Slik ivaretar du it-sikkerheten i offentlige anskaffelser
KOMMENTAR: Når innkjøpsavdelingens mål blir en fare for it sikkerheten, da må man kunne stille spørsmålet om hvem som har siste ordet, skriver Thomas Tømmernes.
Jeg har jobbet med it-sikkerhet i rundt 20 år og hatt mange hundre møter med it-avdelinger og it-slikkertsansvarlige i det offentlige gjennom disse årene. Dette har som regel vært en stor glede, fordi det som oftest er mye kompetanse og høyt nivå på it-kunnskapen, og forståelsen for it-sikkerhet er stor.
Utfordringen har imidlertid vært et uavklart ansvar for hvor avgjørelsene egentlig tas innad i det offentlig, og hvilke argumenter som veier tyngst i en anskaffelse som får innvirkning på it-sikkerheten.
Kan være fatalt
Det er sikkert mange it-ansvarlige i det offentlige som kjenner seg igjen i situasjonsbeskrivelsen. Der de har lagt ned vanvittig mye tid, testet løsninger opp mot hverandre, funnet ut hva som vil være den optimale løsningen for egen it-infrastruktur. Alt for ofte har dette resultert i at tilbyderne til offentlige anskaffelser skriver smarte besvarelser, der man tilbyr et minimum som dekker sikkerhetskravene, med det formålet å prise seg så lavt at tilbudt løsning blir valgt. Her er det ofte innkjøpsavdelingene, og ikke it-avdeling, som ser tilbudene opp mot hverandre og velger tilbyder etter lavest pris.
At folk som ikke har spisskompetanse på teknologien og er målt på å spare penger tar avgjørelsene, kan i mange tilfeller være fatalt for egen sikkerhet.
It-avdelingen som har gjort en godt stykke arbeid med å kvalitetssikre løsningene, opplever at de blir spilt opp i et hjørne og ender opp med en løsning som ikke tilfredsstiller hverken kravene til sikkerhet, GDPR eller intern kompetanse.
Myndighetenes løsning
I et møte jeg deltok på hos Justisdepartementet, dukket det opp informasjon om et «kvalitetssikrings -verktøy» i form av en ny veileder (Pressemelding 21.11.2019).
Litt forenklet, har denne veilederen gjort det lettere for it-avdelingene å slå i bordet og kreve at deres ønsker og vurderinger rundt it-sikkerhet blir ivaretatt i offentlige anskaffelser.
Basert på den nye veilederen fra myndighetene om ivaretakelse av sikkerhet i offentlige anskaffelser, får du her noen tips som vil sette it-avdelingen i større grad i førersete til å kunne bestemme hvilken leverandør/produkt de ønsker velge i anbudsforespørsler innenfor det offentlig fremover.
Veilederen gir it-sjefen i det offentlige flere lissepasninger når det kommer til å argumentere for hvorfor pris blir sekundert, når man mener at det er store kvalitetsforskjeller i tilbudene. Blant annet kravet om at en i forkant av et innkjøp, som kan påvirke eller relateres til sikkerhet, må foreta en risikovurdering av anskaffelsen. Det burde gi store muligheter for innkjøpsavdelingen til å involvere it-avdelingen i begrunnelsen for valget av løsningen.
Veilederen viser handlingsrommet
Veilederen har som mål å synliggjøre handlingsrommet i anskaffelsesregelverket, og gjennom dette hvordan offentlige oppdragsgivere kan ivareta norske sikkerhetsinteresser når de gjør innkjøp.
Den nye veilederen har derfor også en omtale av hvordan offentlige oppdragsgivere kan ivareta sikkerhet i anskaffelser som ikke faller inn under sikkerhetsloven, men hvor sikkerhet likevel er et sentralt element.
I tillegg gir veilederen informasjon om risikovurderinger i forkant av anskaffelsen, og hvordan oppdragsgiverne kan gå frem for å gjennomføre slik risikovurderinger.
I mitt hode er dette en gavepakke til it-avdelingene, som betyr at det offentlige i større grad kan og bør benytte profesjonelle it-sikkerhetstilbydere til å bidra med å forme sikkerhetskravene i forkant og appellere til at man utfordrer der vi tydelig ser at utlysningen ikke har ivaretatt sikkerheten. Både Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSis) har uttalt gjentatte ganger at virksomheter uten egen it-sikkerhetsavdeling bør kjøpe inn denne kompetansen som en tjeneste.
