Har du koll på SUA? Säkerhetsskyddad upphandling

2018-04-25

"En säkerhetsskyddad upphandling med säkerhetsskyddsavtal." Det låter komplicerat, men SUA behöver faktiskt inte vara en snårig djungel att ta sig fram i.

Såhär ligger det till.

Vad omfattas och vem ansvarar
Varje organisation som omfattas av säkerhetsskyddslagen, ska ha det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Det kan vara statliga myndigheter, kommuner, landsting, företag eller enskilda.

Säkerhetsskyddet ska omfatta sekretessbelagda uppgifter som rör rikets säkerhet. Obehöriga ska inte kunna komma in på platser där sådana uppgifterna kan inhämtas, eller där man bedriver verksamhet kopplad till rikets säkerhet. Till sist ska personer som deltar i arbete kopplat till rikets säkerhet vara pålitliga ur säkerhetssynpunkt.

Den som är ansvarig för verksamheten ansvarar för att säkerhetsskyddet är tillräckligt bra. Och det här gäller oavsett om den skyddsvärda uppgiften, tillträdet till en plats, om den som sköter arbetet är anställd i den egna organisationen, eller om den ansvariga har köpt tjänsten. Så långt, ganska enkelt?

Köpa tjänster och rikets säkerhet
På senare tid har vi sett flera publika exempel på att det kan gå illa när man köper tjänster eller outsourcar. Men det behöver inte vara så. Så klart behöver alla verksamheter köpa vissa tjänster. Och det går bra att köpa tjänster även kring verksamhet där det förekommer uppgifter som omfattas av sekretess med hänsyn till Sveriges säkerhet.

Först måste köparen säkerställa att det finns ett fullgott säkerhetsskydd hos den man vill köpa tjänst av. Alltså, den som begär in anbud eller träffar avtal om upphandling där det förekommer hemliga uppgifter, måste först ha ett skriftligt säkerhetsskyddsavtal med anbudsgivaren/leverantören om det säkerhetsskydd som behövs i det aktuella fallet.

Syftet är att köparen måste vara säker på att leverantören har tillräcklig informationssäkerhet (inklusive IT-säkerhet), tillträdesbegränsning och säkerhetsprövning av personal. Både före och efter träffat avtal. Och vidare att leverantören utbildar och följer upp att allt funkar som det ska över tid. Leverantören måste ju uppnå den nivå som köparen har för sina sekretessbelagda uppgifter och som är nödvändiga för upphandlingen.

Hemligt uppdrag
Till sist, en viktig detalj - uppdrag med hänsyn till Sveriges säkerhet ska hållas hemliga i enlighet med säkerhetsskyddsavtalet mellan köpare och leverantör.

Har du fortfarande frågor? Vi på Vesper tagit fram en uppdaterad, relevant och informativ rådgivning/utbildning hur man gör denna typ av upphandling. Det är en utbildning om tre timmar och därefter har du de grundläggande kompetenserna för att göra en SUA som både tillgodoser rikets säkerhet och som tar hänsyn till den sekretess som lagen efterfrågar.

Kontakta oss om du undrar över något, vi reder ut det!

Vespers säkerhetsskyddsspecialister


Sluta jaga virus! Lägg kraft på att förstå hotet

2018-04-19

Vesper Group med partnern Darktrace bjöd nyligen på ett frukostsamtal om cybersäkerhetsläget på advokatbyråer i Sverige. Även om fokus låg på situationen i juristbranschen, kan mycket sägas vara allmängiltigt för svenska företag idag.

- Det finns fortfarande alldeles för många som jagar det senaste viruset i stället för att förstå vem som ligger bakom en cyberattack och vilken avsikt och förmåga de har, sa Rickard Dittmer, affärsområdeschef på Vesper Group och som inledde morgonens samtal.

200 dagar i genomsnitt för upptäckt av intrång
Rickard fortsatte med att beskriva jakten på inkräktaren i systemet som ganska fruktlös och planlös. Han menade att för att långsiktigt kunna minimera och bekämpa en attack bör man förstå vad det större bakomliggande syftet är och hur resursstark angriparen är. Då har man större möjlighet att anpassa sina insatser på ett effektivt sätt. Och det krävs en förmåga att omedelbart känna avvikelser i ett företags IT-system, lite som den mänskliga kroppens immunförsvar. Upptäckt och bekämpning måste börja genast. De genomsnittliga 200 dagar det idag tar för ett företag att upptäcka ett intrång är en onödigt lång tid som kan vara förödande.

