Av Anne Helene Haug, sikkerhetsekspert i Canon Norge
Sikkerhet i offentlige anskaffelser er i ferd med å bli en avgjørende del av Norges samlede beredskap. I lys av totalforsvarsperspektivet og nytt europeisk regelverk er det ikke lenger tilstrekkelig å behandle informasjonssikkerhet som et støttehensyn. Likevel viser erfaring fra en rekke offentlige anbud at sikkerhet fortsatt i begrenset grad er integrert på en systematisk måte i kravspesifikasjoner og evalueringer.
Gjennom arbeid med tilbudsbesvarelser til både statlige og kommunale oppdragsgivere ser vi et tydelig mønster. Mange konkurransegrunnlag bygger fortsatt på eldre maler, og sikkerhetskravene er ofte formulert på et overordnet nivå som gjør dem vanskelige å etterprøve. Samtidig vektes pris gjennomgående høyt, og i praksis blir sikkerhet sjelden et reelt konkurranseparameter. I flere tilfeller etterspørres nettverkstilknyttet utstyr uten konkrete krav til kryptering, sikker oppdatering eller tilgangskontroll. Det stilles heller ikke alltid spørsmål ved hvor programvaren er utviklet eller hvordan leverandørkjeden er satt sammen. Resultatet er at ansvaret for sikkerhetsnivået i stor grad overlates til leverandøren.
Denne praksisen står i kontrast til det skjerpede trusselbildet vi står overfor. I dag er det ikke bare virksomhetens egen drift som påvirkes av slike valg, men også den samlede digitale motstandskraften i samfunnet. Når usikre eller utilstrekkelig dokumenterte løsninger tas i bruk, introduseres sårbarheter som i verste fall kan utnyttes langt utover den enkelte virksomhet.
En del av forklaringen kan ligge i hvordan kravene formuleres. Mange konkurransegrunnlag nøyer seg med generelle formuleringer om at «løsningen skal være sikker», uten å konkretisere hva dette innebærer. Uten tydelige krav til for eksempel kryptering, sikker oppstart, logging eller oppdateringsregimer blir det vanskelig både å evaluere tilbudene og å følge opp leveransen i etterkant. Sikkerhet blir da i realiteten noe man forutsetter, snarere enn noe man aktivt anskaffer.
Det finnes imidlertid gode grep som kan bidra til å styrke dette arbeidet. For det første må sikkerhet brytes ned til konkrete og målbare krav. Det bør stilles krav til hvordan data beskyttes både under lagring og overføring, hvordan løsninger kan konfigureres sikkert, og hvordan sårbarheter håndteres gjennom hele levetiden. Videre bør oppdragsgivere i større grad etterspørre dokumentasjon knyttet til leverandørkjeden, inkludert hvordan programvare utvikles, vedlikeholdes og oppdateres.
En annen viktig faktor er hvordan sikkerhet vektes i evalueringen. Så lenge sikkerhet kun behandles som et minimumskrav, vil det i liten grad påvirke konkurransen. Dersom det derimot inngår som et eget tildelingskriterium, vil leverandørene i større grad konkurrere på kvalitet og modenhet. Erfaring tilsier at dette gir bedre beslutningsgrunnlag og mer robuste løsninger over tid.
Utviklingen i regelverk understreker også behovet for en mer systematisk tilnærming. Med innføringen av NIS2, DORA og Cyber Resilience Act stilles det tydeligere krav til både risikostyring, leverandørsikkerhet og innebygd sikkerhet i produkter. Felles for regelverkene er at de flytter ansvar opp på ledelsesnivå og krever dokumentasjon på at sikkerhet ivaretas i hele verdikjeden. Dette får direkte betydning for offentlige innkjøpere, både i utforming av konkurranser og i oppfølging av kontrakter.
I et totalforsvarsperspektiv får dette en ytterligere dimensjon. Offentlige anskaffelser er ikke bare administrative prosesser, men også strategiske virkemidler som påvirker samfunnets samlede robusthet. Hver enkelt anskaffelse representerer et valg som enten kan styrke eller svekke den digitale grunnmuren vi er avhengige av.
Det betyr ikke at løsningen alltid er å velge de mest kostbare alternativene. Det handler snarere om å stille riktige spørsmål, etterspørre relevant dokumentasjon og sørge for at sikkerhet faktisk inngår i beslutningsgrunnlaget. Når dette gjøres konsekvent over tid, vil det også bidra til å løfte markedet og øke modenheten hos leverandørene.
Sikkerhet i offentlige anskaffelser er dermed ikke lenger et nisjetema for spesielt interesserte. Det er en integrert del av god forvaltning – og i økende grad en forutsetning for å ivareta både virksomhetens og samfunnets interesser.
Bli den første til å kommentere på "Når sikkerhet uteblir i anbud – en systemrisiko i offentlige anskaffelser"