Anskaffelser: Abelia setter kjerra foran hesten

OFFENTLIG ANSVAR: Nasjonal beredskap, som helsevesenet er en del av, er ikke et privat sektoransvar, men et offentlig ansvar.

Anskaffelser: Abelia setter kjerra foran hesten

DEBATT: I Computerworld nr 7. august påstår Abelia-direktør Håkon Haugli at NITO er imot bruk av private leverandører. Dette er langt fra sannheten, og en misforståelse vi gjerne oppklarer.

NITO har medlemmer både i privat og offentlig sektor, mens Hauglis medlemmer utelukkende er arbeidsgiversiden i privat sektor.

NITOs opprinnelige innlegg 26. juli på NRK Ytring var et forsøk på å forklare hvorfor Helse Sør- Østs tjenesteutsetting måtte ende med terminering: Nasjonal beredskap, som helsevesenet er en del av, er ikke et privat sektoransvar, men et offentlig ansvar. Prosessen var fullstendig inkompatibel med god sikkerhet.

Beredskap

Vi er glad Abelia mener informasjonssikkerhet og beredskapsarbeid er svært viktig i helsesektoren. Det er en rekke forhold som private selskaper verken kan eller vil ta ansvar for knyttet til ekstremvær, katastrofer, krise eller krig. Det offentlige må ha hånden på rattet i beredskapsarbeidet. I en digitalisert verden inkluderer beredskapen ikt-systemer.

Trond MarkussenNår helseministeren ikke ser ut til å forstå denne sammenhengen, må det være legitimt å påpeke dette uten å bli beskyldt for å være en motstander av private leverandører. De private selskapene har sin plass nettopp som leverandører, men ikke som premissgivere for den nasjonale beredskapen. Her går det en viktig, prinsipiell linje.

Per Øyvind HodølPåstanden om at termineringen av kontrakten med DxC medførte ytterligere forsinkelser i oppgraderingene av gammelt ikt-utstyr, er å snu situasjonen på hodet. Sannheten er at midler til vedlikehold ble fryst lang tid i forkant av kontraktsinngåelsen. Om noe, er det den gamle ledelsens ansvar at oppgraderingene har blitt satt på vent i flere år nå.

Farten øker

Nå ser det ut til at farten i moderniseringen endelig øker. Det handler ikke om å lappe på gamle sårbare systemer, men en videre modernisering av samfunnsviktige ikt-systemer under offentlig styring og kontroll. Helse Sør-Østs ikt-leverandør Sykehuspartner, er samtidig storkonsument av tjenester fra det private markedet. De benytter eksterne konsulenter både i strategiarbeid, prosjektgjennomføring og definerte driftsoppgaver.

Hauglis påstand om at "NITO gjør norske og internasjonale it-selskaper og it-arbeidere til skyteskive", faller derfor på sin egen urimelighet. Sykehuspartner bruker DxC til å oppgradere alle arbeidsstasjoner i HSØ til Windows 10 i dag. Vi mener selvsagt ikke at de må slutte med det. Vi har mange ganger uttalt oss om at outsourcing kan være bra, dersom ting gjøres i riktig rekkefølge, og sikkerheten tas på alvor.

Hovedproblemet i HSØ-saken var at kravspesifikasjonen for ikt-sikkerhet ikke var basert på en risiko- og sårbarhetsanalyse (ROS-analyse). Skulle ROS-analysen for et såpass kritisk ikt-system blitt dekkende, måtte den ha tatt inn nasjonale føringer for beredskapen i helsesektoren. Og det er nettopp her vi setter et stort spørsmålstegn ved om helsesektoren og ministeren sviktet sitt oppfølgingsansvar. Så langt NITO kjenner til, kom det ingen føringer fra verken departementet eller direktoratene om å ta med beredskapsmessige hensyn i DxC-kontrakten.

Prosjektledelsen sviktet fordi de utarbeidet sikkerhetskrav uten bakgrunn i en ROS-analyse. NITO stiller også spørsmål ved om helseministeren sviktet sitt oppfølgingsansvar for Regjeringens handlingsplan for informasjonssikkerhet i statsforvaltningen. Hadde ministeren lyttet til NITOs advarsler høsten 2016 om at helseopplysninger ikke lar seg skjerme fra driftspersonellet med dagens løsning, kunne skandalen vært unngått.

Læring

Et viktig læringspunkt for fremtiden, er at sikkerhetsarbeidet må begynne i motsatt ende: Nasjonale beredskapskrav som grunnlag for en risiko- og sårbarhetsanalyse, som leder til en reell kravspesifikasjon for ikt-sikkerhet. Først da kommer hesten og kjerra i riktig rekkefølge. Uten riktig rekkefølge, er det også vanskelig å se for seg at de riktige sikkerhetskravene kommer med til en riktig pris. Krav som kommer etter en kontraktsinngåelse, prises gjerne mye høyere.

Haugli skriver at "Norge har ivaretatt strenge krav til sikkerhet i viktige bransjer før". NITO vil påpeke at oljebransjens nåværende høye sikkerhetsnivå blant annet er et resultat av offentlige myndigheters reguleringer. Dette kan godt stå som et eksempel til etterfølgelse i de kritiske nasjonale ikt-systemene som Helse Sør-Øst er et godt eksempel på, og som innen kort tid underlegges den nye sikkerhetsloven.

NITO vil i fremtiden oppfordre Abelia til ikke å utelate den delen av faktabildet som ikke passer med egne interesser. Det fordreier en ellers viktig og interessant diskusjon om Norges fremtid i et stadig mer vaklende internasjonalt sikkerhetsbilde.

Trond Markussen, president i NITO og Per Øyvind Hodøl nestleder i NITOs IKT-fagutvalg