Informationssäkerhet vid upphandling – hur blir du mer säkerhetsmedveten?

Sverige och världen digitaliseras snabbt, effektiviteten ökar och information blir mer tillgänglig för fler människor. Även om detta ofta är positivt har det också en baksida.

Företag, samhällsinstitutioner och privatpersoner hinner inte alltid uppmärksamma och täta de säkerhetshål som skapas när den digitala förändringstakten är hög. Hur kan vi förhålla oss till de säkerhetsrisker som uppstår i verksamheten och skydda oss, våra kunder och vårt samhälle mot illvilliga krafter?

Ylva Söderlund arbetar med tillsyn och rådgivning på enheten för säkerhetsskydd hos SÄPO. I samband med SKL Kommentus årsstämma föreläste hon om säkerhetsrisker som kan uppstå i samband med upphandling och besvarade några korta frågor:

1. Vad är tre vanliga säkerhetsrisker i samband med upphandling?

– En ofta förekommande säkerhetsrisk är att inte notera att det finns känslig verksamhet inom ett område. Det som vid första anblicken kan verka som en banal produkt eller tjänst i ett ramavtal kan fortfarande vara känslig om kundens verksamhet är det. Exempel på information som kan bli känslig i vissa sammanhang är rent administrativa uppgifter eller ekonomiska transaktioner som skulle kunna utnyttjas på ett skadligt sätt.

– En annan risk är att bortse från gömda funktioner som till exempel IT-personal och backoffice som hanterar mycket information. Ligger IT-supporten inom verksamheten eller är den outsourcad till ett annat företag eller kanske till och med ett annat land? I så fall riskerar information att spridas i flera led utanför den egna organisationen utan att man kanske ens har reflekterat över det.

– Till sist är det också vanligt att ha dålig koll på underleverantörerna. Även om du vet att den leverantör du tecknar avtal med uppfyller ställda säkerhetskrav är det inte säkert att dennes underleverantörer gör det.

Vilka konsekvenser kan dåliga säkerhetsrutiner få?

– Det främsta problemet är att obehöriga kan få del av information som inte angår dem. I fel händer kan sådan läckt information missbrukas och i förlängningen skada hela samhället.

Vad är första steget för att komma igång med säkerhetsskyddsarbetet?

– Gör en ordentlig säkerhetsanalys där ni kartlägger den egna verksamheten och identifierar möjliga säkerhetshål. Lär er sedan göra en sådan säkerhetsanalys för varje upphandling där ni också inkluderar leverantörer och underleverantörer. Det behöver inte vara så tidskrävande som det låter om man bara får in en fungerande rutin.