De senaste åren har visat oss att it är svårt, det är riskfyllt och det kan ge fullkomligt oanade konsekvenser. Vi har sett myndighetsskandaler där hyperkänslig information visat sig vara placerad på hårddiskar någonstans, oklart var. Dessutom har de hanterats av icke säkerhetsklassad personal som aldrig skulle klara de enklaste säkerhetsutvärderingar om det gällt ett väktaruppdrag i tunnelbanan. Information om skyddade identiteter, patientuppgifter, militära skyddsobjekt och mycket annat har legat fullt öppna.
Vi har läst om många skräckexempel från myndighetsvärlden. Där finns Stockholms Landstings Vårdguiden eller 1177 som hade lagrat patientuppgifter öppet på internet. Svenska kraftnät la ut utvecklingen av styrsystemen för landets elnät på icke säkerhetsklassad personal och så förstås Transportstyrelsens totala haveri med extremt hemliga uppgifter. Antagligen finns många fler som inte nått offentligheten. Den privata sektorn hanterar också en hel del säkerhetsklassad information och här finns också säkerhetsproblem. Men av naturliga skäl hanterar myndigheter betydligt mer säkerhetsklassad information.
Att det finns stora kunskapsbrister i ledningarna för dessa myndigheter är inget nytt. Utvecklingen har gått fort och hos alltför många ledningspersoner som de facto fattar beslut om olika säkerhetsalternativ är kunskapen om it i allmänhet och it-säkerhet samt riskexponeringen låg för att inte säga mycket låg. Troligen beroende på att nämnda snabba utveckling gjort att det ledningspersonerna en gång studerade inte har samma relevans för verksamheten längre och att det krävs ny, eller i alla fall kompletterande kompetens.
I avsaknad av kompetens blir ledningarna då beroende av konsulter. Men den som inte riktigt vet vad som ska upphandlas har svårt att hitta rätt hjälp. Och eftersom upphandlingen säkras via Lagen om upphandling (LOU) så blir det vanligtvis timpriset som avgör, ungefär som att köpa högrev per kilo. Det avgörande borde vara kompetensen i förening med priset och inte bara priset per timme. Visserligen är det behjärtansvärt att man försöker få ut så mycket som möjligt av skattebetalarnas pengar men i längden är det kontraproduktivt.
Poängen är att hela kedjan från ledningens it-kompetens till den kompetens som upphandlingen av it-stöd är baserad på ned till den enskilde inhyrde konsultens kompetens inte får ha några svaga länkar.
Idag är de flesta, för att inte säga alla, myndigheter och större företag beroende av it-konsulter för att klara sina uppgifter. En del arbetar under lång tid för samma uppdragsgivare medan andra går in under kortare perioder för att leverera sitt ofta unika kunnande inom ett avgränsat område. Det är ofta fallet med dem som är specialiserade på olika aspekter på it-säkerhet. På många myndigheter och större företag är hälften av all verksam it-personal konsulter inhyrda på mer eller mindre lång tid.
Det räcker inte att gå till ett stort it-konsulthus för det är inte säkert att de finns där heller. De experter vi talar om arbetar gärna i egen regi och är mindre intresserade av att ägna avsevärd tid åt upphandlingar som inte resulterar i uppdrag och dessutom betalar sig dåligt.
Det som behövs är alltså bättre upphandlingar med mer relevant kravställning, smidigare hantering och snabbare beslutsgång. Att få en skicklig specialist att investera veckor i att fylla i irrelevanta uppgifter och inhämta olika myndighetsintyg för att i slutändan kanske bara få avrop på en bråkdel av det möjliga värdet av upphandlingen gör att allt fler experter hellre avstår när de ändå har gott om uppdrag från betalande kunder.
För uppdragsgivaren kostar det dessutom väldigt mycket tid och pengar att försöka lära upp nya konsulter i det som är specifikt för denna myndighet. Något som ofta sker när en konkurrent givit ett bud som ligger några kronor lägre.
Därför vill jag föreslå följande lösning i fyra punkter:
- Relevanta upphandlingsdokument utan krav på ovidkommande uppgifter.
- En satsning på utbildade upphandlare av it-tjänster på myndigheter. Det bör vara erfaret folk som kan it och säkerhet.
- It-kompetens i myndighetsledningar.
- Regelbundna utvärderingar av om gjorda upphandlingar uppnått målen.
Tomas Qviberg, vd, Konsultkompaniet
Läs även:
Bakläxa för Kammarkollegiet i stor konsultupphandling: ”ingen är vinnare”
1177-läckan: Här är allt du behöver veta om it-haveriet på Vårdguiden