Cyberkriminella ser juristbranschen som sårbar och lönsam
Cybersäkerhetsexperter från Vesper och Darktrace beskrev vidare hur många av dagens statiska säkerhetslösningar såsom antivirusprogram och brandväggar inte är tillräckliga. Eftersom hoten kommer både inifrån och utifrån krävs det dynamiska lösningar som klarar av att hitta de nålar i höstacken som utgör faktiska hot och risker. Enligt brittiska National Cyber Security Centre, så är advokatbyråer särskilt utsatta eftersom de ibland kan utgöra den svagaste länken i kedjan för att komma över klienters information. Cyberkriminella ser med ökande intresse på juristbranschen som både sårbar och lönsam.

Kortade reaktions- och aktionstider samt ”ajabaja-lista”
En av Vespers advokatbyråkunder i Stockholm beskrev hur mycket mer effektivt och säkert arbetet med it-skydd blivit tack vare samarbetet med Vesper och Darktrace. Både reaktions- och aktionstiderna hade kortats avsevärt och många befintliga brister i nätet hade kunnat åtgärdas genom de veckovisa avvikelserapporterna. Eller när något varit mer akut, genom telefonsamtalet från Vespers analytiker.

Kunden beskrev också hur det blivit lättare att med hjälp av humor och detektion förmå de anställda att agera regelrätt i systemet.
- Jag ser numera när arbetet inte hanteras systematiskt korrekt och har inrättat begreppet ”ajabaja-listan” – och på den vill ju ingen vara!


FAKTA om 200-dagarsproblemet

Tiden det tar att detektera att man haft ett intrång på sitt nätverk är avgörande. I dag tar det i genomsnitt 200 dagar för ett företag att upptäcka ett intrång och drygt 66 dagar för att återfå kontrollen över sitt nätverk. Många intrång upptäcks först efter att angriparna lyckats med sin målsättning. Ofta är det externa parter som informerar företaget om angreppet. Kostnaden för ett intrång är direkt korrelerat till hur lång tid det tar att upptäcka det.


Vesper första svenska personsäkerhetsföretaget på International Security Expo

2018-04-12

Under två dagar i november förväntas det komma 12 500 besökare och drygt 350 utställare till den internationella säkerhetsmässan International Security Expo i London. Den världskända mässan, som tidigare hette UK Security Expo, har målsättningen att bli det största globala säkerhetseventet och Vesper Group blir det första svenska personsäkerhetsföretaget att ställa ut på mässan.

- Vesper har ett utmärkt rykte och anses vara ett av de företag som utgör ett riktmärke i säkerhetsbranschen, säger Vespers vd Erik Lewin. Vi vill bidra till att höja den internationella standarden i den privata säkerhetssektorn och därför är det självklart för oss att delta på International Security Expo.

Security Expo har funnits med olika inriktningar i nästan 20 år. De senaste åren har fokus legat på nationell säkerhet och privata företag och under den tiden har den vuxit i snabb takt, 65% på tre år.

- Vi kommer att delta med andra medlemmar i brittiska Security in Complex Environments Group, SCEG, berättar Erik Lewin. Det känns helt rätt för oss eftersom britterna är bland de världsledande i säkerhetsbranschen och SCEG:s medlemmar utgörs av mycket välskötta bolag med internationella säkerhetsstandarder.

International Security Expo äger rum den 28 - 29 november i London Olympia. Det är den största brittiska säkerhetsmässan för nationell säkerhet och privata företagssektor. Den har internationella besökare från regeringskanslier, transportbranschen, tull- och brottsbekämpande myndigheter, försvarssektorn, räddningstjänst och cybersäkerhetsbranschen. Mässans seminarier, workshops och interaktiva evenemang tar upp många av världens stora utmaningar för medborgare, gränser och infrastruktur.

Läs mer om mässan: https://www.internationalsecurityexpo.com/

                  

Mässhallen London Olympia.                   SCEG:s montrar på mässan.