(Roger Bang Eie) Den årlige trussel- og risikovurderingen for 2023 forteller oss at norske virksomheter vil bli utsatt for økte fordekte anskaffelser – og at enkeltpersoner kan bli utsatt for påvirkning. Anbud365 ønsker å rette søkelys mot den trussel fremmede maker utgjør mot offentlige anskaffelser. Vi har da vært i kontakt med tre ulike etater for å høre hvordan de opplever dette. Denne gangen Skatteetaten.
Rollen Skatteetaten har i samfunnet innebærer forvaltning av store mengder informasjon, inkludert sensitive personopplysninger. Dette, sammen med rollen som finansieringskilde for Staten, gjør dem til et svært attraktivt mål for eksterne aktører.
Rapporten som er et samarbeid mellom Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet, beskriver en sammensatt trusselvurdering på ulike felt.
Hvordan håndterer Skatteetaten risiko ved anskaffelser?
I denne forbindelse har vi vært i kontakt med Skatteetaten og seksjonssjef for anskaffelser, Erlend Leinum og stilt noen spørsmål:
– Er deres risikovurderinger skjerpet ved teknologi-relevante anskaffelser i den senere tid, hensett til den urolige verden?
– Skatteetaten gjør en årlig overordnet risikovurdering relevant for Skatteetatens samfunnsoppdrag, med tilhørende sårbarhets- og trusselvurdering. Risikovurderingen danner grunnlaget for all oppgaveløsning i etaten, også de anskaffelser vi gjennomfører. Trusselvurderingen har blitt gjennomgått og oppdatert basert på endret trusselbilde etter Russlands invasjon av Ukraina.
I tillegg til overnevnte vurdering vil det for alle anskaffelser som gjennomføres være fokus på sikkerhet. Dette gjenspeiles i rutiner og malverk som er utarbeidet for å dekke hele anskaffelsesløpet, hvor alt er knyttet til verdien i informasjonen eller systemet som anskaffelsen omhandler. I anskaffelsesprosessen vil det alltid være en som er ansvarlig for at sikkerheten er ivaretatt.
– Hvordan håndteres risikoen ved at det kan være tilbydere som er «stråmenn» for fremmede makter – makter som det er grunn til å være på vakt for?
– Vi vurderer risikoen både ved informasjonsdeling i anskaffelsesprosessen og eventuelle tilganger ved tjenesteleveranser. Vi har tiltak for å begrense deling av sensitiv informasjon med tilbydere i konkurransen, og vi har tiltak for å sikre tilstrekkelig sikkerhet ved leveranse av produkter og tjenester. De konkrete tiltak varierer med kategori av anskaffelse og hvilke av våre verdier som eventuelt eksponeres.
– Hvordan håndteres risiko for å hindre at innkjøpere/beslutningstakere for offentlige anskaffelser, ikke kommer under press fra fremmede makter?
– For å redusere press fra fremmede makter har vi rutiner som innebærer at ingen gjennomfører en anskaffelse alene, og at konkurransen og kontraktsinngåelse kvalitetssjekkes i flere ledd. Dette reduserer press, da ingen i praksis har myndighet til å gjennomføre innkjøpet alene.
– Hva slags regler har dere for ansatte i utsatte posisjoner – og hva som kan deles i åpne kilder?
– Våre tiltak for å beskytte ansatte i utsatte posisjoner ønsker vi ikke å dele åpent da det kan svekke tiltakene og sette ansatte i fare. Regler for deling i åpne kilder vil avhenge av den ansattes rolle i etaten, men vi ber alle ansatte, uansett om de er i utsatte posisjoner eller ei, om å være bevisst på hva de deler om seg selv og om sitt arbeid.
Om Skatteetaten
Skatteetaten har ansvar og jobber for korrekt innbetaling av skatter og avgifter til den norske stat – hvor mål er å sikre finansiering av velferdssamfunnet. Etaten som også har ansvar for å oppdatere folkeregisteret har i dag ca. 7000 ansatte – og består av et direktorat og seks divisjoner med landsdekkende ansvar. Skattedirektoratet er underlagt Finansdepartementet og ledes av skattedirektøren.
