(En Anbud365-kommentar) Viktige påminnelser til alle offentlige oppdragsgivere er kommet: Gjør grundige risikoanalyser ved anskaffelser, og følg opp kontrakten som best dere kan. Det er Norges sikkerhet det gjelder. Hverken mer eller mindre. Adressater er selvfølge forsyningssektoren, men det kan være svært skjebnesvangert for andre oppdragsgivere å slå seg til ro med at «det gjelder ikke oss». For det kan det gjøre. Fremmede makter og andre som ikke vil oss vel, leter etter tilgang til verdier de bør holdes langt unna. Og en aldri så liten «anskaffelses-flik» kan vise seg å være den biten i puslespillet de mangler. Her må det ikke stå om ressurser!
I uken la Etterretningstjenesten i Forsvaret, PST og Nasjonal kommunikasjonsmyndighet (NSM) frem sine respektive trusselvurderinger for 2025. Viktig, men skremmende lesning. Etter å ha pløyet seg gjennom dokumentene er det ikke unaturlig å få frysninger – verden er ikke bare et trivelig sted å være. Det foregår maktkamper, og slike er aldri hyggelige og metodene ofte utspekulerte. Og et stykke unna hva ærlige mennesker egentlig kan forestille seg.
En flik av en arena
Offentlige anskaffelser er en flik av en arena der maktkamp mellom store makter utspiller seg. Ikke rart at NSM i sin vurdering finner grunn til å by på 11 anbefalinger til anskaffelseshjelp til oppdragsgivere som ønsker å verne om nasjonale verdier som fremmede makter ikke skal stikke hendene sine i. Vektlegge sikkerhets- og beredskapshensyn i anskaffelsesprosesser er hovedanbefalingen.
Det er også med et eksempel som illustrerer at det er behov for råd og anbefalinger – og å følge disse: I 2023 ble NSM varslet om at det ble oppbevart graderte dokumenter i et konkursbo til en privat virksomhet. Dokumentene var fra en rekke offentlige oppdragsgivere, og det var en bekymring for at ingen tok ansvar for disse. NSM hentet dokumentene bare kort tid før huseier overtok lokalene med gjenværende inventar.
Oppfølging
Tja, vi vet ikke hvem huseier var, men det kunne jo vært noen som hadde gode forbindelser til fremmede makter vi gjerne vil ha på armlengdes avstand. Hvis det var tilfellet, ville altså – i dette tilfellet en sikkerhetsgradert anskaffelse – en skade av en eller annen dimensjon vært et faktum. God og nitid oppfølging kunne ha avverget situasjonen.
NSM kommenterer eksemplet slik: Oppdragsgivere har ansvar for sikkerhet i hele anskaffelsen. Dette inkluderer å sørge for at leverandør leverer tilbake gradert informasjon eller bekrefter at den er destruert når oppdraget er avsluttet samt tilbakekall av tilganger til skjermingsverdig objekt og infrastruktur.
Forsyningssektoren
Imidlertid er det en kjent sak at nettopp kontraktsoppfølging har vært akilleshælen i offentliges anskaffelser – både underveis og når kontraktsperioden er over. NSM-eksemplet peker på en svikt, som samtidig er en påminnelse om at det å følge opp kontrakter er svært viktig. Også av sikkerhets- og beredskapshensyn, spesielt når verden utvikler seg slik den gjør.
Her kan det selvsagt innvendes at NSMs anbefaling i stor grad bare er rettet til de i det offentlige som hører inn under forsyningsforskriften. Den omfatter offentlige oppdragsgivere innenfor gass og varme, elektrisitet, drikkevann, transport, havner og lufthavner, post, olje, gass, kull og andre typer fast brensel. Det er hva som ofte omtales som kritisk infrastruktur. Her er det skjermingsverdige verdier. Kravene som gjelder i sikkerhetsgraderte anskaffelser, finnes i sikkerhetsloven og virksomhetsikkerhetsforskriften.
Litt for snevert
Imidlertid er de nok noe snevert å si at det er virksomheter lister opp over, som må passe seg, så kan alle vi andre holde på som før. Skal man tro NSM, og det bør man, er det nok fornuftig å løfte blikket noe høyere. Ikke minst når det i forsvarssektoren i årene fremover kommer en økning i antallet anskaffelser der sikkerhetshensyn må ivaretas. Samtidig tenker det offentlige i økende grad på beredskapshensyn, f.eks. hva som skal anskaffes, hvor produktene skal lagres, fraktes osv. Trolig også av interesse for makter og andre aktører som ikke vil oss vel. Slik kan man forflere – til man konkluderer med at det å risikovurdere anskaffelser, ikke er så dumt. Det gjelder for øvrig også utover beredskaps- og sikkerhetshensyn.
