Hot och risker inför en upphandling

Vi har våra anbudsöppningsmöten i Teams, är det verkligen okej?
Den frågan ställde en medarbetare vid en av våra myndighetsklienter för ett tag sedan. Efter coronapandemins utbrott sker i princip alla myndighetens möten på distans, ofta via en molnbaserad videokonferenslösning.

Frågan är hur detta rimmar med den absoluta sekretess (offentlighets- och sekretesslagen, OSL, den starkaste formen av sekretess) som råder i en upphandling för anbudsinnehåll fram till dess att tilldelningsbeslut meddelats eller upphandlingen avslutats på annat sätt.

Frågan sätter fingret på ett grundläggande problem: Det är fullt möjligt att en myndighet ställer långtgående informationssäkerhetskrav i sina upphandlingar och samtidigt genomför upphandlingen i en molnbaserad annonseringstjänst där myndigheten har begränsad insyn i hur upphandlingsdokument och anbud lagras.

Användningen av externa upphandlingsverktyg underlättar naturligtvis, och kanske är de till och med en förutsättning för upphandlande myndigheters arbete.

Men de medför också en risk. Många sådana upphandlingsverktyg innebär att upphandlaren, med angivande av e-post och ett lösenord, kan komma åt både upphandlingsdokument och inkomna anbud oavsett var hon befinner sig. I coronatider har detta naturligtvis varit ovärderligt.

Men vad innebär det för risker ur informationssäkerhetshänseende? Vilka medarbetare har tillgång till inloggningsuppgifterna? Vad är det för säkerhetsnivå på de lösenord som används? Används dessa lösenord även i andra sammanhang? Och vilka risker skulle det innebära för verksamheten om dessa inloggningsuppgifter kom på irrvägar?

Ur såväl LOU:s som OSL:s perspektiv är det helt centralt att ingen information kommer ut på annat sätt än genom de officiella kanalerna vid annonsering och i samband med tilldelning av kontrakt.

Men kan vi verkligen vara säkra på att det blir så? Har upphandlande myndigheter exempelvis rutiner för att avsluta tidigare medarbetares konton i det använda upphandlingsverktyget, eller är det möjligt för en upphandlare som börjat jobba som bid manager hos en stor leverantör att fortsätta följa de tidigare kollegornas upphandlingsarbete från ”insidan”? Hade ni märkt det i så fall?

I vår rapport Juridisk informationssäkerhet – Att samordna arbetet enligt säkerhetsskyddslagen, NIS-lagen, dataskyddsförordningen och annan lagstiftning om informationssäkerhet beskriver vi hur en verksamhet kan arbeta strukturerat för att följa den breda palett av lagstiftning som finns på informationssäkerhetsområdet.

En myndighets upphandlingsfunktion har ett stort ansvar, både vad avser kravställande, leverantörskontroll och avtalsuppföljning.

Kanske är det bästa sättet för en upphandlingsavdelning att närma sig denna uppgift att först ”testa” informationssäkerheten i den egna, avdelningsinterna verksamheten. Hur jobbar upphandling med den så kallade CIA-triaden?

Konfidentialitet (C): Att information, i synnerhet anbudsinformation, inte görs tillgänglig för andra personer, system eller processer än de som har behörighet att få tillgång till den. 

Riktighet (I): Att informationen inte får ändras, läggas till eller raderas på annat sätt än av behöriga personer enligt bestämda rutiner. 

Tillgänglighet (A): Att informationen ska vara formellt och praktiskt åtkomlig för behöriga personer, system och processer under de tidsspann och med de hastigheter/volymer som bestämts.

Vilken behörighetsstyrning och loggning har ni för vilka medarbetare som får tillgång till vilka upphandlingsdokument? Vilka personer är behöriga att hantera eventuell säkerhetsskyddad upphandling?

Om tjänsten med ert upphandlingsverktyg går ner, kommer ni då att ha tillgång till upphandlingsdokument och anbud på ett strukturerat sätt?

En upphandlingsavdelning behöver naturligtvis inte ISO-certifiera sig för att på ett trovärdigt sätt kunna arbeta med informationssäkerhet. Men innan man hjälper verksamheten att utforma informationssäkerhetskrav för upphandlingar kan det vara klokt att åtminstone ha ögnat igenom ISO 27000-serien och funderat på hur denna låter sig överföras på den egna avdelningens verksamhet.

Målet är ett strukturerat informationssäkerhetsarbete som leder till kontinuerlig förbättring.

Mycket förenklat skulle en sådan övning kunna innehålla följande frågor:

Vilken information hanteras och vad har informationen för skyddsvärde?
Förutom vid säkerhetsskyddad upphandling och när anbudsdokumenten innehåller personuppgifter kan det vara lätt att tro att en upphandlingsavdelning inte hanterar känslig information. Den slutsatsen är långt ifrån sanningen.

Upphandlarens förberedande arbete innehåller ofta information om myndighetens affärsmässiga överväganden som inte bör röjas för utomstående. Kunskap om vilket företag som ska tilldelas ett kontrakt, innan tilldelningsbeslut meddelats, kan naturligtvis vara mycket intressant för marknaden.

När det gäller stora upphandlingar och börsnoterade företag kan sådan kunskap vara kurspåverkande. På många ställen i världen anses handläggare på myndigheters upphandlingsavdelningar löpa särskilt stor risk för att utsättas för olika sorters påtryckningar, till exempel korruption och industrispionage. Det är till och med denna risk som utgör ett av de främsta skälen till att det finns en tydlig förfarandelagstiftning för offentlig upphandling.

Vilka system hanterar vår information?
Vi nämnde inledningsvis både en eventuell videokonferenslösning för anbudsöppning och själva upphandlingsverktyget, men det kan naturligtvis även finnas andra system som myndigheten använder och som kan innebära större eller mindre risk ur informationssäkerhetshänseende.

Vilka hot finns och vilka skyddsåtgärder vidtar vi för att bemöta dem?
Det kanske främsta hotet ur informationssäkerhetshänseende mot en vanlig upphandlingsverksamhet är inte risken för att något oegentligt ska hända, utan att det i efterhand inte går att bevisa att allt gått rätt och riktigt till.

Tänk på den senaste upphandlingen du genomförde. Om någon grävande journalist skulle påstå att du låtit dig påverkas till att gynna en av anbudsgivarna på ett otillbörligt sätt vid kvalitetsutvärderingen – vilken bevisning skulle du kunna presentera för att hävda motsatsen? Var du ensam vid utvärderingen? Finns det tillräcklig dokumentation upprättad? Kan du motivera dina beslut utifrån anbud och upphandlingsdokument? Kan du visa när olika dokument upprättats, ändrats och i så fall av vem?

Det enklaste sättet att få koll på hot och risker är att fundera över om det är befogat med en hot- och riskanalys inför en upphandling.

Miljö, arbetsmarknadens villkor, idéburna verksamheter och nu informationssäkerhet. Listan på saker som till syvende och sist hamnar på upphandlingsavdelningens bord kan göras lång.

Men om vi ska hjälpa verksamheten även med detta måste vi först se till att vi lever som vi lär.

Den första frågan kanske därför inte är hur myndigheten arbetar med informationssäkerhet, utan hur upphandlingsavdelningen gör det.

Erik Olsson
Advokat, Partner

André Catry
Senior Adviser

Advokatfirman Kahn Pedersen