Stiller strengere krav til datasentertjenester
Myndighetene kommer med nye anbefalinger for kjøp av datasentertjenester i Norge.
Nasjonal kommunikasjonsmyndighet (Nkom) og Nasjonal sikkerhetsmyndighet (NSM) skriver i en pressemelding at de ser et økende behov for informasjon om sikkerheten ved kjøp av datasentertjenester i Norge.
Nå kommer myndighetene med felles råd for å bistå offentlige og private virksomheter i kjøpsprosessen.
– Virksomheter som vurderer å sette ut datasenterdriften eksternt, må kunne stille høye krav til leverandører og gjøre grundige sikkerhetsvurderinger for å beskytte sine egne IT-systemer, sier direktør i Nkom, John-Eivind Velure.
Å ha kontroll over datasentrenes lokalisering, drift og sikkerhet er avgjørende for å beskytte sensitive eller samfunnskritiske data og tjenester, skriver de videre i meldingen.
– Vi er helt avhengige av sikre og trygge datasentertjenester når vi skal bygge og trygge landet med digitalisering som verktøy. Veilederen som Nkom og NSM har lansert er et viktig bidrag til dette, og for at ulike aktører skal kunne sette riktige krav i sine anskaffelser, sier digitaliserings- og forvaltningsminister, Karianne O. Tung.
Forsvarlig drift og sikkerhet
Rapporten fra Nkom og NSM gir en innføring i sikkerhet ved fysiske datasenteranskaffelser, og dekker temaer som sikkerhetsstyring, risikovurdering og sårbarheter i leveransekjeden.
– Stadig flere kritiske samfunnsfunksjoner og -verdier legges over på digital infrastruktur. God kunnskap ved kjøp av datasentertjenester og tydelige krav til sikkerheten i sentrene og hele leverandørkjeden er av stor betydningen for sikkerheten i samfunnet, sier avdelingsdirektør Martin Albert-Hoff, som leder Nasjonalt cybersikkerhetssenter (NCSC) i NSM.
De nye anbefalingene gir også en overordnet forståelse av driftsprosesser og vurderingskriterier, som virksomheter bør ta stilling til før avtalen inngås.
– Et godt råd er å undersøke om datasenteroperatøren er godt rustet for å sikre forsvarlig drift. Redundant strømforsyning, kjøling, kontinuerlig overvåkning og vedlikehold er viktig for å beskytte datasentre mot ulike trusler, som brann, strømbrudd, digitale angrep eller naturkatastrofer, sier Velure.
Sentrale råd i rapporten
I pressemeldingen trekker de fram tre punkter som sentrale råd:
Sikkerhetsvurderinger: Virksomheter må kartlegge sine egne verdier og behov, og gjennomføre grundige risiko- og sikkerhetsvurderinger når de kjøper eller reforhandler datasentertjenester.
Kvalitetskontroll: Virksomheter bør undersøke om datasenteroperatøren har gode systemer for sikkerhet og kvalitet, som for eksempel redundant strømforsyning, kjølesystemer, kontinuerlig overvåking og vedlikehold.
Still tydelige krav: Virksomheter må inkludere datasenteroperatørene underveis i arbeidet. Still tydelige krav til operatørene og følg opp over tid. Benytt gjerne rapporten som hjelpemiddel i prosessen.
Har du tips til denne eller andre saker? Kontakt oss på: tips@kom24.no