Et sunt skjønn trengs i en slik sammenheng, en egenskap som generelt sett jo er verdifull. Det er ikke gull alt som glimrer, og det er ikke sikkerhets- og beredskapshensyn ved enhver anskaffelse. Men ikke usannsynlig i flere enn man tror. For trusselaktører gjelder det å finne og utnytte sårbarheter og skaffe tilganger.
«Innlåsings»-risiko
NSM berører også et annet aspekt. Det pekes på konsentrasjonsrisikoen. Manglende kontroll med leverandørkjeder gjør at det kan oppstå avhengigheter til enkeltleverandører og enkeltland. Det kan i verste fall utnyttes til press og påvirkning. Ofte omtales dette som «innlåsing», dvs man gjør seg avhengig av en enkelt leverandør, ikke minst på IT-området. Da «eier» jo leverandøren etter hvert oppdragsgivers IT-system.
Oppfordringen her er bl.a. å gjøre åpne anskaffelser, å beskrive hva man leter etter, ikke nødvendigvis oppgi ønsket merke. Det er innenfor regelverket nå å kunne oppgi merke når man f.eks. skal supplere eller oppgradere. Vi kan jo her tenke litt på hvem den ønskede leverandøren egentlig er, hvem er det som til syvende og sist er eier – som oppdragsgiver da knytter seg til.
Illustrerende
Oppmerksomheten rundt Tik Tok og Deepseek illustrerer. Da det var pandemi ordnet svenske myndigheter en app, der et amerikansk selskap var en av leverandørene. Selskapet sto på listen over de som amerikanske myndigheter i en krisetilstand kan sikre seg kontroll over – inklusive personopplysningene. Svenske myndigheter fant da ut at det var lite hensiktsmessig at svenskers sykdomshistorier ble amerikanske myndigheter til del og avviklet app’en.
Med andre ord er det ikke bare forsyningssektoren og forsvarsleveranser NSM snakker om. Det kan være IT inklusive «skytjenester», matberedskap osv. Dermed ligger ansvaret hos de aller, aller fleste når det gjelder å risikoanalyser anskaffelsene. Verden styrt av mennesker har uransakelige veier, ikke alltid i det godes tjeneste. Og vi bør tenke oss godt om – bør vi gjøre noe for å hjelpe fremmede makter, tro? Uaktsomt, fordi man risikoanalyserte ikke. Man fant ikke grunn til å finne ut om konsekvensen av en anskaffelse kunne føre aldeles galt av sted. Ikke nødvendigvis det store dramaet, men en aldri så liten flik som passet godt i det puslespillet som noen legger.
Trygge Norges sikkerhet
NSMs eksempel på manglede kontraktsoppfølging gjelder sikkerhetsgraderte anskaffelser. Oppdragsgivere som opererer slike, må selvsagt være uhyre nøye med sin oppfølging – helt frem til at man er trygg for at det ikke er noen etterlatenskaper etter leverandøren som av en eller annen grunn ikke har kontrakt lenger. Å trygge Norges sikkerhet krever slik nitid kontraktsoppfølging.
Samtidig sender NSMs eksempel også et signal til alle andre offentlige oppdragsgivere. Kontraktsoppfølging er viktig – også ut over at man får de varene og tjenestene som er avtalefestet. Vi erfarer at kontraktsoppfølgingen i det offentlige blir bedre – positivt og gledelig nok. Nå er verdenen som nevnt – gjentatte ganger – blitt noe mindre trivelig og fremmede makter og andre trusselaktører jakter på innsmett i noe de ikke bør få tilgang til. Kanskje inneholder en anskaffelse i seg selv ikke store risikoen, men den kan representere det lille ekstra som gjøre et puslespill fullstendig.
Behov for økt bevissthet
Offentlige oppdragsgivere bør ta seg innover dette, sørge for nok ressurser til å få gjort en god jobb i så måte. Det er ikke behov for alarmliknende tilstander, men en økt bevissthet om de forholdene som NSM beskriver i årets trusselvurdering. Og ta konsekvensene i praksis av det.
Bli den første til å kommentere på "En urolig verden og en viktig påminnelse"