möjligheter att reglera säkerheten genom bra avtal. I just fallet med Transportstyrelsen kan man mycket väl diskutera om det verkligen var tätt att outsourca. Uppgifter som är känsliga för nationens säkerhet kanske bör hanteras internt. Men det är en diskussion som bör tas på riksdagsnivå och där det bör finnas en bred politisk enhet kring var gränsen för detta går.
Nu är det ju inte så att säkerhetsriskerna nödvändigtvis ökar då man outsourcar till en underleverantör. Ens egna anställda kan mycket väl vara lika stora säkerhetsrisker som anställda i en leverantörs organisation. Ibland är det tvärtom. Leverantörens anställda vet kanske inte ens vilka data som finns och eftersom deras företag hanterar så mycket blir man lätt blind för vad det är för data man jobbar med.
Outsourcingföretag har bättre möjligheter att hantera datasäkerhets och integritetsfrågor eftersom detta är en kritisk komponent i deras affärsverksamhet. Men även om servermiljön som sådant skyddar från intrång måste givetvis access begränsas till de som är behöriga, säkerhetsklassade och behöver ha tillgång till informationen. Dessutom bör det finnas rutiner och system för loggning och revision av vad som faktiskt sker.
Vilka lagar och förordningar gäller?
De flesta privata företag (eller myndigheter) hanterar givetvis inte lika kritiska data som Transportstyrelsen. Från och med maj 2018 gäller EUs nya dataförordning som ställa mycket hårdare krav på företag som har personregister och detta gäller alla register som hanterar personer inom EU (alltså inte bara medborgare). Dessa reglerna gäller dessutom även utanför EU om registerna hanterar personer som är inom EU. Se också Integritetsskydsmyndighetens frågor och svar kring dataförordningen! För vissa typer av uppgifter kan andra lagar också gälla.
EUs nya dataförordning ställer bland annat krav att registerhållare måste informera myndigheter och berörda mycket snabbt om intrång skett och att man dessutom på begäran måste kunna radera alla data om en specifik person, såvida det inte finns lagkrav eller speciella krav på att arkivera data under begränsad tid. Radering av data måste också ske på backuper. Dessa nya krav kommer att innebära betydande förändringar för många organisationer. Till skillnad från tidigare lagar så är dessutom lagen explicit. D.v.s. såvida det inte är uttryckligen tillåtet är det förbjudet. Medlemsländer kan lägga till villkor till datadirektivet och i Sverige finns dessa samlade i en speciell lag som heter Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Vilka krav bör man ställa vid upphandling?
Hur kan man säkerställa att man uppfyller datadirektivet och att personuppgifter inte kommer på villovägar?
All personal som hanterar och har tillgång till personuppgifter måste skriva under lämpliga sekretessavtal. Man bör också begränsa antalet personer som har tillgång till data. Varje person som har tillgång till data bör ha unika inloggningsdetaljer även på servernivå (generella administrationskonton bör undvikas). Kritisk data bör vara krypterad och tillgångssystem bör vara genomtänkta. Backuper bör vara krypterade och personal som administrerar backuper bör inte ha access till data. Man bör logga användningen av data, inklusive vilken användare det avser, speciellt om data på något sätt exporteras/kopieras. Det skall inte vara möjligt att radera eller modifiera loggarna där denna informationen lagras. Man bör också göra regelbundna revisioner för att söka efter avvikelser.
Stora datorhallar skall inte vara tillgängliga för obehörig personal oavsett om de är interna eller outsourcade. Stora outsourcingföretag är oftast mycket strikta med behörighetsregler. Det är rimligt att ställa krav på access. Det finns olika säkerhetsstandarder t.ex. ISO 27000, Cyber Essentials samt PCI (för kreditkort) som kan vara relevanta.
I upphandlingsdokument bör man ställa explicita krav på leverantören vad gäller säkerhet. Om man lagrar personuppgifter så kan det finnas krav på att dessa inte får lämna EU. Det är tillåtet att på en skärm över VPN hantera data som lagras innanför EUs gränser såvida data inte sparas på en lokal hårddisk eller skrivs ut. Personal som hanterar backuper bör inte ha access till underliggande data som dessutom bör vara krypterade.
Man bör också, antingen man outsourcar eller inte, ställa höga säkerhetskrav och där så behövs utföra penetrationstester.
Vad kan vi hjälpa till med
Gislen Software är ett svenskägt indiskt IT företag och vi jobbar i huvudsak med utveckling av programvara. Men våra kunder har i flera fall velat använda molnet för sina applikationer. Vi har hjälpt dem att se till att leverantörerna av dessa molnlösningar uppfyller relevanta krav på säkerhet och att de är ISO 27000 certifierade. Vi ser till att all access av data loggas och vi begränsar våra anställdas tillgång till data till ett minimum. Vi ser till att våra kunders data aldrig lämnar EU. Vi kan hjälpa företag både med hur de skall utnyttja fördelarna med molnet och undvika fallgropar. Tillsammans med vår partner Epical Group tillhandahåller vi en speciell “blended outsourcing“-tjänst, där svenska kunder kan kombinera outsourcing till Indien med svenska experter.