L’Autorità nazionale norvegese per la sicurezza (NSM) ha messo in guardia le società informatiche del paese di dare priorità alla sicurezza nazionale, rispetto al taglio dei costi, quando esternalizzano le loro operazioni all’estero (outsourcing).
L’avvertimento segue quello che è diventato noto come il “caso Broadnet”, che, secondo il governo norvegese, ha messo in evidenza i pericoli derivanti dalle misure di riduzione dei costi estreme da parte dell’industria IT norvegese, fortemente privatizzata.
Nel settembre del 2015, Broadnet ha licenziato 120 dei suoi dipendenti con sede in Norvegia e ha ridislocato i loro posti di lavoro in India, in cerca di misure di riduzione dei costi. La società ha firmato un contratto multimilionario con Tech Mahindra, una società di outsourcing con sede a Mumbai. Ma un controllo del governo norvegese ha presto scoperto diversi casi di violazioni della sicurezza da parte dello staff di Tech Mahindra. Questi ultimi sarebbero stati in grado di accedere a Nødnett, senza autorizzazione, attraverso la rete IT centrale di Broadnet, che avrebbe dovuto essere off-limits per il personale in outsourcing privi di autorizzazioni di sicurezza norvegesi.
Poco dopo che le violazioni furono scoperte, Broadnet iniziò a riportare in Norvegia le sue attività esternalizzate. Entro la fine del 2017, tutte le attività IT relative alla sicurezza erano rientrate Norvegia. Nel frattempo, tuttavia, Broadnet era stata oggetto di pesanti critiche da parte del governo norvegese, dei politici dell’opposizione e dell’NSM, l’agenzia governativa responsabile della protezione dell’infrastruttura IT della Norvegia dalle minacce informatiche, tra cui spionaggio e sabotaggio.
L’avvertimento dell’Autorità nazionale norvegese per la sicurezza (NSM), pubblicato all’inizio di questo mese, fa ampio riferimento al caso Broadnet. Riconosce il diritto delle ditte IT norvegesi di esternalizzare alcuni o tutti i loro compiti operativi, come misura di riduzione dei costi. Ma sottolinea anche che le aziende IT del paese sono obbligate, per legge, a rispettare i protocolli di sicurezza nazionale quando esternalizzano parte dei loro portafogli IT a società straniere. Negli ultimi anni ci sono stati numerosi casi in cui “gli obblighi di gestione del rischio, relativi alle decisioni di esternalizzazione da parte delle società norvegesi [IT], sono diminuiti”, afferma il rapporto NSM. Aggiunge che le aziende IT devono attenersi a rigorosi protocolli di gestione del rischio quando prendono decisioni in outsourcing e avere una panoramica completa dei progetti in outsourcing in ogni fase del processo.