Att upphandla eller inte upphandla - det är frågan
Känslor är en inte oviktig komponent i säkerhetsarbetet. Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse. Men ibland kan det bli väl mycket känslor och litet för litet analys. Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande. Framför allt tycker jag att den osorterade diskussion där all offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande. Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar. Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.
Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här artikeln . Artikeln har fått positiv respons. Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster. Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går. Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt. I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster. Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi. Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas. Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi. Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.
I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer. Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m. är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg). Jag tycker dock inte att vi ska låta oss förtvivlas över detta. Bara för att Transportstyrelsen var dåliga (milt sagt!) på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.
Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna. Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.
På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige (NISU) säker upphandling som ett av sex strategiska mål. I den nyligen framlagda cybersäkerhetsstrategin finns däremot inte upphandling bland de sex strategiska prioriteringarna. Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att:
myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter
Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.
För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin. En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske. En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett regeringsuppdrag. För transparensens skull medger jag att jag deltog som expert i den utredningen. Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder. Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering. Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.
Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn. I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav. Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav. När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats). Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man
- Tror att ramavtalen tagit hand om säkerhetsfrågorna
- Tycker sig sakna kompetens och metoder att ställa rätt krav
- Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).
Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m. för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd. Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar. Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella). Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling. Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.
Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster. Krav på t.ex. var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett gemensamt regelverk skulle kunna ställas. Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel. I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda. Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.
Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra. När jag arbetade på MSB skrev jag en vägledning för informationssäkerhet vid upphandling av it-relaterade tjänster. Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå…
Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar. Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen. Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller. Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort. Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.:
Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift. För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt . Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel:
- Innehåller informationen personuppgifter? Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
- Kan lösningen komma att hantera information som påverkar rikets säkerhet?
Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.
Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna. Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar. Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det. Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter). Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m. känsliga personuppgifter. När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.
När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys. För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår:
- Verksamheten som behöver it-stödet
- It-chef
- Informationssäkerhetsansvarig
- Inköpare/upphandlare
Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till. Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?”
Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.
Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.
Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs. Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet. Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det. Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.
Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt. Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift. I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar. Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl. Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det. De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller. Min fråga i rubriken är helt retorisk. Vi är ett läge där upphandlingar sker och kommer att fortsätta ske. Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart. Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.