Fire råd for sikrere innkjøp og anskaffelser – laveste pris er sikkerhetsrisiko

Anbud365: Sikkerhetsrapport med fire råd for sikrere innkjøp og anskaffelserPå bildet: Lars Christian Aamodt, direktør i NSM (Nasjonal sikkerhetsmyndighet), som ida g la fram sin rapport «Risiko». Den er én av tre offentlige trussel- og risikovurderinger som utgis i første kvartal hvert år. De øvrige gis ut av Etterretningstjenesten og Politiets sikkerhetstjeneste. Risiko beskriver hvordan trusselaktører kan utnytte sårbarheter hos virksomheter og i samfunnet, og hvilken risiko dette medfører. I rapporten peker NSM på hvordan myndigheter og virksomheter bør redusere sårbarheter for å gjøre trusselaktørenes jobb vanskeligere (foto: Eirik Spiten/KPMG).

Skriv ut artikkelen

Når anbud og anskaffelser vektlegger pris over sikkerhet, utgjør det en sårbarhet som kan utnyttes, heter det en i en risikorapport som ble fremlagt i dag av Nasjonal sikkerhetsmyndighet (NSM). I rapporten finnes også fire råd for sikrere innkjøp og anskaffelser. NSM erfarer, heter det, at en del virksomheter ikke gjør innledende sikkerhetsvurderinger, men går rett på en anskaffelse. Dette skaper sårbarheter som trusselaktørene kan utnytte. Når anskaffelsen er gjort, kan det være for sent å ta grep.

Når anbud og anskaffelser vektlegger pris over sikkerhet, utgjør det en sårbarhet som kan utnyttes, heter det i rapportrn. Etterretningstjenesten vurderer at myndighetene i Kina subsidierer næringslivsaktører for å vinne anbudskonkurranser i vestlige land. Rimelig kinesisk teknologi blir da et naturlig valg for flere virksomheter, også i Norge. Det åpner også opp for at Kina får eksportert teknologi med skjulte bakdører som kan utnyttes til etterretningsvirksomhet. Skjulte bakdører er svært krevende å avdekke. Teknologi som er koblet til internett, kan være særlig utsatt for slik utnyttelse.

Videokonferanseutstyr

Kinesisk lovgiving pålegger kinesiske virksomheter å utlevere informasjon til kinesisk etterretning, og å rapportere oppdagede sårbarheter til myndighetene, skriver NSM. Bruk av eksempelvis kinesisk videokonferanseutstyr kan derfor gi økt risiko for at sensitiv eller gradert informasjon tilflyter kinesisk etterretning.

Tilsvarende bør internettilkoblede videokonferansesystemer eller annet utstyr som utgjør en risiko, kobles fra internett når møterommet skal benyttes til å diskutere sensitiv informasjon, understrekes det i rapporten. NSM erfarer at en del virksomheter ikke gjør innledende sikkerhetsvurderinger, men går rett på en anskaffelse. Dette skaper sårbarheter som trusselaktørene kan utnytte. Når anskaffelsen er gjort, kan det være for sent å ta grep. Det er viktig å gjøre grundige sikkerhetsvurderinger i forkant av anskaffelser av utstyr som skal behandle sensitiv eller gradert informasjon.

Fire råd

NSM gir i rapporten fire råd for sikrere innkjøp og anskaffelser:

1. Gjør gode risikovurderinger

Kjenn virksomhetens verdier, sårbarheter og eventuelle trusler. Gode risikovurderinger gir informasjon om hvilke krav som bør inn i kontrakten. Besitter virksomheten verdier som skal beskyttes etter sikkerhetsloven, er det egne regler for anskaffelsesprosessen. Oppdragsgivere som foretar offentlige anskaffelser, bør i større grad vekte sikkerhet i anskaffelsen.

2. Ha riktig kompetanse rundt bordet

Både oppdragsgiver og personer med kompetanse innen anskaffelser, avtaler og helhetlig sikkerhet må delta i utarbeidelsen og vurdering av anskaffelsen. Bruk av leverandører og underleverandører krever at du ser på sikkerhet med nye øyne, da det er underleverandører som må gjøre nødvendige tiltak for å redusere sårbarheter. Dette betyr at det er et større behov for avtalekompetanse som sikrer gode kontrakter som etablerer kontroll gjennom hele leverandørkjeden.

3. Ta inn gode sikkerhetsklausuler i kontraktene

Kontrakten er det viktigste virkemiddelet til å sikre kontroll med underleverandørene. Situasjonsbildet er dynamisk, og sikkerhetssituasjonen kan endre seg raskt. Kontrakten bør gi et handlingsrom for å håndtere endringer i verdi, sårbarheter og trussel, både på oppdragsgiver- og leverandørsiden.

4. Følg opp leverandørforholdet

Bli kjent med leverandøren, og etabler mekanismer som sikrer en god oppfølging av kontrakten. Kontraktene bør blant annet inneholde varslingsplikter ved endringer i eierskapsstrukturen og sikkerhetstruende hendelser. For at dette skal ha effekt, må det være etablert et system for å håndtere varsler.

Bli den første til å kommentere på "Fire råd for sikrere innkjøp og anskaffelser – laveste pris er sikkerhetsrisiko"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.