Ekspert efter kritik af Energinet: Man kan ikke outsource ansvaret for it-sikkerheden

2. maj kl. 09:103
Elmast.
Illustration: Shahjalal2005/Wikimedia Commons.
Efter Rigsrevisionens kritik af, at Energinet har outsourcet store dele af virksmhedens it-systemer, vurderer it-sikkerhedsekspert, at der også kan være fordele ved outsourcingen – men ansvaret ligger altid hos virksomheden, påpeger han.
Artiklen er ældre end 30 dage

Der er fordele og ulemper ved at outsource it-sikkerhed, men ansvaret ligger altid hos virksomheden selv, påpeger Jens Christian Monrad, der er leder af it-sikkerhedsvirksomheden Mandiants efterretningsafdeling i Europa, Mellemøsten og Asien, overfor Altinget.

Læs også: Danske it-virksomheder vil udnytte EUs digitale ambitioner: »Det er hele Europa nu«

»Der er en risiko ved at outsource, men der er mulighed for at hente gevinster, man ikke kan hente andre steder. Man kan outsource til globale virksomheder, der har en større ressource og indsigt i forhold til at håndtere it-sikkerhed,« siger Jens Christian Monrad

Han mener, at det kan give mening for en virksomhed som Energinet – der er offentlig virksomhed under Klima-, Energi- og Forsyningsministerietejer, som ejer og driver el- og gasnettet i Danmark – at outsource, da virksomheden har et særligt trusselsbillede, fordi den leverer kritisk infrastruktur.

Artiklen fortsætter efter annoncen

Læs også: Ny Microsoft-rapport: Flere end har 200 russiske cyberangreb har ramt Ukraine

Udmeldingen kommer efter, at Statsrevisorerne i en beretning til Folketinget netop har kritiseret Energinets beslutning om at outsource omkring 90 procent af virksomhedens it-systemer på trods af en meget høj risiko for cyberkriminalitet og cyberspionage.

»Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske it-infrastruktur. Energinet har således ikke risikovurderet outsourcingen i forhold til, om den sikrede tilstrækkelig offentlig kontrol,« som Statsrevisorerne skriver i beretningen.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
14. september kl. 09:19

Man kan aldrig outsource et ansvar, kun en opgave. Selv om det ser ud til at mange finder det ret belejligt at ind i mellem kunne pege udenfor organisationen og sige at det var de andre derovre der skulle have gjort noget.

3
14. september kl. 10:26

Bravo, Søren.

1
2. maj kl. 13:28

Jeg er enig i at en leverandør kan være bedre til visse ting, men i min erfaring har en leverandør ikke helt samme ejerskabsfølelse for at identificere risici og har svært ved at sætte sig i kundens sted og forstå kundens forretningsområde.

Det er vildt vigtig at man få det rigtige snit til leverandøren og selv forstår, hvad dette snit så kræver af en selv. fx skal kunden bevare design autoriteten eller skal leverandøren have den? hvis kunden selv har design autoriteten, hvordan sikre kunden sig så at deres ansatte kan opretholde de rette kompetencer, herunder at vide nok om de tekniske komponenter til at vide hvad der muligt og hvad der ikke er. Hvis leverandøren har design autoriteten, hvordan sikre kunden sig så at leverandøren har de rette kompetencer til OT devices mv.