Fortifikationsverket genomför årligen cirka 2 000 säkerhetsskyddade upphandlingar. Det kan handla om alltifrån hemliga anläggningar till bergrum som byggs i det fördolda i landet.
– Det kan vara så pass hemligt att till och med det som anbudet ska lämnas på är hemligt, säger säkerhetschefen Henrik Thernlund.
Innan myndigheten går ut med information om vad som ska upphandlas görs en ordentlig genomlysning av potentiella anbudslämnare.
– Vi kontrollerar allt. Vi kollar ekonomin, och att det inte finns några anmärkningar mot ägarna eller personalen. Vi kontrollerar att inga namn finns med i Säpos eller polisens belastningsregister, säger Henrik Thernlund.
Henrik Thernlund poängterar att samma granskning görs av underleverantörernas underleverantörer.
– Inte ens en kotte kommer igenom våra kontroller, säger Henrik Thernlund.
Om allt verkar vara i sin ordning och företagen blir godkända då lämnas information om anbudet ut och i vissa fall enbart delar av den.
Efter att företagen har tagit del av anbudet tittar myndigheten på hur informationen om upphandlingen hanteras. Vid en spontan påhälsning på flera företag fann Henrik Thernlund alarmerande brister i it-säkerheten och hur affärskritiska data hanteras.
– Företagen har inte koll på vad som händer med informationen när den hamnar i molnet. Det har hänt att svenska företag tappar kontrakt till utländska leverantörer för att de har kommit över företagshemligheter, säger han och fortsätter:
– Molntjänster kan vara vad som helst. Du kan bli av med information utan att veta om det. Det är inte vår sak att lägga oss i hur företagen hanterar den egna informationen men vår information får inte hamna i molnet. Och vår information får inte lämna landet, säger Henrik Thernlund.
Det finns två tillfällen då företag kan bli av med information om det lagras i molnet. Det kan hända vid lagringen att någon kommer över informationen, eller vid överföringen mellan företaget och molnleverantören, enligt Henrik Thernlund.
– I överföring av information finns det också ett stort antal signalspaningsorganisationer som ständigt lyssnar efter användbar data. Det finns också möjlighet att köpa den tjänsten som företagsspioneri. Det finns också okunniga medarbetare som mejlar känslig information, men det är en annan fråga som inte rör molntjänsterna utan är en utbildningsfråga.
Myndigheten har dragit åt svångremmen.
– Vi godkänner inte molntjänster för att de är ett hot mot rikets säkerhet. Vår information ska ligga på ett lokalt nätverk och inget får vara kopplat till internet. Vid dagens slut ska hårddiskarna låsas in, säger Henrik Thernlund.
Dessutom krävs att samtliga företag har en säkerhetschef och att personalen är utbilad i it-säkerhet.
Det är företagens ansvar att förvalta myndighetens information på ett korrekt sätt.
– När företagen har vunnit en upphandling gäller tystnadsplikt. Avtalet gäller tills personen sätter näsan i vädret, säger Henrik Thernlund.
Om information om myndigheternas upphandlingar läcker ut kan slarv leda till fängelse, allt från två till tio år, alternativt livstid.
– Det har hänt att folk har fått skaka galler. Det blir också ett saftigt skadeståndskrav om information har läckt ut, säger Thernlund.
Flera it-säkerhetsexperter hävdar att molntjänster är säkrare än vad de flesta företag själva kan upprätta. Hur ser du på det?
– Det är lätt att säga så. Men om företaget inte själva kan hålla hög säkerhet på sin egen information, hur vet de då vad de ska beställa? Och vad ska företagen kräva av molntjänstföretagen?
Det finns för många obesvarade frågor.
– Ska man "följa med in i molnet" måste en mängd säkerhetsfrågor besvaras. Vem äger informationen vid ägarbyte eller om molnföretaget går i konkurs? Vilka lagar gäller där informationen lagras eller passerar? För att information ska kunna hanteras via molnet måste informationen krypteras hos företaget. Det får inte finnas några huvudnycklar, eller bakdörrar.
Henrik Thernlund fortsätter:
– Om det nu är säkert borde någon kunna ställa sig upp och garantera punkt för punkt att de har bättre säkerhet än företaget.