Med andre ord; her gjelder det å spille på lag med og/eller utfordre innkjøperne om det er gjort risikovurderinger. I mange tilfeller vil dette innebære å bruke fagspesialistene og rådgiverne fra den kommersielle aksen, slik at man også får en ekstern vurdering.
Vil gjøre bestillingsjobben til det offentlig enklere
I et viktig avsnitt i veilederen står det:
«Testing av leveransen kan gi oppdragsgiverne et mer realistisk bilde av risikoen for feil i programvaren, og det kan også si noe om hvor mottakelig systemet er for angrep utenfra. I anskaffelser med høy risiko kan det for eksempel gjennomføres en penetrasjonstest. Gjennomføring av tester er ofte tid- og ressurskrevende, og oppdragsgiver må i så fall sette av tid og ressurser til dette i planleggingen av anskaffelsen»
Dette er et punkt der anbudsutsteder kan identifisere spisskompetanse innenfor it-sikkerhet som kan differensiere tilbyderne fra hverandre; en tjeneste de seriøse aktørene i det kommersielle markedet alltid tilbyr sine kunder.
Videre vil jeg oppfordre til at det samtidig utarbeides en plan for at ledelsen har et kontinuerlig fokus på sikkerheten, ikke bare i forkant av anskaffelse. Det høres kanskje ut som en selvfølge, men vi vet at mange løsninger/systemer settes opp uten tilstrekkelige dokumentasjon og plan for hvordan livssyklusen skal forløpe. Er det noe vi har sett i 2020, så er det at det hele tiden oppdages nye sårbarheter, som igjen gir store ringvirkninger for sikkerheten.
Tips til minimumskrav en bør følge ved anskaffelser
Det er ikke lett å differensiere leverandører og tilbydere fra hverandre. Fokuser først og fremst på behovet for å få en oversikt over dagens nå-situasjon, før man utarbeider en bestilling eller et anbudsdokument. En ROS-analyse i kombinasjon med en sårbarhetsskanning og penetrasjonstest av virksomhetens it-systemer er en anbefalt start, og resultatene herfra vil gi et godt bilde på dagens utfordringer, status og sikkerhetsnivå. Samtidig vil det avdekke hvilket behov man trenger å fokusere på i en bestilling.
Mange anskaffelser har problematikk rundt personvern, og da også informasjonssikkerhet. Det er ingen som kommer utenom å overholde GDPR, og da er det også mange krav som må oppfylles.
Rent konkret krever nå mange kommuner at tilbydere må godta KiNS-malen for databehandleravtale (DBA), med vedlegg 1 og 2. Her vil it-sjefer og andre også finne en ny «lissepasning» i vedlegg 1. ).Der det ramses opp en mengde gode sikkerhetskrav, utledet fra GDPR og normen, som tilbydere må svare på.
# Det er Bærum kommune som har utviklet malen, men den kan fritt brukes av alle (også leverandører, som ikke har egen mal #
Så jobber du i offentlig sektor, eller bidrar på en eller annen måte inn i anbud fra stat, kommune, osv., er disse to dokumenteterne noe du kan bruke som ditt sannhetsvitne eller brekkstang for å få øket kvaliteten og sikkerhetsfokuset i alle anskaffelser fremover.
Referer man til veilederen fra myndighetene i anskaffelser som treffer sikkerhetsloven og/eller benytter KINS – Malen for databehandleravtale, kommer jeg med en enkel påstand om at dette er dette en gavepakke til alle it-ansvarlige i offentlig sektor.
Avslutter med dette stalltipset fra NSM
# Vurderer virksomheten din å ta i bruk skyløsninger eller tjenesteutsetting? Nasjonal sikkerhetsmyndighet (NSM) har lagt ut en rekke spørsmål og svar knyttet til sikkerhet i denne typen tjenester. #
Inntil skrivelysten tar meg igjen er jeg aktiv på Facebook-gruppen IT-sikkerhet sammen med 3800 andre som også synes it-sikkerhet er spennende.
Thomas Tømmernes, Head of IT-Security, Atea Norway