I dagens blogg resonerar Christian och Hans om säkerhetsskydd och upphandling.
Vi har precis firat nationaldagen här i Sverige, så när man får möjlighet att publicera en blogg så tätt in på, så känns det som nästan oundvikligt att den kommer att handla om Sverige. Och givet vårt yrke, så blir det naturligt att det handlar om just Sveriges säkerhet och hur man beaktar det i upphandling.
Vad är Sveriges säkerhet egentligen? Och säkerhetsskydd?
I SÄPOs vägledning ”Introduktion till säkerhetsskydd” från juni 2019 skriver man så här,
”Uttrycket […] kan sammanfattas som Sveriges oberoende – i betydelsen självständighet och suveränitet – och bestånd. Detta innefattar rätt till okränkta landsgränser, ett bevarande av det svenska självstyret och det demokratiska statsskicket samt av nationens grundläggande funktionalitet.” Man noterar också att, precis som i den äldre termen Rikets säkerhet, så existerar ingen legal definition.
I Proposition 2017/18:89 ”Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag”, skrevs det sålunda ”Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utvecklingen i omvärlden och på informationsteknikområdet, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan.”
Lag och syfte
Säkerhetsskyddslag (2018:585), vilket är den övergripande lagen avseende skyddet för verksamhet som berör Sveriges säkerhet.
Säkerhetsskyddslagen anger informationssäkerhet, fysisk säkerhet och personalsäkerhet som de områden som ska beaktas.
Hur vet jag vad jag behöver göra?
Först och främst så är det verksamheten självt som måste identifiera om lagen är tillämplig. Om man omfattas av Säkerhetsskyddslagen så ska man genomföra en säkerhetsskyddsanalys (där ingår informationssäkerhetsanalys). Analysen resulterar (får man hoppas) i dokument med instruktioner eller riktlinjer som bland annat rör upphandlingar som berör det som ska skyddas.
Om ens verksamhet omfattar Sveriges säkerhet krävs det att man genomför en säkerhetsskyddad upphandling och att man tecknar ett säkerhetsskyddsavtal.
Är det väldigt jobbigt?
Ja. En säkerhetsskyddad upphandling är omständlig att genomföra. Ur eget perspektiv blir det än värre om man arbetar med den som konsult, för då behöver vi konsulter antagligen upphandlas som en säkerhetsskyddad upphandling först. Utöver det måste hänsyn tas till vilken information som delges i upphandling (i de allra högst säkerhetsskyddsnivåerna behöver leverantörer underteckna säkerhetsskyddsavtal för att få ta del av underlagen). Och anbuden kan, om de innehåller beskrivning av lösningen, i sig inte hanteras i ett oskyddat system som ett upphandlingsverktyg. Hantering av detaljerna kring upphandlingen kan bli mer tidskrävande än själva upphandlingsverksamheten.
Hur gör man då?
Det finns god hjälp, SKR:s verktyg KLASSA är ett formidabelt stöd inom informationssäkerhetsområdet. Det finns en flora av handledningar och guider, samt inte minst, möjligheten att samråda med antingen SÄPO eller Försvarsmakten.
SUA är intressant. Upphandlingen kan inte ses som en enskild sak som sker, utan kräver ett helhetstänkande kring alla ingående faktorer. Konsekvensanalyser blir oerhört viktiga, och riskmitigerande åtgärder behöver vara både kraftfulla och tidiga.
Kravarbetet i sin tur har sitt eget behov. Krav behöver utmanas om det övergripande syftet med en säker leverans ska uppnås. Fast man måste också vara rimlig, för annars kan man hamna i en situation där medarbetarna arbetar med en skrivmaskin, en kulram och en flanellograf istället för Windows 365.
Vidare
En sak som läsaren säkerligen så här långt i texten redan tänkt på, men det tjänar till att påminna om denna faktor, är nämligen att verktyg som KLASSA, registerkontroller och riktlinjer endast är ett stöd avseende det systematiska säkerhetsskyddsarbetet som börjar med en säkerhetsskyddsanalys. Registerkontroller ersätter aldrig personlig kännedom om personal; att informationssystemet är upphandlat och hanterat enligt konstens alla regler hjälper inte om medarbetarna laddar upp information till Dropbox för att det är smidigare än att använda VPN; Världens säkraste informationssäkerhetslösning hjälper inte om du inte har koll på vem från bemanningsföretaget som sköter din reception under semestern, och som har en egen identitet i ert AD för att kunna sköta sina uppgifter. Helhetsperspektivet är således A och O.
Slutord
Så, att hantera upphandlingar (och väldigt mycket annat) inom ramen för Sveriges säkerhet är omständligt, besvärligt och kringgärdat av faktorer som inte alltid drar åt samma håll och därmed kräver avvägningar.
Det är även absolut nödvändigt.
Och man kan kanske inte annat än vid dagens slut hålla med om uttrycket, ”Ja, jag är paranoid…men är jag paranoid nog?”
Christian Lund: Seniorkonsult med mångårig erfarenhet inom verksamhets-, organisations- och processutveckling inom kommuner och samhällsbyggande verksamheter.
Hans Engström: Seniorkonsult med mer än 15 års erfarenhet av upphandling, affärsrelationer samt verksamhets- och processutveckling inom offentlig sektor.
