Transcript IT-säkerhet i system för elektronisk upphandling

Vägledning:
IT-säkerhet i system för
elektronisk upphandling
2013:1
Innehåll
Om vägledningen
2
1. Behov av säkerhet i upphandlingssystem
1.1 Upphandlingsprocessens säkerhetsbehov
1.2 Grundläggande säkerhetsbehov
1.3 Informationsklassificering
1.4 Riskanalys
1.5 Lagkrav
4
5
8
10
11
12
2. Dagens lösningar på säkerhetsbehoven
2.1 Kryptering för insynsskydd och sekretess
2.2 Elektronisk identifiering och autentisering
2.3 Behörighets- och åtkomstkontroll
2.4 Äkthet, undertecknande och förändringsskydd
2.5 Spårbarhet
2.6 Elektroniska upphandlingssystem som tjänst
2.7 Ledningssystem och revision
16
16
18
22
24
27
28
28
3. Checklista att tänka på och frågor att ställa
30
4. Framtiden – vad är på gång
33
5. Referenser och mer att läsa
35
2
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
Om vägledningen
Bakgrund och syfte
Vägledningen om IT-säkerhet har som syfte att förklara de
komplexa frågeställningarna kring säkerhetsfunktionerna även
för en målgrupp med begränsade förkunskaper i frågor om ITsäkerhet. Dock förutsätts läsaren vara bekant med de krav på
säkerhet och sekretess som ställs i upphandlingslagarna och i
lagen om offentlighet och sekretess. IT-säkerheten behandlas med
särskild inriktning på säker kommunikation, identifiering,
autentisering, användning av e-signaturer, spårbarhet,
konfidentialitet m.m.
Omfattning och målgrupp
Målgrupp för denna vägledning är upphandlande myndigheter
som har ett behov av att sätta sig in i begrepp, krav, risker,
funktioner och standarder som berör IT-säkerhet i upphandlingssystem.
För att underlätta läsningen används i fortsättningen begreppet
myndigheter för alla typer av upphandlande myndigheter och
enheter. Begreppet leverantör av upphandlingssystem omfattar i
tillämpliga delar även leverantörer av annonsdatabaser.
Innehåll och disposition
Vägledningen behandlar först behoven, kraven och riskerna som
leder till att IT-säkerhetsfunktioner behövs. Därefter beskrivs de
mekanismer, standarder och tekniker som står till buds för att
möta behoven.
Inriktningen är att vara praktisk och beskriva vad som faktiskt
används i dagens system och vad som är rimligt att förvänta sig
av systemen.
Vägledningen utgår från de förhållanden som råder hösten 2012.
Mycket i regelverken som styr upphandling och säkerhetsfunktioner är under förändring och ett nytt system för försörjning med
elektroniska legitimationer och elektroniska underskrifter är
under införande. Vägledningen kommer att uppdateras allt
eftersom nya förutsättningar finns för handen.
I ett avslutande avsnitt beskrivs kortfattat vad som är på gång.
Det handlar bland annat om nya EU-direktiv och förordningar,
internationella projekt och svenska initiativ.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Flera av de leverantörer som erbjuder system som hanterar
upphandlings-processen och som riktar sig till offentlig sektor har
varit rådgivare för denna vägledning. Till dessa riktas ett varmt
tack!
Avgränsning
Säkerhetsfunktioner som normalt beaktas i IT-system och
webbtjänster behandlas inte i detalj, vägledningen fokuserar på
de krav som är specifika för upphandlingssystem.
Vägledningen behandlar inte situationer med säkerhetsskyddade
upphandlingar. Denna vägledning utgör ett komplement och en
fördjupning till vägledningen Att införa elektronisk upphandling
som Upphandlingsstödet publicerade hösten 2012.
3
4
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
1. Behov av säkerhet i
upphandlingssystem
Denna vägledning handlar om behoven av IT-säkerhet i upphandlingssystemen och vilka lösningar och funktioner som finns
tillgängliga. Vad är det då som krävs i säkerhetsväg – och varför?
Frågan om varför har flera svar. Ibland måste det finnas skydd
därför att det finns krav i lagar och förordningar. I andra fall är
det myndighetens egna behov som ger upphov till krav. I det
senare fallet kan och bör myndigheten göra en bedömning av
vilka risker som finns och som myndigheten behöver – eller
kanske inte behöver – skydda sig emot.
De starka säkerhetskraven när det gäller upphandling har sin
grund i att det är stora ekonomiska värden som står på spel. Att
få eller inte få ett avtal med någon offentlig aktör kan innebära
att vinna eller försvinna för ett företag på en marknad. Den
kommersiella sekretessen är viktig och är särskilt reglerad i både
upphandlingslagstiftningen och sekretesslagstiftningen.
Upphandlingssystem levereras vanligtvis som en s.k. molntjänst
där informationen lagras och systemet driftas hos leverantören av
tjänsten, ibland med hjälp av en driftleverantör. En sådan tjänst
kallas ofta för en upphandlingsplattform. Varje myndighet som
genom en upphandling valt en viss leverantör tilldelas en skyddad
plats på leverantörens plattform. Det är mot denna som såväl
upphandlare som anbudsgivare arbetar via ett webbgränssnitt
under upphandlingsprocessen. Vissa upphandlingssystemleverantörer tillhandahåller också fristående annonsdatabaser.
Annonserna innehåller en länk till aktuell upphandlingsplattform
som ger den intresserade anbudsgivaren tillgång till
förfrågningsunderlaget.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Anbudsgivaren lämnar sitt anbud via webbgränssnittet och det
blir åtkomligt för myndigheten vid öppningstidpunkten.
Säkerhetsbehoven uppstår därmed för datakommunikationen
över internet och för informationen som lagras i
upphandlingssystemet.
I vägledningen hänvisas till upphandlingslagstiftningen och
sekretesslagstiftningen. Därmed avses:
Lagen (2007:1091) om offentlig upphandling (LOU)
Lagen (2007:1092) om upphandling inom områdena vatten, energi, transporter
och posttjänster (LUF)
Lagen (2008:962) om valfrihetssystem (LOV)
Lagen om offentlighets och sekretesslagen (2009:400) Sekretess vid
upphandling 19 kap. 3 §
1.1 Upphandlingsprocessens säkerhetsbehov
Nedanstående sammanställning visar översiktligt hur säkerhetsbehoven växlar i stegen i upphandlingsprocessen. I följande
avsnitt beskrivs respektive säkerhetsbegrepp och därefter följer
avsnitt med säkerhetsmekanismer och metoder och hur de löses i
praktiken.
Framställningen utgår ifrån att elektronisk överföring används
men det är inte en förutsättning att all hantering sker i ett
webbaserat upphandlingssystem med fullständiga upphandlingsfunktioner. Elektronisk upphandling kan även innebära att
förfrågningsunderlaget laddas ner som en fil och att frågor och
anbud begärs in via överföring av filer med e-post. Även e-post
kan betraktas som elektronisk inlämning eller elektroniska
meddelanden och i denna vägledning redovisade krav och metoder
är tillämpliga även i ett sådant fall.
Tabellen nedan går igenom stegen i en generell upphandlingsprocess och pekar på när man kan behöva tänka igenom vilka
säkerhetsfunktioner som behövs. Alla behov är dock inte lika
viktiga eller nödvändiga, tabellen tar upp aspekter som kan vara
värda att tänka igenom.
5
6
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
»
BEHO V AV SÄKERHETSFU NKTIONER I EN GENERELL
UPPHANDLINGSPROCESS
Processteg i en upphandling, exempel
Annonsering
Säkerhetsfunktioner som kan behövas
I detta skede finns få krav på
säkerhetsfunktioner. Vad som möjligen skulle
vara bra att uppnå:
Identifiering av myndigheten.
Identifiering av webbplatsen.
Annonssystemets webbplats – är det rätt?
Förvanskningsskydd av annonsen.
Tidpunkt för annonsering.
Hämta handlingar, t.ex. förfrågningsunderlag
Insynsskydd för uppgift om vilka som har
hämtat förfrågningsunderlag.
Identifiering av vilka som hämtat
förfrågningsunderlaget behövs inte av
säkerhetsskäl. Däremot är det bra för att
kunna garantera att ändringar når alla som
laddat ner förfrågningsunderlaget.
Inlämnande av anbud före öppning
Insynsskydd gentemot övriga anbudsgivare.
Insynsskydd gentemot myndigheten före
öppning.
Identifiering av myndigheten.
Åtkomstskydd gentemot upphandlare.
Tidpunkt för inlämning.
Tillgänglighet i systemet.
Bevis på vad som är inlämnat.
Undertecknat anbud.
Frågor och svar och begäran om komplettering
Insynsskydd för anbudsgivarspecifik
information.
Identifiering av frågeställare och vem som
