Brist på kunskap och kontroll bakom it-skandalen

Computer Swedens kartläggning inleds med att konstatera att haveriet kring Transportstyrelsens it-outsourcing med alla dess politiska följder varit en av sommarens flitigast diskuterade nyheter. Att myndighetens känsliga data har riskerat hamna i orätta händer har varit navet i det som har kommit att kallas it-skandalen. Detta efter att icke säkerhetsklassade personer i andra länder ska ha haft tillgång till känslig information som uppges ha kunnat hota rikets säkerhet.

Att IBM valt att hantera Transportstyrelsens it från Östeuropa har i brist på andra besked förklarats med att det förmodligen varit mer ekonomiskt fördelaktigt. Exakt hur svenska IBM har tänkt, och huruvida bolaget anser sig ha något ansvar i det som inträffat eller hade kunnat se till att den känsliga informationen behölls i Sverige, är det tyvärr svårt att få några klara svar på. Bolagets policy om att inte kommentera specifika kunder verkar lika cementerad som tidigare.

– Det vi har sagt är att vi följer kundavtalet enligt deras anvisningar. Kunden svarar så gott de kan på detta och jag måste hänvisa till dem i det här läget, säger bolagets informationschef Lennart Malm och rekommenderar läsning på Transportstyrelsens sajt.

En stor del av problemen i Transportstyrelsenhärvan kunde så klart ha undvikits om man hade hanterat de känsliga uppgifterna från Sverige med svensk säkerhetsklassad personal. I upphandlingsunderlaget framkommer klart och tydligt att det krävs säkerhetsklassad personal för att sköta uppdraget. Ett krav som uppenbarligen inte IBM uppfyllt då Transportstyrelsens numera sparkade generaldirektör Maria Ågren tvingats att godkänna avsteg från detta krav.

Enligt källor som Computer Sweden talat med som är väl insatta i upphandlingsarbete menar man att det som inträffat på Transportstyrelsen sannolikt har flera orsaker. För det första har myndigheter ofta bristande kontroll på vad som är skyddsvärd information och vad som kräver speciell hantering. Dessutom saknar ofta myndigheter kunskap om var den skyddsvärda informationen finns i den underliggande it-infrastrukturen. Det innebär att den skyddsvärda informationen och annan information blandas i till exempel en server.

Och det i sin tur leder till att en outsourcing av den servern skulle kräva högsta säkerhetsklassning trots att bara en bråkdel av innehållet har det behovet. Och tittar man på en myndighet som Transportstyrelsen så handlar det om fler än 1 000 servrar.

I Lagen om offentlig upphandling, LOU, står det inte tydligt om man kan kravställa it-drift i Sverige om bara en liten del av informationen har det underliggande säkerhetskravet.

– Det hade varit mycket lättare om man hade kunnat kravställa en it-drift från Sverige av svensk säkerhetsklassad personal, bekräftar en person med insyn i ärendet.

Men det ska, enligt vad Computer Sweden erfar, ha funnits en betydande risk att upphandlingen då, likt många andra offentliga upphandlingar i it-branschen, hamnat i en lång överprövningskarusell. Och viljan att slippa det ska ha varit ett av de tyngst vägande skälen till att man trots allt valde att gå vidare med endast krav om säkerhetsklassad personal.

När det gäller outsourcing av it-drift eller nyttjande av molntjänster för myndigheter finns således ett antal lärdomar att dra.

Den första är att alla organisationer, såväl myndigheter som privata företag bör informations- och säkerhetsklassa sina applikationer. Därefter måste respektive klassning hanteras på en egen underliggande infrastruktur, och när det väl är gjort kan den mindre skyddsvärda infrastrukturen hanteras på ett sätt och den skyddsvärda på ett annat. Om den aktuella organisationen däremot inte har gjort informationsklassning av applikationer och infrastruktur så gör man nog klokast att avstå från outsourcing av it-drift eller molntjänster.

En annan viktig del är att se över om LOU medger att en myndighet kan kravställa it-drift i Sverige, trots att det är EU som vanligtvis gäller. Frågar man jurister som specialiserat sig på offentlig upphandling verkar kravet på det geografiska läget fungera, men det är svårare att ställa krav på personalens nationalitet.

– Ett rimligt krav för att skydda säkerhetsklassade uppgifter hade varit att servrarna ska stanna i landet. Kravet att personalen ska vara svensk kan inte ställas, däremot att all personal som hanterar den känsliga informationen ska vara säkerhetsklassade, säger Eva-Maj Mühlenbock, delägare i Lindahl.

Sara-Li Olovsson, advokat på Delphi, är inne på samma linje när hon svarar på frågan om det går att säkerställa drift i Sverige i en upphandling även om de säkerhetsklassade uppgifterna bara utgör en liten del av den totala infrastrukturen.

– Det generella svaret är att det rent upphandlingsrättsligt är möjligt att ställa krav på drift i Sverige i en upphandling, förutsatt att kravet är i enlighet med den grundläggande upphandlingsprincipen om proportionalitet, det vill säga att kravet går att motivera på objektiva grunder och inte är utformat i syfte att snedvrida konkurrensen eller otillbörligt missgynna eller gynna en viss leverantör, säger hon och utvecklar:

– Ett exempel då det är tillåtet med ett sådant krav är att det följer direkt av annan speciallagstiftning som ställer krav på att hantering av data ska utföras på ett visst geografiskt ställe. Detta gäller oavsett om bara en liten del av det totala upphandlingsföremålet utgör högt säkerhetsklassade uppgifter, och förutsatt att det inte är praktiskt möjligt eller lämpligt att dela upp upphandlingen i flera separata delar, där en del är förenad med krav på hantering av data i Sverige och övriga delar inte har samma krav på hantering av data.

Men det finns som sagt också tydliga begränsningar i vilka krav som får ställas.

– Det är däremot typiskt sett i strid med upphandlingsreglerna att ställa krav på att en leverantör måste vara svensk för att kunna tilldelas kontrakt i en upphandling. Men ett krav på att viss drift måste ske i Sverige är alltså inte generellt förbjudet, säger Sara-Li Olovsson till Computer Sweden.