En «sikkerhets-mikrochip» sto sentralt da Oslo tingrett avviste et krav om midlertidig forføyning til en kontrakt i regi av Statens innkjøpssenter. Printere og skannere skulle anskaffes, og en rekke statlige myndigheter med høyt sikkerhetsbehov skulle kunne benytte maskinene. Da hjalp det ikke å tilby maskiner med lavere sikkerhetsnivå enn «sikkerhets-chippen» var god for – heller ikke at oppdragsgiver hadde ment «eller tilsvarende» i konkurransegrunnlaget. Retten vendte det døve øret til slikt.
Saken (24-076617TVI-TOSL/08) for Oslo tingrett gjaldt krav Fra Ricoh Norge AS om midlertidig forføyning for å stanse kontraktsinngåelse i anbudskonkurranse om kjøp og leie av multifunksjonsmaskiner, printere og skannere med tilhørende tjenester og løsninger. Det er Statens innkjøpssenter som står bak konkurransen om disse rammeavtalene, som omtrent 170 statlige virksomheter skal kunne gjøre avrop på, deriblant de ovenfor nevnte. Dermed ble kravet til sikkerhet en rød tråd i behandlingen for Oslo tingrett.
Mikrochip og sikkerhet
Det omtvistede kravet i saken var at alle maskiner skulle leveres med TPM 2.0 (Trusted Platform Module versjon 2.0). TPM 2.0 er en mikrochip som installeres på hovedkortet i en maskin. Sensitive informasjon, som passord og lignende, kan lagres på mikrochipen og beskytte mot uautoriserte angrep og endringer. Kravet om TPM 2.0 er stilt for å øke sikkerhetsnivået på de maskinene som er tilbudt.
I tillegg vil printerne som leveres uten harddisk, som da ikke er sikret gjennom TPM 2.0-chippen, lagre mottatte print/skann-jobber i maskinens midlertidige minne. Dermed kan disse print/skann-jobbene kan bli liggende i maskinens midlertidige minne over en lengre periode, for eksempel over en helg, heter det i saken. Det kreves spesialkompetanse og spesialisert verktøy for å kunne trekke ut opplysninger fra maskinens midlertidige minne. Men, fremholder retten, det er imidlertid ikke umulig, og dette er en, om enn liten, sikkerhetsrisiko ved å benytte maskiner uten harddisk og TPM 2.0.
Fikk ikke retten med seg
Ricoh Norge ble rangert som beste tilbydere i konkurransen, men avvist senere da ikke alle maskinene derfra hadde TPM 2.0-chippen. Selskapet hevdet at kravet kunne tolkes som TPM 2.0 «eller «tilsvarende». Dette fikk de ikke retten med seg på. Ordlyden i kravet er etter rettens syn helt klar. Det kreves at alle tilbudte maskiner skal leveres med TPM 2.0. Retten er heller ikke enig i at kravet må tolkes utvidende til også å gjelde tilsvarende sikkerhetsløsninger som TPM 2.0.
Retten poengterer at det vil være en ulempe at ikke samtlige maskiner leveres med TPM 2.0, fordi det bidrar ikke til et enhetlig system. Formålet med at oppdragsgiver stiller krav til det som skal anskaffes, er nettopp å gi begrensninger i hva tilbyderne kan tilby, heter det.
Høyere sikkerhetsnivå
På generelt grunnlag anser retten at maskiner med TPM 2.0 har et høyere sikkerhetsnivå enn de maskinene Ricoh har tilbudt uten TPM 2.0.Hovedfunksjonen for en TPM 2.0-chip å beskytte harddisken på maskinen, men den inneholder også mange andre sikkerhetsfunksjoner, som for eksempel Secure Boot, som retten forstår som en løsning for sikker oppstart av maskinen.
Etter en samlet vurdering kom retten til at avvik fra kravet om TPM 2.0 for de aktuelle modelltypene er vesentlig, slik at oppdragsgiver hadde plikt til å avvise Ricohs tilbud.
Bli den første til å kommentere på "I Oslo tingrett: Sikkerhet i printere og skannere, mikrochip spilte nøkkelrolle"