Transportstyrelsen, framför allt dess avskedade generaldirektör Maria Ågren, har fått hård kritik för sitt sätt att bryta mot säkerhetsskyddslagen när man outsourcade it-tjänster.
Häromdagen kom Dagens Nyheter, DN, med uppgifter om hur Regeringskansliet outsourcat delar av sitt it-system där företag fått tillgång till kansliets nätverksinfrastruktur utan säkerhetsskyddsavtal.
Nu tillbakavisar Regeringskansliet uppgifterna.
– Jag vill vara tydlig med att Regeringskansliet inte har utkontrakterat nätverksinfrastrukturen, utan har valt att ha denna i egen regi, säger Ari Stenman, Regeringskansliets säkerhetschef.
Däremot anger han att myndigheten köper in nätverksprodukter, till exempel routrar och switchar, från externa leverantörer. Driften av dessa sköter Regeringskansliet internt. Vid behov av underhåll och support av produkterna kan dock tjänsteleverantören anlitas. Leverantörens personal har inte några behörigheter och ingen fjärråtkomst till Regeringskansliets it-system, vilket innebär att de inte har tillgång till den information som passerar i nätverket.
I medierna har det funnits uppgifter om att det saknas ett säkerhetsskyddsavtal mellan Regeringskansliet och leverantören. Något sådant avtal är dock inte aktuellt i det här fallet, enligt Ari Stenman.
– Även om leverantören har tillgång till vissa skyddsvärda uppgifter om de it-produkter som Regeringskansliet använder, har de inte tillgång till uppgifter som rör rikets säkerhet vilket är en förutsättning för att teckna ett säkerhetsskyddsavtal, säger Ari Stenman.
Det har också väckts frågor om varför upphandlingen av tjänsten inte har annonserats. Eftersom informationen i upphandlingsunderlaget i detta fall omfattades av sekretess (enligt 18:8 OSL) kunde den inte annonseras på vanligt sätt. Lagen om offentlig upphandling möjliggör detta förfarande.
Informationssäkerhet är en viktig del av Regeringskansliets verksamhet. Säkerhetsanalyser sker löpande, till exempel inför upphandling och inköp av produkter och tjänster.
– Jag känner mig trygg med att de rutiner och de system vi har uppfyller våra högt ställda säkerhetskrav, säger Ari Stenman.
Vill du fördjupa dig i kravarbete, utvärdering och förhandling i IT-upphandlingar, i syfte att göra bättre IT-affärer? Gå kursen som Upphandling24 arrangerar “Fortsättningskurs IT-upphandling” Läs mer här!
Frågan som hänger kvar i luften är om RK har begått ett säkerhetsskydds- eller ett upphandlingsbrott, för minst ett av de två har de onekligen gjort sig skyldiga till…