Ett säkerhetshål i upphandlingsverktyget Tendsign har gjort det möjligt att genom ganska enkla metoder ta del av konkurrenters frågor inför upphandlingar. Buggen skulle därmed kunna användas för att skaffa sig en bild av vilka andra leverantörer som är intresserade av en särskild upphandling och anpassa sitt eget erbjudande efter det.

Tendsign är enligt leverantören Visma Commerce ”Sveriges mest använda upphandlingsverktyg” och ”ett helt avgörande arbetsverktyg i hundratals statliga myndigheter, kommuner, landsting och flertalet privata bolag”.

Enligt en källa till Computer Sweden har säkerhetshålet funnits där i flera år. Så här skulle det kunna utnyttjas:

Vem som helst kan skapa ett gratiskonto för anbudsgivning. Bland de uppgifter man får fylla i kan man då ange organisationsnummer till en konkurrent. Om man sedan går in med det här kontot bland ”frågor och svar” och någon anbudsgivare med det organisationsnumret ställt en fråga så visas det i klartext när man exporterar ut frågorna som en pdf.

Både via pdf:en och webbgränssnittet ser man också frågor från anbudsgivaren i fråga som ännu är obesvarade – de syns normalt inte alls annat än för upphandlande myndighet.

Innovation, organisation och ledarskap – vad behöver du göra idag för att vara relevant imorgon? Det får du veta på CIO Governance den 12 september – boka plats här

Efter att Visma Commerce som utvecklar verktyget undersöker frågan bekräftar vd:n Marie Ceder att det funnits en bugg i programmet.

– Alltid när vi får in rapporter om befarad bugg eller sårbarhet dyker vi ner i ärendet. Det har vi gjort nu också och jag kan bekräfta att det funnits en bugg och att den nu är åtgärdad, säger hon. Vi ser också över våra rutiner över hur man skapar gratiskonton.

Hur allvarligt ser ni på det här?

– Vi ser allvarligt på frågor som rör informationshantering. I det här fallet har man inte kunnat ta del av anbudshandlingar, utan en begränsad del av information, kopplat till frågor och svar innan anbud skapas.

– Potentiellt skulle det kunna missbrukas, men det förutsätter att någon bedrägligen registrerat ett gästkonto i ett specifikt företagsnamn och specifik upphandling, men vi har inga kända fall i dag.

Computer Sweden har varit i kontakt med personer med stor erfarenhet av upphandlingar i offentlig sektor och de säger att det kan vara av strategisk betydelse att se de här frågorna – då kan man både få en bild av vilka andra aktörer som är intresserade av en upphandling och kanske också få en uppfattning om hur de tänker kring priserna.

Mats Mårtensson, grundare av konsulmäklaren Keyman, säger:

– Om jag tar konsultmäklarbranschen som exempel: När vi svarar på upphandlingar har vi ofta en aning om vilka konkurrenter som kan tänkas svara. Att få reda exakt på vilka leverantörer som är med och svarar skulle kunna påverka prissättningen.

Mats Mårtensson fortsätter:

Mats Mårtensson, grundare av konsulmäklaren Keyman
Mats Mårtensson, Keyman.

– Om jag vet att bolag x och y svarar och de normalt sett har en prisnivå som ligger högre kan vi lägga oss under den nivån för att vinna affären. Det påverkar konkurrensen negativt.

Marie Ceder, vd för Visma Commerce, säger att hon inte tror att det är sannolikt att det här har kunnat göra så att man får en bild av priserna:

– Jag tror inte det är sannolikt att man har kunnat få en bild av priserna. De frågorna behandlas inte i den delen, utan det brukar röra sig om frågor och svar om till exempel avtalstid som är relevant för att bedöma om man ska lämna anbud eller inte. Det har inte gått att ta del av anbudshandlingar.

Läs också: Visma om totaldominansen i Sverige: ”vi investerar väldigt mycket lokalt”