• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Höj nivån på säkerhetsskyddskraven i upphandling

Många upphandlingar idag innehåller krav på säkerhetsskyddsavtal men missar att utvärdera det viktigaste: leverantörens förmåga att faktiskt leva upp till säkerhetsskyddsavtalet. Detta trots en ständigt ökande hotbild och vikten av att säkerställa ett adekvat säkerhetsskyddsarbete under hela genomförandet. Dagens kravutformning räcker helt enkelt inte, skriver Vera Stocks, säkerhetsstrateg, och Isa Alvbåge, anbudsspecialist, Ramboll.

-

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.

Säkerhetsskydd är en högaktuell fråga för många verksamheter och leverantörer. Samtidigt som kraven har blivit mer omfattande har även hotbilden mot Sverige ökat och det bedrivs bland annat omfattande underrättelseinhämtning, påverkansförsök och kartläggning av kritiska funktioner i vårt samhälle. Ett välfungerande säkerhetsskydd är helt avgörande i arbetet att minska samhällets sårbarheter och värna vår nationella säkerhet.

En väsentlig del i säkerhetsskyddsarbetet är att säkerställa att säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter får likvärdigt skydd hos leverantörer som hos verksamhetsutövare. I många fall innehåller upphandlingar idag endast ett kort avsnitt med information om att uppdraget i fråga kommer omfattas av säkerhetsskyddskrav och att säkerhetsskyddsavtal kommer upprättas. För leverantören räcker det då att acceptera detta som en förutsättning för uppdraget genom att kryssa i en ja/nej-ruta. Det är inte tillräckligt. I stället bör verksamhetsutövare redan i upphandlingsfasen förvissa sig om att leverantören har tillräcklig förståelse, kompetens och förmåga för att ingå i ett säkerhetsskyddsavtal.

Många leverantörer är numera vana att ingå säkerhetsskyddsavtal men färre har en fullständig förståelse för den faktiska innebörden av vad ett sådant avtal kräver. Tyvärr finns det gott om exempel på uppdrag där det faktiskt viktiga – säkerhetsskyddsåtgärderna, de säkra arbetssätten, samordningen och den kontinuerliga uppföljningen – brister. Det blir ofta större fokus på ifyllnad av blanketter och administrativa processer än på själva efterlevnaden av säkerhetsskyddsavtalet. Resultatet blir en falsk trygghet för båda parter som underminerar det faktiska syftet.     

Att säkerställa ett adekvat säkerhetsskydd genom hela projekt kräver planering, framförhållning och resurser från både verksamhetsutövare och leverantör – särskilt när det gäller större projekt eller entreprenader med lång leverantörskedja och komplexa arbeten. Nedan följer fyra konkreta förslag på hur verksamhetsutövare kan höja nivån på säkerhetsskyddskraven i upphandlingar och därmed skapa bättre förutsättningar för efterlevnad i genomförandet. 

  1. Värdera säkerhetsskyddskompetens och -mognad som ett mervärde i anbudsutvärderingen. Detta skapar incitament för leverantörer att satsa på att bli ännu bättre på säkerhetsskydd och sänder en tydlig signal att den upphandlande verksamheten prioriterar frågan högt.
  • Peka på ansvar och skapa utrymme i budget. Vem i leverantörens projektorganisation samordnar säkerhetsskyddsfrågan och hur får hen förutsättningar att omhänderta det ansvaret i projektet över tid? Leverantören måste skapa en plan för detta arbete samtidigt som det från verksamhetsutövarens håll måste finnas acceptans, och förväntan, på att frågan tar plats i projektbudgeten.  
  • Kräv redogörelser av uppdragsspecifika arbetssätt. Ställ mer krav på det projektspecifika än på det övergripande. Om leverantören ska arbeta i egna lokaler och system, är säkerhetsskyddsinstruktionen anpassad efter det specifika uppdraget? Hur hanteras samordning av eventuella underleverantörer? Hur tar leverantören höjd för tidsaspekterna av exempelvis säkerhetsprövningar i tidplanen?  
  • Ta hjälp och lär av varandra, internt såväl som externt. Sänk trösklarna för kunskapsöverföring och våga utveckla tillsammans. Kroka arm internt mellan säkerhets-, upphandlings- och projektavdelningar, sträck ut en hand till systerorganisationer i branschen som föregår med gott exempel och sträva efter kontinuerlig dialog för uppföljning och lärande mellan verksamhetsutövare och leverantör.
Vera Stocks, säkerhetsstrateg, och Isa Alvbåge, anbudsspecialist, Ramboll.