svarat.
Förvanskningsskydd.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
»
FORTS. BEHO V AV SÄKERHETSFU NKTIONER I EN GENERELL
UPPHANDLINGSPROCESS
Processteg i en upphandling, exempel
Öppning av anbud
Säkerhetsfunktioner som kan behövas
Undertecknande av de som deltagit i
anbudsöppningen. öppningsprotokoll.
Bevis på öppningsförfarande.
Förändringsskydd för anbudsgivare.
Insynsskydd för obehöriga hos upphandlare.
Tidpunkt för öppnande.
Utvärdering
Behörighet hos utvärderingsgrupp hos
myndighet.
Insynsskydd för allt upphandlingsmaterial.
Tilldelningsbeslut
Behörighet hos beslutsfattare på
myndigheten.
Identifiering av upphandlare.
Identifiering av anbudsgivare.
Kontraktsskrivning
Behörighet hos undertecknare hos leverantör.
Undertecknande
Hela processen
Insynsskydd för obehöriga.
Spårbarhet – vem har gjort vad, och när.
Fysisk säkerhet.
Personal hos anbudsgivare, upphandlare,
upphandlingssystem, driftleverantör,
kundtjänst.
Tillgänglighet, att systemet har tillräcklig
kapacitet, även vid kritiska tidpunkter, t.ex. vid
inlämningstidpunkten.
7
8
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
1.2 Grundläggande säkerhetsbehov
Detta avsnitt definierar kortfattat de begrepp som uttrycker
säkerhetsbehoven. Hur dessa funktioner uppnås diskuteras i
kommande avsnitt.
INSYNSSKYDD OCH SEKRETESS VID DATAÖVERFÖRING OCH LAGRING
Upphandlingsslagstiftningen och Offentlighets och sekretesslagen
ställer krav på absolut sekretess i offentlig upphandling. Insynsskyddet, att information endast är åtkomligt för den som är
behörig är en förutsättning för att kraven på sekretess ska kunna
uppnås.
Insynsskydd vid dataöverföring
När det gäller data som ska överföras i datanät består insynsskyddet i allmänhet av kryptering. Dataöverföringen sker dels i
kommunikationen över Internet med ett upphandlingssystem,
dels i e-post om överföring av anbud och meddelanden sker med epost. För att rätt personer ska få tillgång till insynsskyddat data
måste metoden kombineras med behörighetssystem och
autentisering av de elektroniska identiteterna.
Insynsskydd vid lagring
Även lagringen i upphandlingssystem och e-postsystem är i behov
av insynsskydd och det krävs behörighet för att få åtkomst.
IDENTIFIERING OCH AUTENTISERING AV PERSONER OCH FÖRETAG
För att kunna upprätthålla sekretessen och övriga säkerhetsfunktioner i elektroniska system måste det gå att identifiera
användarna. Den person som vill ha tillgång till skyddad
information måste identifiera sig. Systemet som är skyddat måste
autentisera personen, dvs. verifiera identifieringen – är den
elektroniska identiteten verkligen kopplad till den person som den
utger sig för är frågan som ställs vid autentisering. När det gäller
elektroniska system är det alltid personens elektroniska identitet
som kan verifieras och säkerheten bygger på tilltro till den
elektroniska identiteten och att den innehas av rätt person.
Elektronisk identitet kan t.ex. vara användarnamn och lösenord,
ibland kombinerat med engångslösenord eller en certifikatbaserad
identitet, t.ex. e-legitimation.
Identifiering av företag, myndighet och datorsystemen är också
aktuellt.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
BEHÖRIGHET
Begreppet behörighet är aktuellt i flera sammanhang i upphandlingsprocessen. Det handlar om vem i de olika upphandlingsmomenten som är behörig att ta del av skyddad information. Det
handlar också om vem som är behörig att lämna anbud eller
skriva under avtal.
Behörighet att lämna anbud och teckna kontrakt
Det är ingen skillnad på behörighetskraven vid elektronisk
upphandling och vid den traditionella inlämningen på papper.
Upphandlingslagstiftningen ställer inga höga krav på vem som
lämnar ett anbud, det måste t.ex. inte vara underskrivet. Myndigheten har dock möjlighet att ställa krav på att det är behörig
person som lämnar anbudet, och krav på underskrifter vid
anbudsinlämning. När anbud lämnas in på papper är det mycket
vanligt att myndigheten ställer krav på underskrift. När anbud
lämnas in elektroniskt kan de bindas till inlämnande företag
genom IP-adressen. Myndigheten bör göra en riskbedömning av
vilket behov som finns av att också säkerställa identitet och
behörighet hos den person som sänder in anbudet.
Kontrakt ska vara undertecknade av behörig företrädare för
företaget respektive myndigheten.
Den som företräder ett företag ska ha behörighet att göra detta.
Firmatecknare är alltid behöriga företrädare, för övriga krävs
fullmakt. Ett problem kan ibland vara att en person är behörig i
fel bolag i en koncern, inte i det bolag som faktiskt t.ex. lämnar
anbudet.
Behörighet att få tillgång till insynsskyddad information
Den som ska få tillgång till insynsskyddad information måste
vara behörig för detta. I upphandlingssystemen är behörighetskontrollen och behörighetsregister en mycket viktig funktion.
Behörighetssystemet kontrollerar den elektroniska identiteten,
t.ex. användarnamn och lösenord eller e-legitimation, och avgör
om den tillhör en behörig person.
I en upphandling växlar behörighetskraven och kraven på
sekretess under processen. Innan anbudstiden har gått ut är
anbudslämnande företag behöriga att ändra i sitt anbud, medan
konkurrerande företag och den upphandlande myndigheten inte
ska ha insyn i anbudet. När anbudstiden gått ut ska de som
arbetar med utvärderingen ha insyn i materialet, men ingen
annan i upphandlarens organisation och heller inga
konkurrerande anbudsgivare.
9
10
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
ÄKTHET, UNDERTECKNANDE OCH FÖRÄNDRINGSSKYDD
Det anbud som är inlämnat när anbudstiden har gått ut är det
som gäller och får inte förändras. Förvanskningsskydd eller
förändringsskydd är därför en viktig säkerhetsfunktion.
Anbudsgivaren får inte i efterhand ändra uppgifter och den
upphandlande myndigheten får heller inte i sin utvärdering av
misstag förändra värden eller andra uppgifter i det inlämnade
materialet. Inte heller ska förändringar kunna uppstå under
överföring av data mellan och inom systemen.
Ett bra förvanskningsskydd ger också grund för att parterna vid
en tvist ska kunna visa vad som faktiskt gällde – t.ex. vad som
stod i anbudet.
Anbud måste inte vara undertecknade även om upphandlande
myndighet kan ställa det kravet och ofta gör det också. Upphandlingskontrakt ska alltid vara undertecknade. Det är vanligt
att kontrakt skrivs under fysiskt, på papper men kontrakt och
anbud kan också undertecknas elektroniskt.
Öppningsprotokoll ska undertecknas samtidigt av två personer
som båda närvarat vid anbudsöppningen.
SPÅRBARHET
I eventuella konflikter under eller efter en upphandling kan det
finnas behov av bevis, t.ex. på vad som ingick i inlämnat anbud,
tidpunkt för inlämnande, hur öppningsförfarandet gick till eller
att sekretessen har upprätthållits.
Tid är ett väsentligt begrepp i upphandlingssammanhang. De
hårda kraven på att anbud ska lämnas in i tid ställer krav på
upphandlingssystemets klocka och även på upphandlingssystemets kapacitet. Tidsuppgifter kan också utgöra bevis om
sådana skulle behövas.
1.3 Informationsklassificering
Informationsklassificering rekommenderas ofta när säkerhet i
informations- och it-system diskuteras. När det gäller
upphandlingar är informationsklassningen tämligen given av
regelverket.
Det är viktigt att upphandlingssystemen tillåter informationsklassning av information som t.ex. offentlig, arbetsmaterial eller
begärd kommersiell sekretess även efter tilldelningsbeslut.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
1.4 Riskanalys
Skydden som krävs för informationen i ett datassystem ska vägas
mot vilka hot och risker som är inblandade, sannolikheten för att
en oönskad händelse ska inträffa och konsekvenserna av denna
händelse. Det gäller även vid användning av elektronisk upphandling. Det är den upphandlande myndigheten som måste ta
ställning till vilka hot och risker som kan uppstå. Risker handlar i
detta sammanhang om sannolikhet och konsekvens när det gäller
förlust av konfidentialitet, riktighet, tillgänglighet, oavvislighet,
ansvarsskyldighet, äkthet eller tillförlitlighet.
Tänk igenom riskerna
Frågor som bör ställas är t.ex.




