Är det svårt att upphandla säkra IT-system?

Publicerat:7 mars, 2018
Den diskussion som förekommit i media kring Transportstyrelsens hantering av information ger en antydan om ett alltför vanligt problem i diskussioner och nyhetsrapportering - det är svårt att hålla flera tankar i huvudet samtidigt. Vad var det egentligen som hände? Foyens advokat Sara Malmgren ger här en kort summering kring Transportstyrelsens informationshantering.

Transportstyrelsen upphandlade sin IT-drift och IBM vann upphandlingen. Avtal tecknades i april 2015, och innebar att IBM Sverige, med underleverantörer utomlands, skulle ansvara för att maskinvara, nätverk och program fungerar.

Generaldirektören för Transportstyrelsen hade i samband med outsourcingen till IBM beslutat om avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt myndighetens egen riktlinje för krav på informationssäkerhet.

Transportstyrelsen gjorde själva en utredning som visade att informationen varit tillgänglig för leverantörens personal som inte varit säkerhetskontrollerad enligt svensk lag. I samma utredning har man också konstaterat att det inte finns några indikationer på att den hamnat i orätta händer.

Nyligen presenterades en oberoende utredning, utförd av Tomas Bull, justitieråd i Högsta förvaltningsdomstolen. I den konstaterades att Transportstyrelsen inledde tre upphandlingar samtidigt, i vilka man hade otillräcklig tid för överlämning, varför man valde att klassificera informationen under själva överlämningen istället för innan. Upphandlingarna var splittrade mellan olika avdelningar, och det har varit dålig kommunikation mellan Transportstyrelsen, SÄPO och regeringen.

Rekommendationen för framtiden, som också lämnades av utredaren, är att en säkerhetsorganisation på en myndighet måste vara mer samlad och bättre förberedd, och att oklarheterna i ansvarsfrågan mellan styrelsen och generaldirektören bör redas ut.

IT-säkerhet är av största vikt i vårt digitala samhälle, och på flera plan. Ett företag har information som utgör företagshemligheter, eller som på annat vis är känsliga och inte ska nå till exempel konkurrenter. En aktör kan också sitta på stora mängder personuppgifter som måste skyddas enligt lag, men även av rent kommersiella skäl. Konsumenter kommer inte att acceptera leverantörer som inte har ett tillräckligt skydd för att exempelvis bevara deras kortuppgifter eller lösenord.

Som medborgare vill vi att myndigheters information om oss är skyddad och att den bevaras – om vår information i patientjournaler, hos Försäkringskassan eller Skatteverket försvinner kan det leda till stora svårigheter och problem. Om IT-system går ner och inte kan återställas snabbt leder det till omedelbara problem i ett samhälle som vårt – betalningar som inte kan genomföras, logistik i transporter som inte fungerar, brist på varor etc.

Det finns många regler som syftar till att förbättra säkerheten. GDPR, den nya Dataskyddsförordningen, är ett sådant exempel som syftar till att skydda individers integritet. Den lagstiftningen måste i princip alla verksamheter iaktta, offentliga som privata. Därutöver finns särregleringar för olika verksamheter, som till exempel bank-och finansbranschen, liksom regler som rör nationens säkerhet. Där fallerade Transportstyrelsen.

Åter till där vi började, om att det kan vara svårt att fokusera tankarna och vinklingarna i en pågående nyhetsrapportering. Diskussionen kring Transportstyrelsen – när den var som starkast i somras – diskuterade i mångt och mycket att det var en privat aktör som skulle hantera informationen.

Ja, det var en offentlig upphandling av en privat aktör (IBM). Men – det innebär inte per automatik att privata aktörer inte kan leverera säkra IT-tjänster. Om upphandlingar sköts korrekt, kan en privat aktör tillhandahålla även säkerhetsklassificerade tjänster, om säkerhetsprövning sker och gällande lagstiftning iakttas.

Problemet är således detsamma i Transportstyrelsen upphandling som i många andra IT-upphandlingar. De är tekniskt komplexa, omfattande och sällan något som kan skötas utan extern hjälp av IT-specialister. I vissa fall ska säkerhetsspecialister vara involverade.

Oavsett om man ska upphandla ett litet eller ett omfattande IT-system, ta höjd för att det tar tid att specificera vilka behov man har för att verksamheten ska fungera. Utred också vilken typ av information det är fråga om. Är det kritiskt för verksamheten? Är det känslig eller säkerhetsklassad information? Är det sådan information som faller under särskilda regelverk rörande säkerhet? Uppfyller leverantören kraven som ställs enligt GDPR? Först när detta är klart ska upphandlingen starta, där man också ska se till att ta höjd för att överlämning tar tid – byte av systemleverantör är komplicerat och tidsödande. Den investering som görs under förarbetet av en IT-upphandling sparas snabbt in om upphandlingen blir lyckad.

Har du frågor om IT-upphandlingar?
Kontakta:

Sara Malmgren, advokat och ansvarig för Foyens avdelning IT och nya teknologier
sara.malmgren@foyen.se