Opinion

”Låt it-säkerheten kosta – billigast är inte bäst”

Tomas Qviberg, vd, Konsultkompaniet
Tomas Qviberg, vd, Konsultkompaniet

DEBATT. Lagen om upphandling gör att myndigheternas it-säkerhetsexperter handlas upp på pris, som spik och bräder, helt utan kvalitetsbedömning, skriver Tomas Qviberg, Konsultkompaniet.

De senaste åren har visat att it är svårt, det är riskfyllt och kan ge oanade konsekvenser. Vi har sett myndighetsskandaler där hyperkänslig information visat sig vara placerad på hårddiskar någonstans, oklart var. Dessutom har information hanterats av icke säkerhetsklassad personal som aldrig skulle klara de enklaste säkerhetsutvärderingar om det gällt ett väktaruppdrag i tunnelbanan. Information om skyddade identiteter, patientuppgifter, militära skyddsobjekt och mycket annat har legat fullt öppna.

Vi har läst många skräckexempel från myndighetsvärlden. Där finns Stockholms Landstings Vårdguiden, eller 1177, som lagrat patientuppgifter öppet på Internet. Svenska kraftnät lade utvecklingen av styrsystemen för landets elnät på icke säkerhetsklassad personal och så förstås Transportstyrelsens totala haveri med extremt hemliga uppgifter. Antagligen finns många fler som inte nått offentligheten.

Den privata sektorn hanterar också en hel del säkerhetsklassad information och här finns också problem. Men av naturliga skäl hanterar myndigheter betydligt mer säkerhetsklassad information.

Att det finns stora kunskapsbrister i ledningarna för dessa myndigheter är inget nytt. Utvecklingen har gått fort och hos alltför många ledningspersoner som de facto fattar beslut om olika säkerhetsalternativ är kunskapen om it i allmänhet och it-säkerhet samt riskexponeringen låg för att inte säga mycket låg. Troligen beroende på att nämnda snabba utveckling gjort att det ledningspersonerna en gång studerade inte har samma relevans för verksamheten längre och att det krävs ny, eller i alla fall kompletterande kompetens.

I avsaknad av kompetens blir ledningarna då beroende av konsulter. Men den som inte riktigt vet vad som ska upphandlas har svårt att hitta rätt hjälp. Och eftersom upphandlingen säkras via Lagen om upphandling (LOU) så blir det vanligtvis timpriset som avgör, ungefär som att köpa högrev per kilo. Det avgörande borde istället vara kompetensen i förening med priset. Visserligen är det behjärtansvärt att man försöker få ut så mycket som möjligt av skattebetalarnas pengar men i längden är det kontraproduktivt.

Poängen är att hela kedjan från ledningens it-kompetens till den kompetens som upphandlingen av it-stöd är baserad på ned till den enskilde inhyrde konsultens kompetens, inte får ha några svaga länkar.

I dag är de flesta, för att inte säga alla, myndigheter och större företag beroende av it-konsulter för att klara sina uppgifter. En del arbetar under lång tid för samma uppdragsgivare medan andra går in under kortare perioder för att leverera sitt ofta unika kunnande inom ett avgränsat område. På många myndigheter och större företag består hälften av all verksam it-personal av konsulter, inhyrda på mer eller mindre lång tid.

De experter vi talar om arbetar gärna i egen regi och är mindre intresserade av att ägna avsevärd tid åt upphandlingar som inte resulterar i uppdrag och dessutom betalar sig dåligt.

Det som behövs är alltså bättre upphandlingar med mer relevant kravställning, smidigare hantering och snabbare beslutsgång. Det är svårt att få en skicklig specialist att investera veckor i att fylla i irrelevanta uppgifter och inhämta olika myndighetsintyg för att i slutändan kanske bara få avrop på en bråkdel av det möjliga värdet av upphandlingen. Allt fler experter avstår från den processen när de ändå har gott om uppdrag från betalande kunder.

För uppdragsgivaren kostar det väldigt mycket tid och pengar att försöka lära upp nya konsulter i det som är specifikt för denna myndighet. Något som ofta sker när en konkurrent givit ett bud som ligger några kronor lägre.

Därför vill jag föreslå följande lösning i fyra punkter:

- Relevanta upphandlingsdokument utan krav på ovidkommande uppgifter.

- En satsning på utbildade upphandlare av it-tjänster på myndigheter. Det bör vara erfaret folk som kan it och säkerhet.

- it-kompetens i myndighetsledningar.

- Regelbundna utvärderingar av om gjorda upphandlingar uppnått målen.

Tomas Qviberg, vd, Konsultkompaniet