Vad står på spel – är det stora värden?
Vilka erfarenheter finns?
Vad händer om en oönskad händelse inträffar, vilka
konsekvenser blir det?
Vilken sannolikhet är det att en oönskad händelse
inträffar?
Skydd bör stå i proportion till risker
Skydd i form av åtgärder för att förhindra oönskade händelser bör
stå i proportion till risken, dvs. den oönskade händelsens
konsekvens och sannolikhet. För myndigheten kan det handla om
upphandlingens storlek, upphandlingens påverkan på den
aktuella marknaden – kan t.ex. ett visst resultat slå ut en
leverantör från marknaden?
Tänkbara hot
Hot som kan förorsaka stora risker kan t.ex. finnas på grund av




Organiserad brottslighet
Missnöjda anställda
Konkurrenter, industrispionage
Bristande kunskap om informationssäkerhet
Alla som har, eller skaffar sig kontakt med systemet såsom
användare hos myndighet och anbudsgivare, personal hos
upphandlingssystemet eller annonsdatabas, ibland med
priviligierade rättigheter, support, driftpersonal och naturligtvis
hackers kan utgöra en risk.
I standarden för ledningssystem för informationssäkerhet, ISO
27000 behandlas frågan om risk i en egen standarddel, 27005. I
denna standarddel finns även en bra lista över hot och
sårbarheter att analysera.
11
12
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
Ta ställning till riskbedömning
När myndigheten tar ställning till på vilket sätt upphandlingen
ska genomföras är det viktigt att ta hänsyn till riskbedömningen.
Säkerhetskraven kan variera beroende på den bedömda risken.
Med en låg risk kan det vara acceptabelt att t.ex. begära in
avropssvar i förnyad konkurrensutsättning på ett ramavtal med
e-post, medan en stor upphandling där mycket stora värden står
på spel ställer högre krav på informationssäkerheten.
1.5 Lagkrav
Den som arbetat länge med offentlig upphandling har i allmänhet
lagkraven klart för sig. För fullständighet summeras i nedanstående stycke de lagkrav som är relevanta för säkerheten när
upphandling görs elektroniskt.
UPPHANDLINGSSLAGARNA
I upphandlingslagarna, LOU, LUF, LUFS och LOV finns regler
om hur kommunikationen i en upphandling får gå till.
Till exempel sägs i LOU följande:
Lag om offentlig upphandling
9 kap. Kommunikation, information och dokumentation
1 § Anbudsansökningar och anbud ska lämnas skriftligen om inte något annat
följer av tredje stycket.
En upphandlande myndighet får bestämma att anbudsansökningar och anbud
ska lämnas med ett elektroniskt medel eller på något annat sätt.
Myndigheten får tillåta att en anbudsansökan görs per telefon.
Myndigheten ska i en annons ange hur anbudsansökningar får lämnas och i
en annons eller ett förfrågningsunderlag ange hur anbud får lämnas. Lag
(2010:571).
2 § Vid kommunikation med elektroniska medel skall dessa vara ickediskriminerande, allmänt tillgängliga och möjliga att använda tillsammans med
sådan maskin- och programvara som i allmänhet används.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
3 § Information om de specifikationer som är nödvändiga för elektronisk
inlämning av anbudsansökningar och anbud, inbegripet kryptering, skall finnas
tillgänglig för alla berörda parter.
En upphandlande myndighet får kräva att elektroniska anbud skall vara
försedda med en avancerad elektronisk signatur enligt lagen (2000:832) om
kvalificerade elektroniska signaturer.
En upphandlande myndighet skall ha sådan utrustning att den elektroniskt
kan ta emot anbudsansökningar, anbud, ritningar och planer på ett säkert sätt.
Utrustningen skall vara försedd med sådana säkerhetsanordningar att vissa
uppgifter går att få fram, att bara behöriga personer skall få tillgång till
uppgifterna och att det skall gå att spåra om någon obehörig har tagit del av
uppgifterna.
Regeringen meddelar närmare föreskrifter om säkerhetsanordningarna.
…
Uppgifter från leverantörer skall bevaras säkert
6 § Kommunikation, informationsutbyte och lagrade uppgifter som rör ett
upphandlingsärende skall bevaras säkert.
Öppnande av anbud
7 § Den upphandlande myndigheten får inte ta del av innehållet i
anbudsansökningarna och anbuden förrän tidsfristen för att komma in med
anbudsansökan respektive anbud har gått ut.
Försändelser med anbud skall, samtidigt och så snart som möjligt efter
anbudstidens utgång, öppnas vid en förrättning där minst två personer som
utsetts av den upphandlande myndigheten skall delta. Anbuden skall föras upp i
en förteckning, som skall bestyrkas av dem som deltar i förrättningen. På
begäran av en anbudsgivare skall dessutom en av en handelskammare utsedd
person närvara. Kostnaderna för detta skall betalas av den som framställt
begäran.
…
13
14
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
OFFENTLIGHET OCH SEKRETESS
Den viktigaste anledningen till att hålla anbuden hemliga är den
kommersiella sekretessen. Myndighetens möjligheter att göra en
bra affär och rättvisa villkor för anbudsgivarna kräver att all
information under en pågående upphandling hålls hemliga med
insynsskydd och behörighetskontroller.
Kravet på sekretess i upphandling är formulerat i Offentlighetsoch sekretesslagen där upphandling specifikt är beskrivet:
Offentlighets- och sekretesslag
19 kap
3 § andra stycket
Om ett ärende enligt första stycket rör upphandling, får uppgift som rör anbud
eller som rör motsvarande erbjudande inom en kommun, ett landsting eller en
myndighet eller mellan statliga myndigheter inte i något fall lämnas till någon
annan än den som har lämnat anbudet eller erbjudandet förrän alla anbud eller
erbjudanden offentliggörs eller beslut om leverantör och anbud fattats eller
ärendet dessförinnan har slutförts.
…
INTERNATIONELLA ASPEKTER
När anbud kommer från andra länder måste säkerhetsfunktionerna i systemet fungera även för dessa anbudsgivare.
Metoder för identifiering, verifiering av identitet och behörighetskontroller samt elektroniska underskrifter behöver vara anpassade för anbudsgivare från andra länder, i första hand EU-länder.
I dagens system är detta inte alltid möjligt.
EU är en viktig kravställare på metoder för gränsöverskridande
upphandling, elektronisk identifiering och elektroniska signaturer
för att kunna uppnå den inre marknaden. Svenska myndigheter
måste kunna godkänna anbud från andra EU-länder.
Ett intensivt arbete pågår inom EU för att skapa förutsättningar
för elektronisk upphandling över gränserna. Arbetet ska leda till
fungerande kommunikation, med gemensamma standarder och
till att det blir enklare men även effektivare för både leverantörer
och myndigheter med e-upphandling. Ännu är standardiserade
metoder inte färdigutvecklade, men ett arbete pågår inom det
europeiska standardiseringsorganet CEN inom workshopen
CEN/BII. Det är viktigt att myndigheter i sitt förfrågningsunderlag visar hur anbud från andra länder kan lämnas.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
EU-kommissionen har tillsatt en expertgrupp, e-TEG, som har
tagit fram ett första utkast till en rapport med rekommendationer
för hur e-upphandlingsplattformar bör vara utformade för att
underlätta för såväl leverantörer som myndigheter. Rekommendationer ges även kring vad som behöver göras för att främja
införandet av e-upphandling generellt. En studie har vidare
genomförts i syfte att visa god praxis på e-upphandling i EU. Av
300 plattformar har 28 valts ut och i den s.k. Golden Book
beskrivs den funktionalitet som finns idag.
15
16
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
2. Dagens lösningar på
säkerhetsbehoven
Nedanstående avsnitt behandlar de metoder som står till buds för
att uppfylla säkerhetsbehoven. Avsnittet är en översikt över de
metoder som är vanliga eller tillgängliga idag.
2.1 Kryptering för insynsskydd och sekretess
Grunden för att åstadkomma insynsskydd i datakommunikation
är att använda kryptering. Omvandling av data med krypteringsnyckar och kontroll av vilka som har tillgång till dessa nycklar för
att tolka krypterat data är den mekanism som används. Någon
metod för elektronisk identifiering måste alltid finnas när det
handlar om uppgifter med insynsskydd och behörighetskontroller,
så att den som är behörig kan få insyn.
Kryptering förekommer för skydd av data både under överföring i
datanät och ibland även vid lagring i systemen.
KRYPTERAD ÖVERFÖRING MED SSL OCH VPN
Den vanligaste metoden för krypterad överföring över internet är
med SSL (Secure Socklets Layer). När webbsidor är krypterade
används protokollet https, som i sin tur använder säkerheten i
SSL. När webbsidor är krypterade med https detta ser man i
webbadressfältet i webbläsaren. SLL-protokollet garanterar då att
det är rätt webbplats man kommunicerar med och att
kommunikationen är insynsskyddad.
Myndigheter som använder elektroniska upphandlingssystem ska
kontrollera att kommunikationen använder SSL och att det är
tillräckligt långa nyckar som används. När systemet används
första gången är det viktigt att kontrollera att det är den avsedda
webbplatsen som godkänns för kommunikation.
Krypterad överföring är också tekniken som används för VPN,
virtuellt privat nät.
Hur bra, dvs. hur svår krypteringen är att knäcka beror bland
annat på hur långa krypteringsnycklar som används. T.ex.
används krypteringsnycklar på 128 eller 256 bitar i SLLprotokollet. Det går att använda SSL helt utan kryptering det är
emellertid inte acceptabelt för ett upphandlingssystem.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Olika krypteringsmetoder använder olika nyckellängder, därför är t.ex. 128 bitar
eller 256 bitar betraktade som tillräckligt starkt skydd för SLL-protokollet,
medan andra krypteringtekniker kanske för samma säkerhet behöver 1024
bitar eller mer.
SKYDDAD LAGRING
Den information som lagras i upphandlingssystemen måste också
skyddas från obehörig insyn under hela processen och noga hålla
olika myndigheters och anbudsgivares data åtskilda.
För att insynsskydd för lagrat data i systemen ska fungera är det
väldigt viktigt att hålla isär olika anslutna myndigheters kunder
och olika anbudsgivares åtkomst till informationen.
IP-separering, att hålla kunder med olika IP-adresser åtskilda är
en metod som bidrar till sekretessen. Separata databaser för de
olika kunderna är också en metod som ger bra insynsskydd.
E-POST
Filer som sänds med e-post är normalt inte skyddade med
kryptering och är därmed inte säkra. I praktiken är intrång och
avslöjanden via e-post inte vanliga men trafiken är inte skyddad
mot medvetna illvilliga intrång.
Vid överföring med e-post kan e-postmeddelandet överföras
krypterat men det går också att kryptera t.ex. en bilaga. Det finns
funktioner för krypterad e-post. Dessa kräver administration av
krypteringsnycklar och är inte vanligt förekommande.
GÖR RISKBEDÖMNING OM E-POST ANVÄNDS
Myndigheter som tar emot anbud med e-post behöver därför göra
en riskbedömning, alternativt arbeta med att införa krypterad epost.
Det är lämpligt att använda en separat e-postadress för
mottagning av frågor och anbud, inte upphandlarens vanliga epostadress. Den e-postadress som används för mottagning av
anbudet bör gå att låsa så att inte anbuden kan öppnas i förtid.
17
18
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
2.2 Elektronisk identifiering och autentisering
IDENTIFIERING AV PERSONER
En grundläggande funktion när det gäller säkerheten är att
upphandlingssystemet kan verifiera identiteten hos den som
loggar in i tjänsten. Utan att känna till identiteten går det inte att
avgöra vem som är behörig att få tillgång till insynsskyddade
uppgifter. Elektronisk identifiering används vid inloggning till
den elektroniska upphandlingstjänsten. Den som loggar in i
tjänsten identifierar sig och tjänsten verifierar att det är rätt
person – autentiserar personen, validerar dess identitet.
Utfärdare av elektronisk identitet står för koppling till
personen
En elektronisk identitet utfärdas av någon som etablerar
sambandet mellan personen och den elektroniska identitetsuppgiften. Förtroendet för kopplingen mellan personen och den
elektroniska identiteten är avgörande för all elektronisk
kommunikation med säkerhetskrav.
Olika typer av elektroniska identiteter
En elektronisk identitet kan vara av flera slag, t.ex.




