Vem bär ansvaret vid säkerhetsincidenter – leverantören eller kunden?
Denna debattartikel belyser den komplexa frågan om ansvarsfördelning vid säkerhetsincidenter i outsourcad IT. Artikeln argumenterar för att medan det är lätt att skylla på leverantören, har kunden ett betydande ansvar för att göra medvetna val och ställa rätt krav. Texten diskuterar illusionen av säkerhet hos stora leverantörer, kundens ansvar vid val av leverantör, och vikten av att prioritera säkerhet över pris. Avslutningsvis presenteras förslag på hur företag kan förbättra sin approach till IT-outsourcing för att minimera säkerhetsrisker.

by Patrik Dahlman

Illusionen av säkerhet hos stora leverantörer
När säkerhetsincidenter inträffar i outsourcad IT är det lätt att peka finger mot leverantören. Många företag har gått ut offentligt och kritiserat sina leverantörer för bristande säkerhet, men frågan kvarstår: vems är egentligen felet? Är det leverantören som levererat en undermålig tjänst, eller är det kunden som valde leverantören utan att ställa rätt krav?
Vi behöver lyfta denna fråga till en högre nivå, bortom enskilda exempel, för att belysa de strukturella problemen som finns inom outsourcad IT-drift.
Många företag gör valet av IT-leverantör baserat på storlek och pris. Det ger en illusion av trygghet – "en stor leverantör måste ju vara säker och pålitlig." Men stor omsättning eller låg kostnad innebär inte automatiskt hög säkerhet eller leveransförmåga. Att outsourcade tjänster sedan levereras från länder med lägre kostnadsnivå, som Östeuropa eller Asien, ökar ytterligare riskerna för bristande säkerhet och kontroll.
Den här typen av beslut handlar ofta om att minimera kostnader och undvika risken att "göra fel" inför ledning eller styrelse. En stor leverantör upplevs som ett säkert val eftersom den har resurser och ett etablerat namn. Men säkerhetsincidenter visar gång på gång att storlek inte ersätter sunt förnuft och ett genomgripande säkerhetstänk.
Kundens ansvar: Aktivt val och bristande due diligence
Företag som outsourcar sin IT-drift har ett betydande ansvar för sina val. När en leverantör väljs baserat på storlek och pris, snarare än på kompetens och fokus på cybersäkerhet, är det kunden som gör ett strategiskt misstag. Många företag undviker att göra en ordentlig due diligence (DD) och prioriterar inte säkerhetsfrågor i upphandlingen.
Det handlar inte bara om teknik och processer. Att förstå leverantörens prioriteringar och säkerhetskultur är avgörande. När leverantören ser kunden som "en liten spelare" bland många andra, är risken stor att den större kundens krav och intressen alltid går före. Detta skapar en obalans i relationen där den mindre kunden får sämre leverans och säkerhet.
Kundens ansvar inkluderar
Aktivt val av leverantör
Genomförande av due diligence
Prioritering av säkerhetsfrågor
Förståelse för leverantörens kultur
Det aktiva valet och konsekvenserna
Företag som outsourcar sin IT har makten att ställa krav och göra medvetna val. De kan välja leverantörer som har cybersäkerhet i fokus och som kan visa upp konkreta säkerhetscertifieringar och processer. Men detta kräver att kunden är beredd att prioritera säkerhet över lägsta pris och vågar ifrågasätta etablerade normer om att "störst är bäst."
De katastrofala följderna av felaktiga val – dataintrång, förlorade affärer och skadat förtroende – belyser vikten av att ta ansvar redan vid valet av leverantör. Det är för lätt att skylla på leverantören när saker går fel, samtidigt som man själv inte har tagit ansvar för att säkerställa att rätt krav har ställts från början.
Felaktiga val kan leda till:
  • Dataintrång
  • Förlorade affärer
  • Skadat förtroende
Medvetna val innebär:
  • Prioritera säkerhet över pris
  • Ifrågasätta etablerade normer
  • Ställa konkreta säkerhetskrav
Lösningen: Fokus på säkerhet och medvetenhet
För att minska risken för säkerhetsincidenter måste företag tänka om när det gäller outsourcing av IT. Här är några förslag på hur detta kan ske:
1
Ställ rätt frågor vid upphandlingen
Vilka säkerhetsprocesser finns? Var sker leveransen geografiskt? Vilka säkerhetscertifieringar har leverantören?
2
Prioritera kvalitet framför pris
Låga kostnader kan snabbt bli dyra i form av incidenter, böter och förlorat förtroende.
3
Välj leverantörer som kan anpassa sig efter kundens behov
Mindre, nischade aktörer med fokus på cybersäkerhet kan vara ett bättre val än stora leverantörer med hundratals kunder.
4
Genomför en grundlig due diligence
Säkerställ att leverantören har den kompetens och säkerhetskultur som krävs för att möta dagens hotbild.
Vikten av att välja rätt leverantör
Att välja rätt leverantör för outsourcad IT-drift är ett kritiskt beslut som kräver noggrann övervägning och analys. Det handlar inte bara om att hitta den billigaste lösningen eller den största aktören på marknaden. Istället bör fokus ligga på att identifiera en partner som kan leverera den säkerhet och kvalitet som verksamheten kräver.
Fördelar med rätt val:
  • Ökad säkerhet
  • Bättre anpassning till verksamhetens behov
  • Långsiktig kostnadsbesparing
  • Förbättrad riskhantering
Risker med fel val:
  • Ökad sårbarhet för cyberattacker
  • Bristande kontroll över kritisk data
  • Potentiella regelöverträdelser
  • Skadat rykte och förlorat kundförtroende
Genom att lägga tid och resurser på att välja rätt leverantör från början kan företag undvika många av de fallgropar som är förknippade med IT-outsourcing. Det handlar om att se bortom ytliga faktorer och istället fokusera på leverantörens kompetens, säkerhetsrutiner och förmåga att möta specifika behov.
Balansera ansvar mellan kund och leverantör
Medan det är viktigt att betona kundens ansvar vid val av IT-leverantör, är det även centralt att erkänna leverantörens roll i att upprätthålla säkerheten. En framgångsrik outsourcing-relation bygger på ett delat ansvar och en öppen dialog kring säkerhetsfrågor.
Kundens ansvar
Ställa tydliga krav, genomföra due diligence, prioritera säkerhet i upphandlingen, och aktivt övervaka leverantörens prestationer.
Leverantörens ansvar
Leverera säkra tjänster enligt överenskommelse, upprätthålla hög säkerhetsstandard, vara transparent om risker och incidenter, och kontinuerligt förbättra säkerhetsrutiner.
Gemensamt ansvar
Regelbunden kommunikation om säkerhetsfrågor, samarbete kring incidenthantering, och anpassning till nya hot och regelverk.
Genom att erkänna och balansera ansvaret mellan kund och leverantör skapas förutsättningar för en mer robust och säker IT-miljö. Detta kräver ett aktivt engagemang från båda parter och en vilja att kontinuerligt utvärdera och förbättra säkerhetsarbetet.
Avslutande tankar
Säkerhetsincidenter är ett samspel mellan många faktorer, men ansvaret för att välja rätt leverantör ligger alltid på kunden. Att förlita sig på stora namn och låga priser är en farlig strategi. En klok upphandling, med säkerhet som en central del, kan göra hela skillnaden mellan framgång och katastrof. Det är hög tid att företag tar ansvar för sina egna val och inser att säkerhet börjar med medvetna beslut.
Det är för lätt att skylla på leverantören när saker går fel, samtidigt som man själv inte har tagit ansvar för att säkerställa att rätt krav har ställts från början.
Genom att prioritera säkerhet, genomföra noggrann due diligence, och välja leverantörer baserat på kompetens snarare än storlek, kan företag drastiskt minska risken för allvarliga säkerhetsincidenter. Det handlar om att skapa en kultur där säkerhet ses som en investering snarare än en kostnad, och där medvetna val är grunden för all IT-outsourcing.
Avslutningsvis är det viktigt att komma ihåg att säkerhet är en ständigt pågående process. Även efter att rätt leverantör har valts, måste både kund och leverantör arbeta kontinuerligt för att upprätthålla och förbättra säkerheten. Endast genom ett aktivt och delat ansvar kan vi skapa en tryggare digital framtid för alla inblandade parter.