(Roger Bang Eie) Den årlige trussel og risikovurderingen for 2023, forteller oss at norske virksomheter vil bli utsatt for økte fordekte anskaffelser – og at enkeltpersoner kan bli utsatt for påvirkning. Anbud365 ønsker å rette søkelys mot den trussel fremmede makter utgjør mot offentlige anskaffelser. Vi har da vært i kontakt med tre ulike etater for å høre hvordan de opplever dette. Denne gangen DFØ – Direktoratet for forvaltning og økonomistyring.
Rapporten som er et samarbeid mellom Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet, beskriver en sammensatt trusselvurdering på ulike felt.
Hvordan håndterer DFØ risiko ved anskaffelser?
I denne forbindelse har vi vært i kontakt med DFØ og divisjonsdirektør, divisjon for offentlige anskaffelser Dag Strømsnes og stilt noen spørsmål:
– Er deres risikovurderinger skjerpet ved teknologi-relevante anskaffelser i den senere tid, hensett til den urolige verden?
– Ja, DFØ er opptatt av å tilpasse vår veiledning både til forskjellige politiske satsninger og til utviklingen i rammebetingelser både nasjonalt og internasjonalt. Sikkerhetsaspekter er en del av dette og vi ser at dette er en viktig og aktuell problemstilling for mange offentlige virksomheter.
Strømsnes sier at DFØ har laget overordnet veiledning om anskaffelser i en krisetid hvor sanksjoner mot russiske personer og selskaper er omtalt, med lenker til mer informasjon på Utenriksdepartementet og EU kommisjonens nettsider.
– Vi har også laget en veiledning om sikkerhetsgraderte anskaffelser og Sikkerhetsloven med lenker til mer informasjon hos NSM og Digitaliseringsdirektoratets veiledning om risikovurderingen. Disse veiledningene er imidlertid overordnede og er ikke oppdaterte etter at PST og NSM sin siste trussel- og risikovurdering ble publisert, sier Strømsnes.
– Hvordan håndteres risikoen ved at det kan være tilbydere som er «stråmenn» for fremmede makter – makter som det er grunn til å være på vakt for?
– I DFØs veiledning for anskaffelser i krisetid, er russiske selskaper og personer omtalt. Her henviser vi til sanksjoner som EU har innført og som Norge har sluttet seg til, mot en rekke russiske selskaper og personer, sier Strømsnes.
Om DFØ – Direktoratet for forvaltning og økonomistyring
DFØ har som samfunnsoppdrag: Å hjelpe det offentlige å bli enda mer effektive. Det handler om å styre bedre, jobbe smartere og sikre gode mål og beslutninger. DFØ er et av Norges største fagmiljøer på offentlige anskaffelser og tilbyr råd og verktøy til andre virksomheter – og inngår store innkjøpsavtaler på vegne av fellesskapet.
DFØ tilbyr også digitale systemer og tjenester innenfor regnskap og lønn til store deler av forvaltningen. Blant annet så utbetales det lønn og fakturaer for store deler av staten. De har også store IT-miljøer som blant annet sørger for at det offentlige skal slippe å utvikle de samme løsningene flere steder. Når det kommer regelendringer gjøres det tilpasninger i systemene på vegne av alle. Det gis også råd og veiledning om styring, organisering og ledelse.
Etaten utfører også analyser for å se om felleskapets penger brukes på en god måte. Det avholdes årlig hundrevis av kurs i mang ulike tema som regnskapsføring, grønne anskaffelser – og utredning av statlige tiltak. Bredden er stor, der felles overordnet mål er å sikre at felleskapet får mest mulig ut av midler til rådighet.
DFØ forvalter store mengder av informasjon, også sensitiv informasjon – og kan derfor være av interesse for fremmede makter (red.anm).
Hva opptar fremmed etterretning?
Ifølge PST, så er vestlig teknologi ettertraktet og et foretrukket alternativ for den russiske sivile og militære industrien. Utvidelse av sanksjoner og skjerpede eksportrestriksjoner vil medføre endringer i russisk fordekte anskaffelses aktivitet i 2023.
