Beslutningen om å konkurranseutsette var ikke godt nok forberedt, særskilt når det gjelder de sikkerhetsmessige aspektene. Dermed kunne sensitiv informasjon fra Transportstyrelsen i Sverige ha lekket til fremmede nasjoner. Dette fremgår av en utredning som har tatt for seg Transportstyrelsens konkurranseutsetting av sin IT-drift. En urealistisk tidsplan var også medvirkende til ulykkelige konsekvenser, heter det.
Transportstyrelsen i Sverige gjennomførte i 2014 og 2015 en anskaffelse om IT-drift, som omfattet maskinvare, nettverk og program. Innbefattet i dette var også driften av de registrene som Transportstyrelsen har ansvaret for, som f.eks. veitrafikkregisteret. IBM fikk kontrakten. I forbindelse med overtakelsen av driften viste det seg at det ble foretatt en del grep som var på siden av svensk lovgivning, og det medførte i sin tur at følsom og av andre grunner sikkerhetsbelagt informasjon ble håndtert på en måte som strider mot svensk lov.
Mangelfull strategi
Utredningen som den svenske regjeringen satte i gang i august i fjor, er nå levert. Her heter det at Transportstyrelsens IT-forsyningsstrategi er uten overveielser av hvilke virksomheter som er egnet for konkurranseutsetting og hvorledes sikkerhetsvern og informasjonssikkerhet skal håndteres ved valg av forsyningsform. Sikkerhetsspørsmålene ble heller ikke tatt opp i forstudien som ble gjennomført før man besluttet å konkurranseutsette. Klassifiseringen av informasjonen og lignende ble løftet fram som to prosesser som måtte være på plass for konkurranseutsettingen, men disse prosessene er fremdeles ikke på plass i Transportstyrelsen.
Det var ikke feil å benytte forhandlinger som konkurranseform, heter det, og selve anskaffelsen ble gjennomført bra og gjennomarbeidet etter reglene. Men tidsplanen for anskaffelsen og for overdragelsen til ny leverandør var allerede fra begynnelsen av altfor optimistisk. Transportstyrelsen innledet tre anskaffelser samtidig.
Ikke tilfredsstillende krav
Kravene som ble stilt i anskaffelsen var ikke tilfredsstillende, ikke minst når det gjelder kravene til sikkerhetsvern. Av utredningen fremgår det at dersom Transportstyrelsen hadde gjennomført klassifiseringsarbeidet av informasjonen og hatt kunnskap om hvilke oppgaver den håndterte og hvor, hadde kravene kunne bli presisert.
Transportstyrelsen har hatt vanskeligheter med å besvare tilbydernes spørsmål om eventuelle restriksjoner knyttet til leveransemodellene. Dermed har styrelsen også åpnet opp for leveranse med utenlandske underleverandører.
Sikkerhetsfunksjonen har hele tiden ligget etter i anskaffelsesprosessen. Årsaken kan, heter det, dels være at denne funksjonen ble invitert inn i anskaffelsen på et sent tidspunkt, at de ikke har fått gehør i organisasjonen eller at de ikke har hatt tilstrekkelig kompetanse til å stille krav, gi støtte eller gjennomføre tiltak.
Bli den første til å kommentere på "Sikkerhetsaspektene ikke godt nok forberedt før IT-anskaffelse"