Verktygen för att höja nivån finns. Säkerhetsskyddet får inte vara endast ett administrativt krav som bockas av i upphandlingar och sedan blir eftersatt under själva genomförandet. Vi både kan och måste vara bättre än så.

REKLAMSAMARBETE

Lådan som förhindrar att mobilen spionerar

Att datorer och laptops måste ha ett bra skydd mot eventuella intrång är något som i dag är en självklarhet för företagens IT-avdelningar. Men...

FLER NYHETER

Forskning om hur smygande kriser kan avvärjas får anslag på 12 miljoner

Forskningsprojektet Unravelling the secrets of crisis detection and decisive action ska svara på varför beslutsfattare inte agerar i tid för att avvärja större samhällskriser,...

REKLAMSAMARBETE

Digital transformation och utvecklingen av nätverkskameran

När den första nätverkskameran togs fram och utvecklades för många år sedan var det knappast ingen som kunde föreställa sig vilken kapacitet och potential...

Omfattande riktad attack mot Outlook – 10 000 försök under kort tid

Detta hela ser ut att vara en fortsättning på en tidigare kampanj från i mars i år, som riktade in sig mot en mängd...

REKLAMSAMARBETE

A proactive approach to cyber and physical security 

When choosing a physical security system, organizations must also consider cybersecurity and the security of their security. This article looks at the importance of...

KOMMENTAR: Avslöjandet om ryska cyberattacker mot brittiska regeringen

En hackergrupp cybersäkerhetsforskare kallad "Cold River", som arbetar på uppdrag av Rysslands federala säkerhetstjänst (FSB), riktade in sig på brittiska politiker, journalister och ideella...

Svenska företag måste hantera allt fler kriser

– Hittills i år har vi sett en ökning med 81 procent när det gäller våra krisinsatser ute på företagen. Det är tydligt att...

REKLAMSAMARBETE

Säkra upp företagets digitala resa med Knowit och SSF

I en tid av konstant förändring, digitalisering och snabb teknologisk utveckling är kunskap om säkerhetslagar och regelverk en kritisk fråga för företag. Ett av...

IT-Total och Sudo i samarbete kring trygg svensk container management

Containers är ett bra sätt för att smidigt rulla ut applikationer och funktioner, oberoende av den underliggande infrastrukturen eller placering i publika och privata moln. För...

REPLIK: ”Allt för många förlitar sig på klassrumsutbildningar”

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.”Det kan vara skrämmande för organisationer att ta itu med cybersäkerhetsrisker” skriver Per Erngård...

Startupen Selma Dynamics ingår partnerskap med MedMera Bank 

– Om kostnaden för cyberbrottslighet mättes som ett land skulle cyberbrottslighet vara världens tredje största ekonomi efter USA och Kina. Det säger en del...

Sverige och USA undertecknar avtal om försvarssamarbete

Avtalet är ett så kallat DCA, Defence Cooperation Agreement, och reglerar bland annat frågor som amerikanska styrkornas rättsliga status, tillgång till baseringsområden samt förhandslagring...

Svenska lärosäten brister i sin hantering av skyddsvärda forskningsdata

Främmande staters underrättelsearbete mot svenska universitet och högskolor har intensifierats under senare år. Behovet av ett effektivt informationssäkerhetsarbete har därmed ökat.Riksrevisionens granskning av de...

Nätfiske som länkar till Adobe InDesign ökar kraftigt

Det dagliga antalet attacker av det här slaget har ökat från cirka 75 meddelanden till cirka 2 000. Nästan en av 10 (9 procent)...

Knowit: Svenska cybersäkerhetsutbildningar lider av flera brister

Undersökningen ISC2-s Workforce Study 2022 estimerar att det internationellt saknas ungefär 3.4 miljoner anställda med cybersäkerhetskunskaper. Därtill säger 70 procent av de organisationer som varit med...

UNDERSÖKNING: Otydliga gränser mellan hem- och kontorsarbete äventyrar IT-säkerheten

Verizon Business presenterar idag sin Mobile Security Index (MSI)-rapport för 2023 – den sjätte i raden av företagets årliga undersökning som kartlägger IT-säkerhetshot mot...

Samarbete ska säkra unga i Helsingborgs digitala värld

– Vi är glada att välkomna Helsingborg Stad som partner i arbetet med att öka säkerheten för unga på nätet. HackShield har visat sig...

Bravida förvärvar låsföretag i Uppsala

Låsservice i Mälardalen är ett auktoriserat låssmedsföretag som innehar nödvändiga gesäll och mästarbrev.– Vi är mycket glada för att Låsservice i Mälardalen blir en...