Nyhet

Säkerhetspolicy saknas ofta vid utkontraktering

Informationssäkerhetspolicyer och risk- sårbarhetsanalyser bifogas inte, hänsyn till personuppgiftslagen är inte angiven.

Så ser det ofta ut när offentliga verksamheter upphandlar IT-stöd.
Niklas Nikitin, Karlstads universitet, har tillsammans med kollegor gjort en studie av upphandlingsavrop baserade på Kammarkollegiets ramavtal.

Säkerhetskraven i 24 olika offentliga upphandlingar har studerats, det största på totalt över 1 000 sidor.
– Nästan 30 procent har inte bifogat sin informationssäkerhetspolicy. Hur ska företagen då veta vad som gäller? undrade Niklas Nikitin.

Resultaten visade också att bara 20 procent bifogat sin risk- och sårbarhetsanalys och att 40 procent tagit hänsyn till personuppgiftslagen i sina krav.
– Ansvarsfördelningar är inte klargjorda mellan kund och leverantör. En del hänvisar till iso-standard, men inte hur den ska användas. Säkerheten måste hanteras av den upphandlade, men då måste säkerhetskraven med i upphandlingen, säger Nikitin.

Erik Carlson, Foi, har gjort intervjuserier om utkontraktering av kommuners IT-drift. 122 kommuner svarade och 80 procent säger sig ha utkontrakterat någon del av driften.
– Omfattningen är omätbar. Men konstateras kan att kommunsamarbeten, centralisering av IT-drift och nyttjande av molntjänster ökar. Däremot undviks utkontraktering av det som är samhällsviktigt, säger Erik Carlson.

41 procent säger att de i kontrakt reglerat att leverantören ska lösa eventuella driftproblem. 14 procent har inte gjort det och övriga säger att det finns med men inte tillfredsställande.
– På frågan varför man lägger ut verksamheten är det ingen som säger att ekonomin inte spelar någon roll.

Henrik Tedeby, som jobbar med IT-säkerhet i Haninge kommun, känner igen problemställningarna.
– Vi som köper tjänsten har yttersta ansvaret. Men vad ingår i tjänsten och vad är tilläggstjänster? Ansvarsskrivandet är viktigt. Vi blev utsatta för Ddos-attacker förra året, vem bär ansvaret då? sa Tedeby.

Haninge har utkontrakterat huvuddelen av IT-driften och Tedeby konstaterar att mycket fungerar bra. En konsekvens blev att personalstyrkan minskades från 20 till sex.
– Vi blev för få att hantera dagliga uppgifter och avtalsfrågor. Nu är vi tolv på beställarenheten. Det behövs breda kunskaper för att följa upp och kontrollera avtal.

Relaterat

Säkerhet på rätt ställe - mindre viktigt anställd har kompetens i informationssäkerhet.

- Ska vara lätt att göra rätt. Säkerhetskultur hos två arbetsgivare.

- Skred mot integriteten. Vår integritet är hotad men det debatteras inte ansåg Wilhelm Agrell och Anne Ramberg.

Intrång i integritet kartläggs.

Grov brottslighet köper lösningar för intrång.

Cyberbrotten kostar miljarder. Staten kan inte delegera säkerheten, utredare kräver incidentrapportering.