Norske forsknings -og utdanningsinstitusjoner er også utsatte etterretningsmål for ulovlig kunnskapsoverføring – og da fra flere land som vi ikke har sikkerhetssamarbeid med. I rapporten nevnes Kina, Iran, Syria, Pakistan og Nord-Korea. Norske virksomheter utvikler, produserer og selger varer og teknologi som kan ha både sivile og militære bruksområder, det vil si at de har et flerbrukspotensial. Slik sivil teknologi er ettertraktet for fremmede stater for å utvikle masseødeleggelsesvåpen, leveringsmidler og andre militære systemer. Denne type eksport av sensitive varer, tjenester og teknologi er strengt regulert. Derfor vil fremmede makter som har til hensikt å ulovlig skaffe seg tilgang, forsøke å omgå regelverket med en rekke skulte metoder.
Fordekte anskaffelsesforsøk
Nye fremvoksende teknologier er ettertraktet av statlige aktører for å sikre militær evne, politisk innflytelse og økonomisk vekst. Norske virksomheter som er ledende innenfor fremvoksende teknologier, forventes å være utsatte etterretningsmål.
Statlige aktører benytter et bredt spekter av metoder for å omgå kontrollmekanismer og sikre seg tilgang til teknologi og kunnskap fra norske virksomheter. Dette inkluderer bruk av innsidere, nettverksoperasjoner og strategiske oppkjøp. Ofte brukes tredjepartsland, deriblant også andre europeiske land, i fremstøt mot norske virksomheter. Virkemidler som falsk dokumentasjon, kompliserte selskapsstrukturer, strå og frontselskaper og leverandørkjeder vil også benyttes.
Nettverksoperasjoner utgjør en alvorlig trussel mot Norge
Den enkleste fremgangsmåten er fortsatt å lure ansatte i en virksomhet til å klikke på lenker fra tilsynelatende troverdige avsendere. En annen metode er å rette operasjonene mot internetteksponerte tjenester, som for eksempel e-poster. Her utnytter trussel aktøren blant annet sårbarheter som svake passord, utdatert programvare og manglende tofaktorautentisering til å oppnå urettmessig tilgang til datasystemene.
Selv om målet for en digital nettverksoperasjon kan være godt sikret, kan nettverksoperasjoner mot leverandører og underleverandører være enklere og svært effektive veier inn mot en virksomhet eller organisasjon. Slike angrep kalles verdikjedeangrep, fordi en aktør angriper et svakere og mer perifert punkt i en virksomhets verdikjede. SolarWinds-operasjonen som ble avdekket i desember 2020, er et godt eksempel på et verdikjedeangrep. I denne operasjonen lyktes en trussel aktør med å installere en bakdør i en programvareoppdatering til IT-selskapet SolarWinds. Dette gjorde at trussel aktøren kunne kompromittere virksomhetene som benyttet programvaren, inkludert amerikanske myndighetsorganer.
Etterretningstrusselen mot norske myndighetspersoner
Norske politikere og personer som jobber i apparatet rundt disse er blant etterretningsmålene i Norge, og det er sannsynlig at enkelte vil bli utsatt for etterretnings- og påvirkningsoperasjoner i inneværende år. Etterretnings-aktiviteten kan ha flere formål. Målet med enkelte operasjoner vil være å endre standpunkter og beslutninger som den utpekte politikeren kan ha en innflytelse på. I tillegg vil enkelte operasjoner ha som mål i å innhente informasjon om verdier og sårbarheter knyttet til den enkelte politiker.
PST erfarer at enkelte land har lav terskel for å bruke ulike typer press og trusler for å påvirke politikere og øvrige beslutningstakere på områder som de oppfatter som sensitive og viktige. Dette er metoder som i økende grad vil kunne rettes mot enkeltpolitikere også i Norge.
Bli den første til å kommentere på "Risiko ved anskaffelser (III): Slik gjør DFØ det"