Shop Shop
Webshop
Icon
Hmaburger

Vår felles sikkerhet er ute på anbud

Publisert 19.04.2017
Kontroll- og nettverkssystemer er sentrale brikker i offentlig infrastruktur. Utviklingen går med rivende fart og sikkerhetsmyndighetene roper varsko på flere områder. Og det med god grunn, prosessen for anskaffelse av disse systemene har klare svakheter som hindrer det offentlige i å holde tritt med utviklingen. 
Offentlige prosjekter settes ut på anbud der leverandører blir sammenlignet og valgt ut fra objektive og forhåndsdefinerte kriterier. Loven sier at regelverket skal «bidra til at det offentlige opptrer med høy integritet, slik at allmennheten kan ha tillit til at offentlige anskaffelser skjer på en samfunnstjenlig måte».

I nytt anskaffelsesregelverk som trådte i kraft 1.januar 2017 er det flere bestemmelser som pålegger offentlige innkjøpere å ta hensyn til miljø, arbeidsforhold og sosiale forhold ved gjennomføringen av sine anskaffelser. Det skal også tas hensyn til livsykluskostnader i forbindelse med dette.

På få år har automasjonsteknologien utviklet seg voldsomt og ikke minst behovet for kommunikasjon og sammenkobling av utstyr via åpen teknologi. Tidligere var kommunikasjonsløsningene forbeholdt oss «nerder» og automasjonssystemene var i stor grad skjermet for oppmerksomhet utenfra. I dag vet vi at bildet er et helt annet.

Et betimelig spørsmål er om lovverket og oppdragsgiver (det offentlige) legger til rette for anskaffelsesprosesser som sikrer at kontrollsystemene for kritisk infrastruktur får den oppmerksomhet de bør og må ha. Blir sentrale områder som informasjonssikkerhet og levetidskostnader ivaretatt ved anskaffelse?


Hvem sitter først i bussen?
I mange entrepriser er det gjerne 3-4 ledd mellom oppdragsgiver og leverandør av automasjons- og nettverkssystemer. Stor avstand mellom oppdragsgiver og den som faktisk skal levere disse kritiske systemene utgjør en risiko for at viktige vurderinger og hensyn blir satt til side. Særlig utsatt er forhold som er knyttet til sikkerhet og levetidskostnader. Disse områdene påvirker i liten grad om anlegget blir åpnet i tide, men har desto større påvirkning på det som skjer etterpå. I en presset tidsplan og med mange mellomledd blir disse områdene lett en salderingspost. Vi mener at kontroll- og nettverkssystemer er så kritiske at oppdragsgiver i langt større grad må søke et direkte kontraktsforhold med de som skal levere og implementere disse systemene. Leverandørene sitter ofte bakerst i bussen, de må frem der det skjer!


Pris som utvalgskriteriet
I offentlige anbud spiller innkjøpspris en viktig rolle. Oppdragsgiver spesifiserer i hvor stor grad pris skal være avgjørende, alt fra 100% og kanskje ned til 30%. Pris som kriteriet er kvantifiserbar, den er relativt lett å sammenligne og tilsvarende lett å gjemme seg bak ved valg av leverandør og løsning.

Men er prisen på investeringstidspunktet så viktig? Vi mener at livssykluskostnader ikke kan frikobles fra investeringskostnaden. Tradisjonelt har man betraktet livsykluskostnader ut fra levetid, tilgang på reservedeler og kompetanse. Vi mener at flere elementer må tas med i dette bildet. Hva skjer hvis kritisk infrastruktur blir "hacket" eller opplever nedetid på grunn av snarveier som er gjort i anskaffelsesprosessen? Eller hvor enkelt er det å gjøre endringer og utvidelser når løsningen først er installert? Dette må tas i betraktning når valg av leverandør og system foretas.

Pris-kriteriet kan også få uheldige konsekvenser når det kombineres med mange ledd mellom leverandør og oppdragsgiver. Hvert at leddene maler sin egen kake og det kan være svært vanskelig å vinne frem med en høyere investeringskost selv om løsningen vil være sikrere, ha høyere oppe tid og lavere levetidskostnader.

Det tankevekkende er at kostnadene knyttet til investering i automasjons- og nettverksløsninger typisk er marginale i forhold til de totale prosjektkostnadene. Hva hjelper det å ha hull i fjellet eller vann i magasinet hvis kontrollsystemet er "hacket" eller bare ikke virker? Det blir meningsløst å spare noen kroner når den påfølgende risikoen i stor grad er knyttet til disse systemene.


Kompetanse
Til syvende og sist kulminerer hele denne problemstillingen i ett ord: kompetanse. Den teknologiske utviklingen, sammenkoblingen av IT- og automasjonsnettverk og endret trusselbilde stiller helt nye krav til kompetanse. Oppdragsgiver og rådgivere må omstille seg, øke kompetansen og legge til rette for spesifikasjoner og anskaffelsesprosesser som ivaretar de faktiske behov. Det er vårt inntrykk at leverandørindustrien i Norge er kompetent og ønsker å levere kvalitet og løsninger som tjener samfunnet godt. Da er det frustrerende å møte anbudsprosesser der pris-spøkelset styrer leverandørene til å levere under pari.

Anskaffelsesprosesser for kritiske systemer bør også legges opp slik at minimum to leverandører får presentere tilbudt løsning og egen kompetanse. Ensidig fokus på pris og minimal leverandørdialog vitner om manglende bestillerkompetanse.

Konkurransen innenfor dette området er uansett så stor at det er liten risiko for prisgalopp ved å vektlegge andre kriterier enn pris.


Vår drøm
Vår drøm er at kritiske kontroll- og nettverkssystemer får økt oppmerksomhet, at åpenbare krav til sikkerhet og levetidskostnader vektlegges og at innkjøpspris som kriteriet blir marginalisert i fremtiden. Dette krever hverken «guts» eller «baller», det krever kompetanse i alle ledd.



Artikkelen ble publisert første gang i AMNYTT Magazine nr. 2-2017.


W:
H: