Управление национальной безопасности Норвегии (NSM) предупредило ИТ-компании страны о том, что при аутсорсинге их операций за рубежом приоритет должен отдаваться национальной безопасности, а не сокращению затрат.
Предупреждение следует за тем, что стало известно как «дело Broadnet», которое, по мнению норвежского правительства, высветило опасность крайних мер по сокращению затрат со стороны сильно приватизированной норвежской ИТ-индустрии.
В сентябре 2015 Broadnet выпустила 120 своих сотрудников из Норвегии и переделала свою работу в Индии в поисках мер по снижению издержек. Компания подписала многомиллионный контракт с Tech Mahindra, аутсорсинговой компанией, базирующейся в Мумбаи. Но норвежский правительственный аудит вскоре обнаружил несколько случаев нарушений безопасности сотрудниками Tech Mahindra. Последний мог бы получить доступ к Nødnett без разрешения через центральную сеть Broadnet IT, которая должна была быть запрещена для персонала, не имеющего лицензии на безопасность в Норвегии.
Вскоре после того, как нарушения были обнаружены, Broadnet начала возвращать свою внешнюю деятельность в Норвегию. К концу 2017 года вся ИТ-деятельность, связанная с безопасностью, вернулась в Норвегию. Тем временем, однако, Broadnet подвергся резкой критике со стороны норвежского правительства, оппозиционных политиков и NSM, государственного агентства, ответственного за защиту ИТ-инфраструктуры Норвегии от киберугроз, включая шпионаж и саботаж. .
В предупреждении Норвежского управления национальной безопасности (NSM), выпущенном ранее в этом месяце, содержится обширная ссылка на дело Broadnet. Он признает право норвежских ИТ-компаний передавать на аутсорсинг некоторые или все свои операционные задачи в качестве меры по сокращению затрат. Но он также указывает на то, что ИТ-компании страны по закону обязаны соблюдать протоколы национальной безопасности, когда они передают часть своих ИТ-портфелей иностранным компаниям. В последние годы было много случаев, когда «обязательства по управлению рисками, связанные с решениями норвежских [ИТ] компаний по управлению рисками, уменьшались», - говорится в отчете NSM. Он добавляет, что ИТ-компании должны придерживаться строгих протоколов управления рисками при принятии решений по аутсорсингу и иметь полный обзор аутсорсинговых проектов на каждом этапе процесса.