"Vi kan inte längre tala om cybersäkerhet och fysisk säkerhet som olika saker – det är de inte"
Det här är en opinionstext, åsikterna är skribentens egna.
Säkerhet. Säkerhetsöverträdelser, överbelastningsattacker, dataintrång. Inom den offentliga förvaltningen är man redan välmedveten om risken för cyberhot, men beredskapen tar inte hänsyn till alla rutter som cyberkriminella använder.
Den offentliga sektorn spenderar tiotals miljoner euro per år på upphandling av fysiska säkerhetssystem. Alla dessa köp har en sak gemensamt: det viktigaste beslutskriteriet är det lägsta priset. Detta leder till att också utrustning med kort livslängd och låg säkerhetskvalitet hamnar i offentligt bruk.
Jag har sett på de 20 senaste offentliga upphandlingarna. I samtliga hade priset som urvalskriterium en vikt på minst 50 procent av upphandlingens värde. Dessutom gäller upphandlingarna ofta enskilda enheter, snarare än hela IT-system.
Betoningen på låga kostnader har lett till att säkerhetsutrustning och -system som levererats till den offentliga sektorn har en mycket låg säkerhetsnivå.
Det är ett faktum att kamerateknik har använts i cyberattacker i kriget i Ukraina. Genom att hacka kameror har den ryska militären troligen spionerat på Ukrainas luftförsvar och försvarsinfrastruktur. Flera länder har också förbjudit inköp av utrustning från vissa kameratillverkare, främst kinesiska, p.g.a. de nationella säkerhetsrisker den utgör. Våra egna upphandlingsbeslut är också en del av den globala geopolitiken. Fråga t.ex. Nato.
Det blir också allt vanligare att enheten i sig inte utgör ett säkerhetshot, men genom att spara in på programuppdateringar och skydd av anslutningar och lagring så möjliggör man att säkerhetshål utnyttjas för skadliga syften. Det har på senare tid förts en berättigad debatt om ansvaret för underhåll av serverprogramvaror.
Det vi tänker på som fysiska säkerhetslösningar, t.ex. övervakningskameror, lås och passersystem, är numera online och en del av IT, vilket ger upphov till helt nya säkerhetshot. Ett sjukhus kan t.ex. ha hundratals lås och kameror som är minidatorer anslutna till nätverket. Därför kan vi inte längre tala om cybersäkerhet och fysisk säkerhet som olika saker. Det är de inte.
Vilka är då lösningarna på problemet? Den enklaste lösningen är att avsätta tillräckliga medel för upphandlingarna. En annan lösning är att se på totalkostnaden för varje upphandling på längre sikt: vilken leverantör lovar den längsta säkerhetslivscykeln för sina produkter.
Den tredje lösningen är den servicemodell som blivit mycket vanligare inom den privata sektorn. I stället för att köpa system för eget bruk och själv ansvara för driften, som säkerhetsuppdateringar, köper man system, underhåll, uppdateringar, övervakning och förnyelse som en tjänst.
Samu Konttinen Verkställande direktör Loihde Abp