användarnamn och lösenord
två-faktorautentisering, t.ex. engångslösenord,
lösenordsdosa m.m.
certifikatbaserad autentisering
Säkerheten i systemen för autentisering av personer bygger dels
på den tekniska säkerheten i skydd av nycklar och lösenord, dels
på kvaliteten i den identitetskontroll som sker när den
elektroniska identiteten skapas.
Användarnamn och lösenord
Användarnamn och lösenord är det vanligaste sättet att
identifiera sig i systemen för upphandling och etableras när en
användare registrerar sig i systemet. I det enklaste fallet kan det
vara personen själv som skapar användarnamn och lösenord, i
detta fall visar användarnamn och lösenord framförallt att det är
samma person som loggar in från gång till gång. De allra flesta
användare av elektronisk upphandling anser idag att användarnamn och lösenord ger ett tillfredställande skydd av kommunikation och tillgång till lagrade uppgifter. Även här är det lämpligt
att myndigheten gör en riskbedömning i varje enskild
upphandling.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Lösenord måste ha en viss komplexitet för att inte alltför lätt
kunna knäckas. I vissa system kan myndigheten som upphandlar
välja vilka krav som ska ställas på lösenorden. Ett exempel på
kravnivå som är vanlig är att lösenordet bör vara minst 8 tecken
och innehålla minst tre av versaler, gemener, specialtecken och
siffror. Kraven på lösenord ökar allteftersom systemen för att
knäcka lösenord blir kraftfullare.
Lösenord ska inte lagras i klartext i leverantörens system, bäst är
om endast checksumman av lösenordet lagras.
Tekniska metoder med högre säkerhet
Metoder med högre säkerhet använder tekniska lösningar som
bygger på krypteringsmetoder eller två-faktorautentisering, dvs.
den som identifierar sig ska både presentera något man har och
något man vet, t.ex. ett engångslösenord, lösenordsdosa eller
liknande.
Metoder som bygger på krypteringsmetoder och certifikat, t.ex. elegitimation, stark autentisering, knyter krypteringsnycklar till
en person på ett sätt som gör att det går att verifiera personens
identitet. Den fil som innehåller information om personen med
identitetsuppgifter tillsammans med krypteringsnyckeln kallas
för certifikat, den är låst och kan inte förändras. När krypteringsnyckeln används får mottagaren veta vem som utförde kryptering
eller signering.
Låsningen och kopplingen mellan krypteringsnyckeln och
personens identitet görs av certifikatutfärdaren som noga
kontrollerar identitet och skapar certifikatet. Tekniken med
öppna och hemliga nycklar, PKI, public key infrastructure,
beskrivs inte i detalj i denna skrift.
Kvalitet vid identitetskontroll
En elektronisk legitimation ska ge ungefär samma möjlighet att
verifiera en persons identitet som ett id-kort eller ett pass och
kraven på utfärdarnas metoder är jämförbara. För att få en elegitimation i Sverige krävs normalt att personen personligen
visar upp sig inför utfärdaren av e-legitimationen, t.ex.
legitimerar sig på ett bankkontor eller hämtar ut en
rekommenderad försändelse hos ett postombud.
19
20
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
Spärrkontroll – att elektroniska identiteter inte är spärrade
För att kunna lita på en elektronisk identitet som bygger på
certifikat bör den som tar emot den kontrollera dess giltighet
genom spärrkontroll för att försäkra sig om att certifikatet inte är
spärrat och därmed ogiltigt. Sådan spärrkontroll tillhandahålls av
certifikatutfärdaren eller av någon fristående tjänst. En sådan
finns bland annat hos en del av leverantörerna av eförvaltningsstödjande tjänster (EFST 2010).
Upphandlingssystem i egna intranätet och Single SignOn
När upphandlingssystemet används inom ett eget nät, ett
intranät, hos myndigheten finns möjlighet att använda Single
SignOn. Det betyder att samma inloggningsförfarande kan
användas för att ge tillgång till flera olika tillämpningar på
myndigheten. Single SignOn minskar administration av
användare för systemen samtidigt som användarna får färre
inloggningsmetoder att hålla reda på. Koppling till närliggande
system, t.ex. för beställningar kan göras genom att samma
inloggning fungerar i båda systemen med Single SignOn.
Enkel administration och enkelt handhavande för användare ökar
systemets säkerhet – de innebär mindre risk för felaktigheter i
administration och hos användaren.
Elektroniska identiteter som är tillgängliga i Sverige
Nedan följer några exempel på möjliga metoder för inloggning
som finns och används i Sverige för identifiering av personer.
Metoderna används bland annat av e-förvaltningsstödjande
tjänster men förteckningen är relevant även för
upphandlingssystem. Vissa av metoderna fungerar bara inom
Sverige, andra, t.ex. STORK-legitimation, går att använda över
gränser.






