Avtal, säkerhetskrav och uppföljning


2019-02-22
Vid upphandling av tjänster och system lyser säkerhetskraven ofta med sin frånvaro, oavsett om kravställaren finns inom den offentliga eller privata sektorn.

Men, det är väl underförstått att det som beställs ska vara säkert tycker beställaren och till viss del är detta korrekt, men långt ifrån självklart. Det kan bli problematiskt att i efterhand hävda att det saknas säkerhetsfunktioner i det som levererats. Inte minst om det upptäcks mitt under eller strax efter en säkerhetsincident.

Många beställare känner sig trygga om det i en avtalstext finns en generell beskrivning om att leverantören ska hantera informationen på "ett säkert sätt". Även om detta i vissa fall kan hålla rent juridiskt, så blir osäkerheten väldigt stor över vad som egentligen gäller.

Vad menas egentligen med "ett säkert sätt" eller med formuleringen "tillräckligt säker"? Det är viktigt att veta att dessa formuleringar vanligtvis betyder olika saker och att de framförallt kan tolkas olika. En leverantör kan tycka att de hanterar informationen på ett "tillräckligt säkert" sätt, men det visar sig kanske inte överensstämma med beställarens tolkning. Tyvärr upptäcks detta vanligtvis ganska lång tid efter leverans.

Oavsett vilka krav en beställare lyckas få med i en kravspecifikation, så måste leverantören alltid inkludera sådant som gäller enligt svensk och europeisk lag. Det går t.ex. inte att ignorera våra dataskydds- och sekretesslagar. GDPR är ett exempel på en sådan lag, vilken fokuserar på behandling av personuppgifter. På grund av detta så kan man säga att en beställare har rätt angående att det finns underförstådda säkerhetskrav.

För att minska risken för att en säkerhetsincident inträffar, så krävs kompetens inom informationssäkerhet redan under kravställningsfasen, d.v.s. precis som inom alla andra områden där man inte tycker sig besitta egen erfarenhet. Det är alltid viktigt att ta hjälp från någon med rätt sakkunskap och kompetens.

För vi brukar vanligtvis inte gå till en tandläkare när vi har ont i benet eller till en matbutik när vi ska köpa byggmaterial... Även om vi i vissa fall får ett svar så är det med ganska stor sannolikhet inte ett tillräckligt bra svar.

Dessutom är det en stark rekommendation att inte enbart förlita sig på att en leverantör automatiskt tolkar säkerhetskraven precis som beställaren vill. Återkommande säkerhetsuppföljningar är en viktig del i arbetet med att förebygga säkerhetsincidenter. Det är även av stor betydelse att de som i vardagen ska hantera information förstår dess skyddsvärde och inte "av misstag" råkar göra något olämpligt.

För det viktigaste måste väl ändå vara att minska risken för att något oförutsett inträffar, inte att ha mest juridiskt rätt när det väl händer något...?

- Peter Bayer, DinGard AB