”Vi behöver ett forum där gemensamma säkerhetsfrågor kan knådas”

Vilka krav ska ställas på kommunens teknikleverantörer i en tid där man i alla led måste se över cybersäkerheten? Hur vet man att leverantörerna lever upp till kraven? Kan kravinnehållet i Säkerhetsskyddslagen användas vid upphandling? Det här är exempel på frågeställningar som säkerhetskonsulten Richard Buske från Kronan Säkerhet ger sin syn på på utifrån ett kommunalt säkerhetsperspektiv.

Då tekniken blivit allt mer komplicerad samtidigt som vi ser ständigt förändrade hotbilderna så har upphandling blivit den kanske svåraste disciplinen inom säkerhetsarbetet. Gränssnittet mellan cybersäkerhet och den fysiska säkerheten är flytande. Molnbaserade tjänster och mobiler i var mans hand ställer krav på bekväma och användarvänliga lösningar. Kraven från försäkringsbolag och myndigheter är å andra sidan att man ska i högre grad tillämpa komplexa och kom­plicerade lösningar som cyberkriminella förhoppningsvis inte kan knäcka.

Ett upphandlingsunderlag måste balansera bägge dessa sidor. En upp­handling bör lämna öppningar för kre­ativa lösningar, men den måste också se till att skyddet bli så bra att det för­hindrar brott. Vid en upphandling av säkerhetsteknik, oavsett om den orsakas av till exempel krav till följd av Säkerhetsskyddslagen, krävs ett sunt ekonomiskt perspektiv. Detta är knepigt men nog så viktigt. Det är inte alltid som en säkerhetsinvestering kan balanseras mot en intäkt (K/I-analys), men det går att visa på de ekonomiska nackdelarna om säkerhetsinvesteringen inte genomförs. Detta har även en direkt koppling till den riskanalys som förhoppningsvis lig­ger till grund för beslutet om en inves­tering.

När det gäller upphandlingar är det inte sällan som goda erbjudanden ratas för att kravställaren inte varit tydlig eller har haft tillräcklig kompe­tens. Det kan också vara omvänt, att kravställaren ställt så precisa krav att det goda förslaget – som ur skydds­synpunkt hade varit det bästa – inte uppfyller ett eller flera skall-krav och därför ratas.

Kompetensen hos säkerhetsbran­schens leverantörer varierar, dessutom finns det också många med bristande kunskap på beställarsidan. Mixen av dessa kan naturligtvis leda till konse­kvenser som resulterar i allvarliga ska­dor och onödiga kostnader.

Säkerhetsskyddslagstiftningen har i avseendet som mall för upphandling inte någon större roll, annat än ur rubriksynpunkt. Riskerna som krav­ställs handlar om person, egendom och information, och där kan en säkerhets­leverantör säkert hämta en del när det gäller metodik och logistik. Tekniken och utvecklingen är däremot något som säkerhetsbranschen själva får stå för.

Generellt kan man säga att det är svårt att vara annat än övergripande i resonemangen kring hur kommuner fungerar när det gäller upphandling av säkerhet. Det är stor variation på hur kommunerna ser ut när det gäller storlek och hotbild, detsamma gäller givetvis också för företag och orga­nisationer.

Det är heller inte särskilt mycket samarbete eller utbyte mellan kravstäl­larna (försäkringbolagen och myndig­heter) och säkerhetsbranschen. Man har varandra som remissinstans i bästa fall.

Vi behöver ett forum där gemen­samma säkerhetsfrågor kan knådas till kundernas och alla andra ska­delidande organisationers bästa. Det skulle sannolikt leda till en ökad kompetens och snabbare utveckling av det fysiska skyddet och cybersäker­heten. Erfarenheterna från skador hos försäkringsbolagen skulle exempelvis kunna trigga säkerhetstekniker att komma på nya lösningar.

Många säger ju att de kriminella alltid ligger ett par steg före säkerhets­branschen. Det är kanske dags att ändra på det.

Artikel ur tidningen Tryggare Samhälle.