E-legitimation
SITHS, tjänstelegitimation inom vårdsektorn
Sterias tjänstecertifikat
STORK-legitimation dvs. europeiska medborgare
Användaridentitet och lösenord
Engångslösenord via e-post eller sms
E-legitimationsnämnden arbetar för närvarande med utformning
och regelverk för kommande Svensk e-legitimation som kommer
att komplettera och ersätta dagens e-legitimationer, planerat från
sommaren 2013.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
IDENTIFIERING AV FÖRETAG
En kontroll av vilket företag som lämnar anbud görs normalt inte,
det vanliga är att företagen får uppge sitt organisationsnummer.
Det finns inga kända exempel i Sverige på att någon har lämnat
anbud i annans namn.
E-legitimationer, tjänstelegitimationer, lösenord med mera
identifierar en person. Ibland finns det önskemål om att kunna
identifiera ett företag elektroniskt. Mekanismer och tjänster för
detta är inte lika välutvecklade ännu.
Ett sätt att identifiera ett företag är att identifiera dess webbadress. Protokollet för insynsskydd på Internet, SSL, kräver att
servern har ett SSL-certifikat. Detta ger en säkrad koppling
mellan företaget eller myndigheten, dess webbadress och dess
webbplats och utgör på så vis en slags företagsidentifiering. SHSprotokollet som används av svenska myndigheter har på liknande
sätt certifikat som identifierar myndigheten och dess server.
Organisationscertifikat, elektroniska stämplar eller sigill, dvs.
signaturer som utförs av organisationer snarare än personer, har
ännu inte fått någon bred tillämpning.
Kommunikationen kan konfigureras så att endast tillåtna
användares ip-adresser accepteras när upphandlingstjänsten
anropas. På så vis kan upphandlande myndighets användare,
anbudsgivare och upphandlingssystemet lita på att de har rätt
kommunikationspartner.
21
22
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
Federationer för elektronisk identifiering
Federationer är grupper av användare, utfärdare och valideringstjänster för
elektroniska identiteter som bestämt sig för att ha förtroende för varandra. Det
finns ett regelverk som de som ingår i federationen ska hålla sig till. En
federationstjänst accepterar en elektronisk identitet från någon av de anslutna
utfärdarna och utfärdar ett intyg enligt ett standardiserat format. Intyget
används som elektronisk identifiering hos den tjänst som begärt intyget av
federationstjänsten. Fördelen med federationer är att det för användarna blir
ett standardiserat sätt att hantera identiteten som är styrt av federationens
regelverk.
Några exempel på federationstjänster:
 E-legitimationsnämnden kommer att etablera en federationstjänst för
svensk offentlig sektor, där utfärdarna av e-legitimationer är anslutna.
 Peppol är ett EU-projektet för elektronisk offentlig upphandling har
etablerat en federationstjänst för validering av certifikat för
upphandlingsändamål inom EU.
 Stork är ett EU-projekt som byggt upp europeiskt godkännande av
nationella elektroniska identiteter och etablerat en federationstjänst
inom EU.
2.3 Behörighets- och åtkomstkontroll
BEHÖRIGHET ATT LÄMNA ANBUD OCH TECKNA AVTAL
Bolagsverket har uppgifter om vem eller vilka som är
firmatecknare för aktiebolag, kommanditbolag, handelsbolag samt
ekonomiska föreningar.
Ur säkerhetssynpunkt finns det inget skäl att kräva registrering
och lösenord av användarna för tillgång till uppgifter som ska
vara öppna för alla, t.ex. förfrågningsunderlag. Däremot kan det
av vara bra för intresserade anbudsgivare att vara registrerade
och därmed kunna bli uppdaterade på förändringar i
förfrågningsunderlag.
Företaget ChamberSign erbjuder elektroniska signaturer på
svensk marknad och håller ett rättighetsregister över behöriga
företrädare för företag, med koppling till Bolagsverket och en egen
databas med fullmakter.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
BEHÖRIGHET ATT FÅ TILLGÅNG TILL INSYNSSKYDDAD INFORMATION
För att insynsskydd ska fungera krävs bra system för åtkomstkontroll och behörighetshantering. Detta är väsentliga funktioner
i upphandlingssystemen. Kraven i upphandling är stora och
behörighets- och insynsskyddskraven växlar under processen.
Före anbudstidens utgång ska inte myndigheten ha tillgång till
anbuden. Anbudsgivare ska aldrig ha tillgång till varandras
uppgifter under pågående upphandling dvs. innan tilldelningsbeslut fattats
Behörighetskontroll av användare görs i ett behörighetskontrollsystem, ett sådant finns alltid i upphandlingssystemen. Behörighetskontrollsystemet styr utifrån användarens autentiserade
elektroniska identitet vad denne får göra, t.ex. få tillgång till
skyddad information eller programvara. Behörigheten för
anbudsgivare sätts när denne registrerar sig.
Behörigheten för personalen som arbetar med utvärderingen
måste styras av upphandlingssystemet. Det är bra om
användarna kan tilldelas olika roller som kan ha skiftande
behörigheter. Vissa kanske enbart behöver behörighet att läsa,
och kanske bara vissa dokument.
Exempel på krav på behörighetsfunktioner
Krav på behörighetsfunktioner i upphandlingssystemet1 kan vara:
 att behörigheter kan tilldelas användare utifrån olika
funktioner eller roller såsom upphandlare,
systemadministratör, referensgruppsmedlem,
beslutsfattare/attestant etc.
 att behörighet kan tilldelas användare för vissa ärenden
eller upphandlingar
 att behörighet kan tilldelas användare utifrån olika nivåer,
t.ex. skriva, läsa, attestera eller besluta.
Behörigheter, insynsskydd och säkerhetsmedvetandet att man
ibland hanterar hemliga uppgifter behövs även för personer hos
lsystemleverantören och dennes driftleverantör och kundtjänst.
1
Från Vägledning: Att införa elektronisk upphandling, Kammarkollegiet 2012:2
23
24
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
2.4 Äkthet, undertecknande och förändringsskydd
En väsentlig säkerhetsfunktion, förutom insynsskyddet, är att
informationen kommer ifrån den person som mottagaren tror och
att innehållet inte är förvanskat eller förändrat utan har behållit
sin integritet. Vidare förväntas ibland att dokumentet är underskrivet med en elektronisk signatur. Nedan beskrivs hur tekniken
med checksummor och elektroniska signaturer används för att
åstadkomma detta.
CHECKSUMMOR
Ett bra sätt att skapa möjlighet att upptäcka förändringar är att
se till att ha checksumma (hash) på all information.
Checksumma är resultatet av en beräkning av data i ett
dokument. Metoden är sådan att en förändring av data leder till
att beräkningen ger en annan checksumma. Det går inte att
återskapa data med kännedom om enbart checksumman och det
är i praktiken omöjligt att två olika datamängder ger samma
checksumma. Dessa egenskaper gör checksumma till en bra
metod för att upptäcka förändringar i ett dokument och kontroller
av checksumma blir ett skydd mot såväl avsiktliga som
oavsiktliga förändringar.
Checksummor används ofta för att kontrollera lösenord. Om
enbart checksumma och inte lösenordet självt finns i systemet
slipper man risken att lösenorden hamnar i orätta händer.
Checksummeskydd kan användas tillsammans med tämligen
manuella metoder, t.ex. kan man, separat från ett inlämnat
anbud, också skicka dess checksumma enligt en överenskommen
metod med andra kanaler såsom i e-post, med brev eller i fax.
När checksumman krypteras med en krypteringsnyckel som är
kopplad till en individ skapas en elektronisk signatur.
ELEKTRONISK SIGNATUR
Elektronisk signatur är ett bra sätt att åstadkomma förvanskningsskydd och spårbarhet. Elektroniska signaturer kan
vara ett enklare sätt att uppnå spårbarhet än att ha långtgående
krav på loggning.
En elektronisk signatur är en kod som kan fogas till en
elektronisk handling, t.ex. ett anbud, ett öppningsprotokoll eller
ett avtal. Tekniken gör det möjligt för mottagaren att verifiera
avsändarens elektroniska identitet och försäkra sig om att
innehållet i handlingen inte förvanskats på vägen.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Den elektroniska signaturen skapas med hjälp av krypteringsnycklar i en elektronisk identitetshandling, certifikat, som har
utfärdats av en betrodd utfärdare. Det som krypteras för att
skapa signaturen är normalt en checksumma beräknad på
handlingen, inte hela handlingens innehåll.
Checksumman gör att en förvanskning går att upptäcka,
certifikatutfärdaren garanterar kopplingen mellan certifikatet och
personen och mottagare av den elektroniska signaturen kan
vända sig till utfärdaren eller till en id-tjänst och kontrollera
certifikatets giltighet.
Elektroniska underskrifter i praktiken – det finns fortfarande
en tröskel
Elektroniska signaturer på anbud och kontrakt i upphandlingar
är krav i flera europeiska länder. I Sverige är det ännu så länge
inte särskilt vanligt. Det finns få utfärdare i Sverige av kvalificerade certifikat, vilket krävs i många EU-länder. Det är också
ganska ovanligt att upphandlingssystemen i praktiken använder