Skatteetaten har store mengder data om privatpersoner og virksomheter i Norge. Data hentes inn fra mange aktører, både private og offentlige. Eksempler på offentlige etater: NAV, UDI, Brønnøysundregistrene og Tolletaten. Alle som skal jobbe og bo i Norge må registrere seg med fødselsnummer eller id nr. Det samme gjelder om du er utenlandske borger og har behov for deres tjenester, så vil det medføre et krav om identitetsnummer. For utenlandske biler er det også et krav om å ta kontakt for registrering og godkjennelse av korrekt bruk.
A-krim: Skatteetaten er sentral i et samarbeid mellom ulike etater for å bekjempe arbeidslivskriminalitet. Samarbeidet er mellom Arbeidstilsynet, NAV, Politiet og Skatteetaten, med informasjonsdeling for økt effektivitet.
Rollen Skatteetaten har i samfunnet innebærer forvaltning av store mengder informasjon, inkludert sensitive personopplysninger. Dette, sammen med rollen som finansieringskilde for Staten, gjør dem til et svært attraktivt mål for eksterne aktører. (kilde: Skatteetaten).
Hva opptar fremmed etterretning?
Ifølge PST, vil Statlige aktører benytte nettverksoperasjoner til fordekt virksomhet i Norge. Digitale trussel aktører tilpasser seg dagens sikkerhetspolitiske bilde og utvikler stadig mer avanserte metoder og virkemidler for å nå sine mål. Flere etterretningstjenester har trussel aktører som opererer i det digitale rom, og nettverksoperasjoner er et av deres viktigste verktøy for å få tilgang til sensitiv og gradert informasjon. Nettverksoperasjonene mot Stortinget i 2021 er eksempler på svært alvorlige hendelser i Norge.
Når statlige aktører benytter nettverksoperasjoner, gjøres dette i hovedsak med et spionasje- og etterretningsformål. PST forventer at etterretningstjenestene blant annet vil kartlegge og innhente informasjon om norske virksomheter – og privatpersoner (red, anm).
Virksomheter med solide datasikkerhetssystemer og -rutiner er sårbare dersom deres underleverandører ikke har tilsvarende sikringstiltak.
Enkeltpersoner mer utsatt
Politiske beslutningstagere, forskere, militært personell, dissidenter og diasporamiljøer er i økende grad utsatt for nettverksoperasjoner fra fremmede staters etterretningstjenester.
Konsekvensen av en nettverksoperasjon mot eksempelvis medlemmer av flyktning diasporaen kan være at trussel aktøren får tilgang til all korrespondanse, planer, kontaktinformasjon og kontaktnettverk. Dette gir trussel aktøren en unik innsikt. Informasjonen kan eksempelvis benyttes til å tilrettelegge for nettverksoperasjoner mot andre i samme nettverk eller til å bygge sak mot personen i hjemlandet – og dermed utøve press i Norge.
Utenlandske etterretningsoffiserer vil forsøke å rekruttere kilder i Norge
For utenlandske etterretningsoffiserer vil personer med tilgang til sensitiv og gradert informasjon være prioriterte mål. Samtidig er det også mange andre personer som potensielt kan hjelpe etterretningsoffiserer med å svare på deres informasjonsbehov. Utviklingen av potensielle kilder kan pågå over mange år. Blant annet vil etterretningsoffiserer oppsøke unge mennesker som de antar på lang sikt vil kunne få relevant innflytelse og informasjonstilgang. Kina, Iran og flere andre autoritære stater bruker sine etterretningstjenester til å kartlegge, overvåke og påvirke egne borgere som er bosatt i Norge.
Bli den første til å kommentere på "Risiko ved anskaffelser (II): Slik gjør Skatteetaten det"