Det europeiska organet Enisa, som bland annat följer cybersäkerheten i Europa, har nu släppt två rapporter: ”Secure Procurement for Secure Electronic Communications” och ”Secure ICT Procurement Guide for Electronic Communications Service Providers”.
Dokumenten handlar om upphandling av säker elektronisk kommunikation och tips för säker ICT- upphandling inom detta område. De tillhandahåller information och tips så att upphandlaren bättre känner till säkerhetsrisker i kontakterna med säljare och leverantörer av ICT-produkter och tjänster.
Secure Procurement for Secure Electronic Communications
Rapporten belyser det växande beroendet av leverantörer på IKT-produkter och outsourcade tjänster samt analyserar de tillhörande säkerhetsrisker som är inblandade i upphandlingsprocessen. Den följer på den senaste utgåvan av rapporten Annual Incidents report. Den rapporten ger en samlad analys av de säkerhetsincidenter som följer på allvarliga avbrott där en primär orsak är tredje parts ICT-produkter och outsourcade tjänster – särskilt inom området maskinvarufel och programvarufel. Årets studie är resultatet av Enisas samarbete med de som tillhandahåller, säljer och och levererar produkter och tjänster inom detta område och hur men kan hantera dessa frågor.
De viktigaste frågorna som tagits upp av de som tillhandahåller säker kommunikation innefattar;
– Brist på säkerhetskontroller från leverantörens sida
– Sårbarheter i mjukvaran i ICT-produkter eller tjänster
– Underlåtenhet att följa säkerhetskraven i kontrakt
– Brist på stöd från leverantörer i händelse av incidenter
– Svag förhandlingsstyrka från upphandlarens (tillhandahållarens) sida
– Brist på ramverk eller vägledning vid upphandling och outsourcing
I rapporten finns rekommendationer till de europeiska medlemsstaterna och handlar om att öka medvetenheten om säkerhetsrisker i samband med upphandling av ICT-produkter och outsourcingtjänster. Dessutom uppmuntras säljare och leverantörer att utveckla en gemensam strategi för att ställa säkerhetskrav, dela information om säkerhetsproblem och hot samt mildra incidenter.
Secure ICT Procurement Guide for Electronic Communications Service Providers
Guiden syftar till att vara ett praktiskt verktyg för att bättre hantera säkerhetsrisker när det handlar om att upphandla IKT-produkter och tjänster.
– Varje år ser vi i den årliga incidentrapporteringen att tredjeparts IKT-produkter och tjänster är en viktig orsak till avbrott. En enkel programvarubugg kan ha en allvarlig inverkan på tillgången till Internet och telefonitjänster och ”tillhandahållaren” har inte alltid möjlighet att snabbt åtgärda sådana situationer på egen hand. Säkerhetsguiden för ICT-upphandling som vi publicerar i dag är ett praktiskt verktyg för att hjälpa till att upphandla IT-produkter och tjänster från den säljande parten och dess leverantör med de nödvändiga säkerhetskraven, säger vd för Enisa professor Udo Helmbrecht.
Dokumenten kan hämtas via den här länken.