elektroniska signaturer, även om flera av systemen kan erbjuda
den möjligheten.
Elektronisk signatur kan användas såväl i upphandlingssystem
som på dokument som överförs på annat sätt, t.ex. med e-post. I
standardiseringsarbete inom EU finns rekommendationer på
format för signerade dokument i bland annat PDF- och XMLformat.
De myndigheter som använder elektroniskt underskrivna anbud
pekar på fördelarna att det är enkelt att få spårbarhet, att det är
bra för arkiven, det är enkelt att koppla data till en person.
Elektroniska signaturer på svensk marknad
En aktör på svensk marknad som erbjuder elektroniska
signaturer är ChamberSign. Flera leverantörer av upphandlingssystem använder sig av ChamberSigns tjänst. ChamberSign har
också ett register över behöriga företrädare för företag och
möjligheter att verifiera elektroniska identiteter och elektroniska
signaturer från andra länder. De erbjuder lagring hos Handelskammaren av signerade handlingar, en notariatstjänst, vilket kan
användas i bevissyfte. Användarna behöver ha någon form av
elektronisk identitet som godtas av ChamberSign, det finns flera
bland annat e-legitimation, Myndighets-CA, SITHS-certifikat och
vissa företags egna certifikatutfärdare. Man kan också via
ChamberSign skapa ett engångscertifikat.
E-legitimationsnämnden arbetar med en tjänst för att skapa
elektroniska signaturer för myndigheters e-tjänster baserade på
elektroniska identiteter i form av Svensk e-legitimation.
25
26
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
Elektronisk signatur på anbud
Det som i praktiken idag talar emot elektronisk signatur på
anbud är att det är flera arbetsmoment för anbudsgivaren. Denne
måste vara registrerad hos ChamberSign, ha ett certifikat och
finnas med som behörig att företräda företaget. Det är ofta tidsbrist hos anbudsgivaren när ett anbud ska in och efterfrågan på
elektronisk signering av anbud är därför ännu så länge
begränsad. Även myndigheten som upphandlar måste ha
utrustning och certifikat för elektronisk signatur, allt detta utgör
ännu så länge en tröskel som begränsar användandet. Denna
situation kan snabbt förändras med kommande starkare krav på
elektronisk upphandling och på säkerhetsfunktioner, då kan det
vara värt besväret att ta sig över tröskeln.
Kontrakt och avtal
För ramavtal eller kontrakt används ofta avtalsspärrtiden för
överklagande för att förbereda pappersunderskrifter. Tidspressen
vid underskrift av avtalet är oftast inte lika stor som när ett
anbud ska lämnas men elektroniska signaturer kan underlätta
och snabba upp processen.
Öppningsprotokoll
Elektroniska signaturer är ett enkelt sätt att underteckna
öppningsprotokoll vid öppning av anbud. Flera signaturer kan
göras på samma protokoll.
E-legitimationsnämnden arbetar med förberedelser för att
etablera en tjänst som skapar elektroniska signaturer där
användaren har en e-legitimation som elektronisk identifiering.
När denna finns på plats kan det komma att underlätta
möjligheten att skapa elektroniska underskrifter på kontrakt,
ramavtal och anbud, under förutsättning att upphandlingssystemen och den upphandlande myndigheten använder sig av
den nya tjänsten.
Elektroniska signaturer i lagstiftning
I många situationer är en elektronisk signatur enligt lag
jämställd med en underskrift på papper. Lagen om kvalificerade
elektroniska signaturer specificerar när en elektronisk underskrift måste godtas som en giltig underskrift och vad som då
krävs av underskrift och certifikat. Lagen skiljer på avancerade
och kvalificerade signaturer, där kvalificerade signaturer har
högre krav på den utrustning som skapar signaturen och på
certifikatutfärdaren och ska alltid godtas som en giltig underskrift. Den svenska upphandlingslagstiftningen tillåter att
myndigheter som så önskar ställer krav på avancerade
elektroniska underskrifter vid inlämning av anbud.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
I lagen om kvalificerade elektroniska signaturer (200:803) definieras
elektroniska signaturer så här:
Definitioner
2 § I lagen avses med
elektronisk signatur: data i elektronisk form som är fogade till eller logiskt
knutna till andra elektroniska data och som används för att kontrollera att
innehållet härrör från den som framstår som utställare och att det inte har
förvanskats,
avancerad elektronisk signatur: elektronisk signatur som
a) är knuten uteslutande till en undertecknare,
b) gör det möjligt att identifiera undertecknaren,
c) är skapad med hjälpmedel som endast undertecknaren kontrollerar, och
d) är knuten till andra elektroniska data på ett sådant sätt att förvanskningar av
dessa data kan upptäckas
Det är dock en skillnad på vilka elektroniska signaturer och
certifikat för signering eller identifiering som måste godtas i ett
EU-medlemsland och vilka som vanligen brukar godtas. I Sverige
används kvalificerade certifikat och kvalificerade signaturer
knappast och det är ingen myndighet som kräver sådana. Det
finns heller ingen anledning att för upphandlingsändamål ställa
krav på kvalificerade signaturer. Men det kan vara så att
myndigheter behöver kunna godkänna kvalificerade signaturer
som kommer in från anbudsgivare i andra EU-länder. På sikt
behöver upphandlingssystemen presentera hur sådan mottagning
av gränsöverskridande anbud ska gå till.
EU-kommissionen har upprättat en förteckning ”Trusted List”
över kvalificerade certifikat som är godkända i EU:s
medlemsländer. Det finns också en programvara Digitial
Signature Service för att skapa och verifiera signaturer baserade
på certifikat i Trusted List.
2.5 Spårbarhet
TIDSSTÄMPLING
Tid är en viktig faktor i upphandlingssystem. Eftersom ett för
sent inkommet anbud diskvalificeras är det av stor betydelse att
upphandlingssystemet har klockor som går rätt. Bäst är att
hämta tiden från en central tidsserver på Internet.
Loggning i upphandlingssystemen är viktigt för spårbarheten och
tidsangivelser följer normalt alltid med i loggningsuppgifter.
Det förekommer även tjänster som levererar tidsstämplar på
elektroniska signaturer så att en utomstående, tredje part kan gå
i god för vid vilken tidpunkt en signering har inträffat.
27
28
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
LOGGNING
Spårbarhet i upphandlingssystem och e-postsystem är väsentliga
funktioner om det skulle krävas bevis för vad som hänt i en
upphandlingssituation.
Loggning är en grundläggande funktion för att erhålla
spårbarhet. Alla händelser i systemet registreras, vem som har
gjort något och när. Om det skulle uppstå tveksamhet om vad som
har hänt är loggen de bevis som finns att tillgå. Loggning ska visa
vem som har haft tillgång till vilka uppgifter och vid vilken
tidpunkt.
2.6 Elektroniska upphandlingssystem som tjänst
System för elektronisk upphandling används vanligtvis på svensk
marknad som en webbtjänst. Detta innebär att den upphandlande
myndigheten har tilltro till leverantörens system och kompentens
och att denne uppfyller de säkerhetskrav som ställs på upphandlingssystem. När systemet köps som tjänst, i ”molnet”, och
levereras över Internet, är det framförallt leverantören och
dennes driftsleverantör som måste ha systemsäkerheten och
kompetensen.
Det förekommer att någon myndighet har valt att köra systemet
för upphandling inom sitt eget intranät. Detta ger större
möjligheter att skydda nätkommunikationen men ställer högre
krav på myndighetens egna nät, system och kompetens.
MÅNGA INBLANDADE I LEVERANS AV MOLNTJÄNST
Det kan vara många organisationer inblandade när en myndighet
köper upphandlingssystem som tjänst, som alla behöver uppfylla
säkerhetskrav. Det är myndigheten själv, leverantören av
upphandlingssystem och dennes driftleverantör. Vid kontroller av
säkerheten, t.ex. med ett standardiserat ledningssystem för
informationssäkerhet är det viktigt att tänka på att hela kedjan
av inblandande organisationer behöver uppfylla säkerhetskrav.
2.7 Ledningssystem och revision
När myndigheten anlitar ett företag för elektronisk upphandling
som tjänst så måste myndigheten förlita sig på att företaget
uppfyller de säkerhetsbehov som myndighetens upphandlingsprocess kräver. Det kan vara svårt att kravställa och ännu
svårare att faktiskt förvissa sig om detta, myndigheten måste helt
enkelt ha tilltro till sin leverantör och dennes underleverantörer.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Ett sätt att ställa krav på leverantören är att denne ska följa
standardiserade metoder och processer när det gäller säkerhet.
ISO 27 000 är ett ledningssystem för informationssäkerhet, som
ger riktlinjer för styrning av säkerheten.
Enligt standarden ISO 27001 definieras ett antal huvudområden
för säkerhet med detaljerade krav inom varje område hur
organisationen bör agera utifrån den aktuella situationen och den
riskbedömning som görs för denna situation, i detta fall i
upphandlingsprocessen.











