Hur kan jag utvärdera säkerheten?
Säkerhetsexpert Tomas Djurling är kritisk till de IT-baserade säkerhetssystem som finns på marknaden idag, och menar att efterkontroller till exempel kan vara ett sätt att säkerställa att ställda krav uppfylls i leveransen.
Fråga: Jag arbetar med upphandlingar på en större organisation och vi håller nu på att köpa upp ett större IT-baserat säkerhetssystem. De potentiella leverantörerna lovar alla att uppfylla våra uppställda krav avseende säkerhet, funktionalitet och service.
Jag har inga problem med att utvärdera funktionaliteten och servicenivåerna i leveransen. Men hur gör jag med säkerheten? Hur vet jag att vi får den säkerhet som leverantören lovar? Jag har ju bara deras ord att gå efter.
Svar: Det är många som står frågande inför det du beskriver, att utvärdera och säkerställa säkerheten i leveransen. Jag vill dessutom lägga till man även bör förbereda för att göra efterkontroller i syfte att säkerställa att ställda krav uppfyllts i leveransen.
Det första steget i denna process är att ta fram och dokumentera kravställningen utifrån säkerhetsperspektivet. Detta görs bäst utifrån styrande dokument inom säkerhet, under förutsättning att dessa är så tydliga att kraven går att utläsa därifrån.
Om dessa dokument inte finns eller inte går att använda på nämnda sätt, behöver kraven arbetas fram och dokumenteras. Det som är viktigt är att kraven är så tydliga, väl genomtänkta och dokumenterade att de är mätbara och kontrollerbara i efterhand.
Eftersom vissa typer av säkerhetssystem/tjänster upphandlas mycket sällan bör man inte utgå ifrån att den egna organisationen har de kunskaper och erfarenheter som krävs för att göra en kostnadseffektiv upphandling på egen hand. Vissa säkerhetssystem/tjänster upphandlas var femte eller var tionde år.
Det hinner hända mycket på den tiden och för att göra en bra upphandling krävs förutom branschkunskap även kunskap i teknik, svagheter, risker och mycket mer.
Ni som upphandlar dessa tjänster och produkter kan inte utgå ifrån vad försäljare säger om säkerheten i deras system. Ett sätt att göra en bra upphandling är att skriftligt kravställa det som är viktigt för er och som säljare och leverantör påstår under upphandlingen.
Finns alltid brister
Jag vill hävda att samtliga säkerhetssystem som säljs har brister. Det måste man ha i åtanke vid en upphandling. De brister som är vanligt förekommande är bland annat tekniska, administrativa, installationsmässiga, och konfigurationsmässiga brister och fel.
Ett riskmoment med installation och konfiguration av systemen är om de utförs av personer som saknar kunskap. Installation av passersystem utförs till exempel ofta av svagströmselektriker som saknar kunskap och erfarenhet av säkerhet vilket öppnar för onödiga risker.
Detta innebär att ni inför en upphandling måste ställa krav inom alla dessa områden för att inte äventyra säkerheten och funktionaliteten i de nya säkerhetssystem som ni upphandlar, för stora summor. Om systemet har brister – hur mycket är säkerheten då värd?
Sedan ett antal år har de fysiska säkerhetsprodukterna vuxit ihop med IT. Nästan alla säkerhetssystem idag kommunicerar till exempel via TCP-IP.
Tittar vi närmare på kameraövervakningssystem, inbrottslarm och passersystem, hittar man idag samma fel och brister som IT-teknikerna gjorde för 15 år sedan i datorer och nätverk. Kunskapen om dessa problem finns sedan länge men de dyker ändå upp i samband med denna typ av säkerhetssystem.
Det är inte ovanligt att leverantörer och tillverkare av dessa system har bristfällig kompetens inom IT vilket ställer särskilda krav på beställarkompetens vid upphandling av denna typ av system.
De fel och brister som vi hittar i denna typ av system är många gånger helt onödiga och beror i inte sällan på okunskap hos de som designar och utvecklar systemen. Jag vill mena att tillverkarna inte prioriterar säkerhet i sina system. Granskar man tillverkarnas framtidsplaner avseende utveckling av sina produkter hittar man sällan något om säkerhet, istället berörs nästan uteslutande utveckling av ytterligare funktionalitet.
För att undvika att hamna i en situation där brister och fel upptäcks några månader efter slutleverans krävs en korrekt upphandling med god beställarkompetens. Att lägga ordentligt med resurser inför en upphandling ger ofta en snar återbetalning i form av lägre investering och säkrare system.
Ett sätt att få det kunnande som krävs om man inte har egna interna resurser, är att låta någon opartisk extern resurs utföra en test på tänkt system. Utifrån resultatet av testen kan sedan detaljerade krav ställas på det tekniska systemet, installation, konfiguration samt i förekommande fall drift och förvaltning.
Efterkontroll av leveransen
Kraven bör i ett senare skede användas för en efterkontroll av leveransen. Vid eventuella brister är det ett enkelt förfarande att åberopa upphandlingen och de ställda kraven. Då får leverantören rätta felen och säkerställa leveransen utifrån de krav som ställdes vid upphandlingen.
Då vissa av dessa säkerhetssystem är en investering på tiotals miljoner kronor är en god beställarkompetens av tänkt system en billig försäkring för att få ett system som man vet vad det klarar av och dessutom till en rimlig kostnad.
Ett test ger en lista på fel och brister som ger den upphandlande parten mycket goda argument vid själva prisförhandlingen. Att arbeta på detta sätt ger lägre kostnader och säkrare system där kunden har en mycket god bild av vad som upphandlats. Lycka till med upphandlingen!
Tomas Djurling
Djurling säkerhetsinformation AB