Säkerhet vid utkontraktering

Är det lagligt med utkontraktering?
Kärt barn har många namn, men det handlar i samtliga fall om någon form av tjänst eller produkt som en beställare köper av en leverantör.

Rätt skydd i alla miljöer är nödvändigt.

Vanligtvis mot någon form av betalning. För en beställare hägrar ofta möjligheten att få lägre pris på tjänster man behöver. Detta uppnår leverantören genom möjlighet till storskalig drift. Det går ju inte åt dubbelt så många tekniker att sköta tio servrar som 20.
En serverhall måste man ju också ha oavsett antalet servrar i den. Så det finns potentiella driftsfördelar att hämta hem vid storskalig drift, en hel del utrustning kan utnyttjas av fler företag.

Inte bara brandlarm, inbrottslarm och kyla. Det förekommer också att servrar, lagring och backup-tekniker utnyttjas gemensamt av flera oberoende organisationer. Det är givetvis också gynsamt för säkerheten att få tillgång till en stabil leverantörs kompetens. Men finns det risker? Och…

Är detta lagligt och säkert?

Denna fråga anser jag att det inte går att svara Ja eller Nej på “rakt av”, man måste genomföra en djupare analys av sin egna verksamhet. Till exempel genomföra en inventering av vilken information och vilka processer man har.
Som stöd för det kan man använda CIA-principerna som jag skrivit om tidigare i Teknikbloggen.

Generellt sett är det naturligtvis lagligt att använda en leverantör som sköter datatriften åt dig. Men man skall komma ihåg att det är just en mer eller mindre stor andel av driften man uppdragit åt sin leverantör att sköta. Ansvaret har du alltid kvar själv, det går inte ens att överföra på någon annan enligt lag i många fall. Jag har sett utkontrakteringsavtal som detaljspecificerats på 100 eller 1.000 -tals sidor, ändå har det efter övertagandet dykt upp problem med ansvarsförhållanden och viten har dömts ut. Vid utkontraktering tappar du alltid en del av kontrollen!

Vad kan jag då göra som kund i en utkontrakteringssituation, några tips som kan vara bra att ha med sig. (Mer stöd finner du i ISO/IEC 27036).

1. Behåll kompetens

Det är mycket viktigt att man som beställare behåller en s.k. “Beställar kompetens” i den egna organisationen. Utöver säkerhet, så kan det även gälla kompetens på tekniska krav och prestanda. Har man inte kvar denna grundkompetens är det lätt hänt att man inte får det man önskar, eller ens kan förklara vad man önskar. Leverantören kan ju inte din organisation i detalj (oftast).
Leverantören skall eller bör inte ha direkt insyn i din information. Således kan man inte heller ställa krav i efterhand på att leverantören borde förstått att informationen inte lagligt kunde säkerhetskopieras till en backupserver i ett land utanför Sverige. Om man jobbar med samhällsviktig verksamhet kan det kanske eller förmodligen finnas krav på hur tele/data -förbindelserna är beskaffade. All sådan kunskap besitter man ju som kund bäst själv och skall samarbeta med leverantören om.

2. Förtroende är bra, kontroll är bättre

Se till att alla utkontrakteringsavtal innehåller klausuler om hur beställaren skall kunna kontrollera leverantörens verksamhet. Kan ske genom att leverantören genomför egna periodiska kontroller avseende prestanda, leveranssäkerhet. Men inte minst eftersom det är jag som skriver så skall även säkerhetsincidenter rapporteras . Snart om inte redan så har din verksamhet legala krav på sig att rapportera incidenter relativt snabbt, se till att din leverantör stödjer dig i det arbetet.
Sist men inte minst, se till att du har rättighet att med egna revisorer genomföra granskning av säkerheten. Vad som kan upptäckas vid sådana kontroller, kan t.ex. vara att data säkerhetskopieras till servrar utom Sverige eller EU. Vilket kan vara olagligt. Det kan t.o.m. vara olagligt att dra dataförbindelserna via ett s.k. tredje land. Endast mycket få krypteringstekniker är godkända för detta (Beroende på uppdrag) Kostnader och eventuell förvarningstid för dessa kontroller bör vara reglerat i förväg.

3. Återtagande

Allting har en ände. Så även ett utkontrakteringsavtal. Det kan bero på att man själv vill återta driften, eller utkontraktera den till någon annan.
Därför bör man redan i grundavtalet noggrant ha reglerat hur en sådan avslutsprocess skall gå till. Viktiga parametrar att få med är hur data skall överlämnas (Glömt inte krypterade säkerhetskopior med tillhörande nycklar). Det kan också vara rimligt att få hela eller delar av den tekniska lösningsdesignen levererad. Men all sådan dokumentation skall man inte förvänta sig att få då det ofta kan röra sig om affärshemligheter från leverantörens sida. Men du bör ställa krav på att få tillräckligt med information för att återuppbygga datamiljön på annan plats. Eventuellt kan man avtala om att en utomstående betrodd part behåller designritningarna och släpper dessa till beställaren om leverantören kommer på obestånd.

Tony Martinsson
Informationssäkerhetsexpert
ISMP, CISSP

Leave a Reply

Your email address will not be published. Required fields are marked *