Informationssäkerhetspolicy
Organisation av informationssäkerheten
Hantering av tillgångar
Personalresurser och säkerhet
Fysisk och miljörelaterad säkerhet
Styrning av kommunikation och drift
Styrning av åtkomst
Anskaffning, utveckling och underhåll av
informationssystem
Hantering av informationssäkerhetsincidenter
Kontinuitetsplan för verksamheten
Efterlevnad
Det går att bli certifierad enligt ISO 27000 och att låta revidera
sin organisation enligt standarden. Det innebär att det är möjligt
för en myndighet att ställa krav på att leverantören av
upphandlingssystem




följer standarden i sitt säkerhetsarbete, eller
är certifierad enligt standarden, eller
är certifierad av ett ackrediterat certifieringsorgan
att organisationen revideras regelbundet enligt
standarden.
29
30
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
3. Checklista att tänka på
och frågor att ställa
Nedan följer tips på vad som är lämpligt att tänka igenom och
fråga leverantörer för upphandlingssystem om vid val av system
eller i samband med start av en upphandling.
RISKANALYS AV SITUATIONEN
En riskanalys bör göras för att kontrollera om säkerhetskraven
som ställs står i proportion till vilka upphandlingar som görs.
REGELVERK – LEDNINGSSYSTEM FÖR INFORMATIONSSÄKERHET
Leverantören ska tillämpa ett grundsäkerhetsarbete utifrån ett
ledningssystem för informationssäkerhet, t.ex. enligt ISO 27001.
Bilaga A till standarden är en bra checklista över mål och
åtgärder.
INSYNSSKYDD – KRYPTERING
Säkerställ att all datakommunikation sker krypterat och att
sekretess kan upprätthållas under processen.
Om e-post används bör den vara krypterad. Gör i annat fall en
riskanalys.
Kontrollera att https-protokollet används – det syns i adressraden
i webbläsare.
Kontrollera vilken nyckellängd som används för SSL-protokollet
och att den är så lång som normalt betraktas som säker
Säkerställ att data i upphandlingssystemet hålls åtskilt mellan
anbudsgivare, att en myndighets databas hålls separerad från
andra databaser.
INFORMATIONSKLASSNING
Säkerställ att upphandlingssystemet, förutom den absoluta
sekretessen, tillåter informationsklassning av information som
offentlig, arbetsmaterial, begärd kommersiell sekretess etc. även
efter tilldelningsbeslut.
TID OCH TIDSTÄMPLING
Säkerställ att anbud/ansökan är låst för modifiering av
anbudsgivaren när tiden för anbud/ansökan gått ut?
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
Kontrollera att upphandlingssystemet kan hantera absolut
sekretess under anbudstiden via tidlås på anbud/ansökan. Detta
innebär att anbud/ansökan ska vara låsta för myndigheten tills
anbudstiden gått ut.
Kontrollera var upphandlingssystemet hämtar sina tidsuppgifter,
om det kommer från en central tidsserver på Internet.
IDENTIFIERING OCH LÖSENORD
Det är en fördel om systemet kan hantera elektroniska identiteter
av högre säkerhetsklass än användarnamn och lösenord, t.ex. elegitimationer.
Regler för användaridentitet, lösenordets längd, förnyelser av
lösenord och hantering av glömda lösenord ska vara av så god
kvalitet som är normalt i system med höga säkerhetskrav. Det är
en fördel om myndigheten själv kan sätta regler.
BEHÖRIGHET HOS ANBUDSLÄMNARE
Tänk igenom hur behörigheten för anbudsgivaren ska visas, om
det krävs firmatecknare och hur fullmakter hanteras.
BEHÖRIGHET FÖR UTVÄRDERARE
Säkerställ att behörighet kan tilldelas användare utifrån roller,
t.ex. upphandlare, systemadministratör, referensgruppsmedlem,
beslutsfattare, att behörighet kan tilldelas på olika nivåer, t.ex.
skriva, läsa, attestera eller besluta och för specifika ärenden eller
upphandlingar.
Undersök om myndigheten som upphandlar själv via utsedd
person kan tilldela användare roller och behörigheter.
ELEKTRONISK IDENTIFIERING
Hur går det till att verifiera användare som identifierat sig
elektroniskt? Används elektronisk identifiering med någon mer
komplex metod än användarnamn och lösenord?
Hur identifieras anbudsgivaren?
31
32
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
ELEKTRONISK SIGNATUR, FÖRVANSKNINGSSKYDD OCH
UNDERSKRIFTER
Säkerställ att det finns mekanismer så att informationen i
upphandlingssystemet är skyddad mot inte tillåten modifiering,
begär information om hur det går till.
Överväg att begära att upphandlingssystemet, upphandlare och
anbudsgivare använder elektroniska signaturer på inlämnade
anbud, på öppningsprotokoll och på avtal.
Undersök om leverantören har möjlighet att ta emot signerade
anbud från andra länder, i synnerhet från EU-länder.
SPÅRBARHET OCH LOGGNING
Det ska finnas möjlighet till loggning av händelser, transaktioner
och aktiviteter med datum och tid.
Elektroniska signaturer alternativt loggar ska ge möjlighet till
spårbarhet så att det i efterhand går att se vem som t.ex. har
ändrat en uppgift.
Säkerställ att logginformation på begäran kan tillhandahållas till
myndigheten i lämpligt format.
ALLMÄNT OM IT-SÄKERHET
Övrig IT-säkerhet som gäller för alla tjänsteleveranser av IT är
också viktigt men behandlas inte i denna vägledning. T.ex. backup-tagning, separerade datahallar, dubblerad kommunikationslinjer, kapacitet och tillgänglighet. Speciellt tillgänglighet är
mycket väsentligt under tidskritiska skeden i upphandlingen.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
4. Framtiden – vad är på gång

E-legitimationsnämnden arbetar med ett nytt sätt att
anskaffa e-legitimationer på svensk marknad via en federation.
Svensk e-legitimation planeras till mitten av 2013. En tjänst
för elektroniska signaturer baserat på identifiering med elegitimation planeras också.

