”Satsa på utbildade upphandlare av it-tjänster”

De senaste åren har vi sett myndighetsskandaler där hyperkänslig information visat sig vara placerad på hårddiskar någonstans, oklart var. De har hanterats av personal som aldrig skulle klara de enklaste säkerhetsutvärderingar. Information om skyddade identiteter, patientuppgifter, militära skyddsobjekt och mycket annat har legat fullt öppen.

Vi har läst om många skräckexempel från myndighetsvärlden. Där finns Region Stockholms Vårdguiden 1177 som lagrat patientuppgifter öppet på internet. Svenska kraftnät la ut utvecklingen av styrsystemen för landets elnät på icke säkerhetsklassad personal. Och så förstås Transportstyrelsens totala haveri med extremt hemliga uppgifter. Antagligen finns många fler exempel som inte nått offentligheten.

Utvecklingen har gått fort och hos alltför många ledningspersoner som fattar beslut om olika säkerhetsalternativ är kunskapen om it i allmänhet och it-säkerhet samt riskexponering i synnerhet låg, för att inte säga mycket låg. Här krävs ny, eller i alla fall kompletterande kompetens.

I avsaknad av kompetens blir ledningarna beroende av konsulter. Men den som inte riktigt vet vad som ska upphandlas har svårt att hitta rätt hjälp. Och eftersom upphandlingen säkras via Lagen om upphandling (LOU) så blir det vanligtvis timpriset som avgör, ungefär som att det handlade om att köpa högrev per kilo. Det avgörande borde i stället vara kompetens i förening med priset. Visserligen är det behjärtansvärt att man försöker få ut så mycket som möjligt av skattebetalarnas pengar – men i längden är det kontraproduktivt.

I dag är de flesta, för att inte säga alla, myndigheter och större företag beroende av it-konsulter. En del arbetar under lång tid för samma uppdragsgivare medan andra går in under kortare perioder för att leverera sitt ofta unika kunnande inom ett avgränsat område. Det gäller särskilt på området it-säkerhet. På många myndigheter och större företag är hälften av all verksam it-personal konsulter som är inhyrda på mer eller mindre lång tid.

Dessa experter arbetar gärna i egen regi och är inte så intresserade av att ägna avsevärd tid åt upphandlingar som inte resulterar i uppdrag och som dessutom betalar sig dåligt.

Det som behövs är alltså bättre upphandlingar med mer relevant kravställning, smidigare hantering och snabbare beslutsgång. Att få en skicklig specialist att investera veckor i att fylla i ofta irrelevanta uppgifter och inhämta olika myndighetsintyg för att i slutändan kanske bara få avrop på en bråkdel av det möjliga värdet av upphandlingen gör att allt fler experter hellre avstår.

För uppdragsgivaren kostar det väldigt mycket tid och pengar att försöka lära upp nya konsulter i det som är specifikt för denna myndighet.

Därför föreslår jag följande lösningar:

￭ Relevanta upphandlingsdokument utan krav på ovidkommande uppgifter.
￭ En satsning på utbildade upphandlare av it-tjänster på myndigheter. Det bör vara erfaret folk som kan it och säkerhet.
￭ Itkompetens i myndighetsledningar.
￭ Regelbundna utvärderingar av om genomförda upphandlingar uppnått målen.

Tomas Qviberg, vd, Konsultkompaniet