Ny förordning i EU föreslagen om (gränsöverskridande)
elektronisk identifiering, elektroniska signaturer m.m. Denna
förordning motiveras starkt av behoven som uppkommer vid
gränsöverskridande handel och elektronisk upphandling.
Förordning innebär att reglerna får omedelbar verkan i alla
EU-länder, de ska inte som ett direktiv implementeras i alla
länders lagar. Förordningen kommer att ersätta dagens
direktiv om elektroniska signaturer men är betydligt mer
omfattande. Den kommer att gälla för gränsöverskridande
tjänster och kommer att ha juridisk verkan för tjänster
relaterade till elektroniska signaturer.

Nya upphandlingsdirektiv är föreslagna i EU och
förhandlingar pågår. Krav på elektronisk kommunikation,
annonsering, tillgång till förfrågningsunderlag, möjlighet att
lämna anbud elektroniskt ingår i förslaget som anger att
elektroniska metoder i dessa situationer ska vara obligatoriska
från 2017.

Standarder för upphandlingsprocessen CEN BII2.
Standardisering av processer och meddelandeformat för de
olika upphandlingsformerna pågår inom den europiska
standardiseringsorganisationen CEN. I arbetsgruppen för
Business Interoperability Interface for Public Procurement in
Europe, (BII) har arbetats med standarder för eNotification,
eTendering, eCatalogue, eOrdering och eInvoicing. En andra
fas har avslutats i december 2012, se www.cenbii.eu. En ny fas
väntas starta under våren 2013. I denna kommer särskilt de
delar som avser pre-award, dvs. upphandling och e-kataloger i
upphandlingsförfarandet att vidareutvecklas.

Standarder för elektroniska signaturer med bakgrund i
Tjänstedirektivet.
EU:s tjänstedirektiv har krav på att man över gränserna inom
EU ska kunna använda elektroniska medel för att starta en
tjänsteverksamhet i ett annat EU-land. I varje land finns en
kontaktpunkt för den elektroniska kommunikationen och det
finns behov av gränsöverskridande elektronisk identifiering och
elektronisk signering.
33
34
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
EU-kommissionen har givit ut dokument som anger vilka
tekniska metoder som är accepterade för elektroniska
signaturer och en förteckning över vilka utfärdare av
kvalificerade certifikat som är anmälda i länderna. Eftersom
upphandling också ska vara gränsöverskridande är
utvecklingen av intresse.

Trusted list. EU-kommissionen har en förteckning över alla
utfärdare av kvalificerade certifikat som registrerats i något
medlemsland och tillhörande betrodda tjänster. Post- och
telestyrelsen registrerar utfärdare i Sverige.

Tillväxtverkets tjänst för gränsöverskridande
elektroniska signaturer.
Tillväxtverket är ansvariga för den svenska kontaktpunkten
enligt Tjänstedirektivet och arbetar med att etablera de
elektroniska metoderna. En utvecklad metod att filtrera fram
relevant informationen ur allt som finns i EU:s Trusted List om
alla länders betrodda utfärdare och tjänsteleverantörer på eidentifieringsområdet testas av Tillväxtverket.

EU-gemensamt erkännande av elektronisk identifiering:
STORK
EU-projektet STORK arbetar med att skapa interoperabilitet
inom EU för elektronisk identifiering och autentisering. Stork
är en federation där varje land står för sina regelverk för
identitetsutfärdande. Det finns en nod i varje land som tar
emot identitetsinformation från utlandet och levererar intyg till
myndigheter som efterfråga informationen t.ex. i samband med
en e-tjänst.

EU-projektet PEPPOL har utvecklat piloter för en EUgemensam infrastruktur för upphandling, mycket handlar om
standarder som används efter att avtal har tecknats, för
beställningar och fakturor. Det finns en pilottjänst för
validering av elektroniska signaturer som används av några
länder. PEPPOL som EU-projekt är avslutat och intressenterna
har bildat en organisation för fortsatt drift under namnet Open
PEPPOL. Ekonomistyrningsverket har i uppdrag av regeringen
att representera svenska intressen i OpenPEPPOL.

EU-program E-SENS (tidigare BCSS, basic cross sector
services) är en samling pilotprojekt med inriktning på
infrastrukturkomponenter för EU-gränsöverskridande tjänster,
bl.a. e-procurement, e-business lifecycle, e-health m.fl. ESV har
uppgiften att vara kontakt för Sverige i programmet som
startar under 2013. För e-procurement tar detta vid efter
Peppol. I projekten igår piloter där bland annat Lunds
universitet och Stockholms universitet, upphandling, ingår.
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHANDLING
5. Referenser och mer att läsa
SS-ISO-IEC 27 001 2006 Bilaga A (normativ) Mål och åtgärder
Modell över den elektroniska upphandlingsprocessen,
Kammarkollegiet
Vägledning: Att införa elektronisk upphandling, Kammarkollegiet
2012:2
Regeringskansliet Faktapromemoria FPM:146 Meddelande om en
strategi för e-upphandling
Regeringskansliet Faktapromemoria FPM:162 Förordning om
elektronisk identifiering och betrodda tjänster för elektroniska
transaktioner
Förslag till EUROPAPARLAMENTETS OCH RÅDETS
DIREKTIV om offentlig upphandling KOM(2011) 896
SWD(2012) 136 Arbetsdokument Sammanfattning av
konsekvensbedömning av Förordning om elektronisk identifiering
och betrodda tjänster för elektroniska transaktioner på den inre
marknaden
COM(2012) 238 Förslag till Förordning om elektronisk
identifiering och betrodda tjänster för elektroniska transaktioner
på den inre marknaden
CEN CWA Draft Business interoperability interfaces for public
procurement in Europe – Use of profiles in the tendering process
KOMMISSIONENS BESLUT av den 25 februari 2011 om
fastställande av minimikrav för behandling över gränserna av
dokument som signerats elektroniskt av behöriga myndigheter i
enlighet med Europaparlamentets och rådets direktiv
2006/123/EG om tjänster på den inre marknaden
CEN/WS/BII2 Application of Electronic Signatures Technical
Guideline, Draft 2012 05 07
CEN/WS/BII2 Business plan 2010-02-10
e-TEG, Expertgruppen för e-upphandlings rapport med
rekommendationer
http://ec.europa.eu/internal_market/publicprocurement/eprocurement/expert/index_en.htm
35
36
IT-SÄKERHET I SYSTEM FÖR ELEKTRONISK UPPHAN DLING
”Golden book”, PWC:s rapport på uppdrag av EU Kommissionen
http://www.pwcblogs.be/eProcGoldenBook/
PEPPOL How to implement eSignature validation EU-Supply
experience
EU-kommissionens Trusted List med ländernas registrerade
utfärdare av kvalificerade certifikat
http://ec.europa.eu/information_society/policy/esignature/eu_leg
islation/trusted_lists
EU-kommissionens Digital Signature Service
http://joinup.ec.europa.eu/software/sd-dss/release/20
Myndigheten för samhällsskydd och beredskaps föreskrifter om
statliga myndigheters informationssäkerhet MSBFS 2009:10
MSB Modell för klassificering av information 0040-09
SWEDAC Vägledning för informationssäkerhetsarbete DOC 10:5
2010-09-22
Cloud Sweden Områden och problem att beakta inom
informationssäkerhet och digitalt bevarande vid anskaffning och
användning av molntjänster RIKTLINJER Version 1.1.2 - 201106-18
Lag (2007:1091) om offentlig upphandling
Lag (1915:218) om avtal och andra rättshandlingar på
förmögenhetsrättens område
Offentlighets- och sekretesslag (2009:400)
Lag (2000:832) om kvalificerade elektroniska signaturer
Upphandlingsstödet ska bidra till en mer effektiv, kvalitetsmedveten
och rättssäker offentlig upphandling.
Målet är att konkurrensen på marknaden bättre tas tillvara så
att skattemedlen kan användas på bästa sätt till nytta för
medborgarna, den offentliga sektorn och näringslivet.
Denna vägledning får användas fritt, förutsatt att källan anges.
Det är alltså tillåtet att ladda hem vägledningen i pdf från vår
hemsida (www.upphandlingsstöd.se) och publicera den på
andra webbplatser. Ange källa och gärna även en länk till
innehållet.
Box 22I8, I03 I5 Stockholm
Besök Birger Jarlsgatan I6
Tel 08 700 08 00
Fax 08 20 49 69
E-post [email protected]
www.upphandlingsstod.se