När krisen slår till behövs en hand att greppa. Ingen vill hejdas i räddningsarbetet av krångel med att få tag i extern kompetens. Nu lanserar Adda ett Dynamiskt Inköpssystem som ska hjälpa kommuner att förebygga och hantera It-incidenter.
När Tommy Olsson, Adda och Johan Thulin från SKR tar ordet på KommIts höstkonferens 2024 har det nya systemet inte hunnit öppna för kommunerna att använda. Leverantörerna har fortfarande några veckor på sig att lämna anbud innan starten i december.
– Tanken med det nya dynamiska inköpssystemet är att det ska bli enklare för kommunerna att arbeta proaktivt och få hjälp om de utsätts för en cyberattack, säger Tommy Olsson. Adda Inköpscentral, som är ett företag inom SKR, har i uppgift att upphandla nationella ramavtal och dynamiska inköpssystem (DIS) åt kommuner och regioner.
Den senaste i raden av DIS är ”IT-säkerhet – Incidenthantering (IRT) 2024” som Johan och Tommy nu tar tillfället i akt att berätta om för KommIts medlemmar.
– Ett av mina uppdrag har varit att kontakta de kommuner som råkat ut för cyberattacker och föra en dialog runt vad som inträffat, säger Johan Thulin.
Det blev sammanlagt sju kommuner som på kort tid hade drabbats av olika It-incidenter. Det handlade om allt från nätfiske mot skolor till ransomware-attacker som slagit ut delar av verksamheternas It-system. Johan Thulin kunde konstatera att vissa erfarenheter från de drabbade kommunerna var både gemensamma och tydliga.
– Vikten av kontinuitetsarbete, stark autentisering och segmenterade nätverk kan inte nog understrykas. Men många upplevde också att de saknade tillgång till rätt experthjälp, säger han.
Digital marknadsplats
Trots att kommunerna gör sitt bästa för att skydda sina system saknas ofta resurser och expertis för att hantera krissituationer. SKR har noterat ett växande behov av stöd bland kommunerna och Johan och Tommy har lyssnat till många It-chefer och kommundirektörer som vädjat om hjälp.
– Vi kände att vi måste göra något. Det är inte rimligt att våra medlemmar ska behöva navigera bland lagar och upphandlingar mitt i en pågående kris, säger Johan Thulin.
DIS fungerar som en digital marknadsplats där leverantörerna ansöker om att vara med och där
kommunerna kan skräddarsy sina förfrågningar baserat på sina behov. Tanken är att medlemmarna därmed ska få konkret stöd vid incidenter och en stadig hand att hålla i när det blåser.
– Ett traditionellt ramavtal hade tagit för lång tid att skapa. Eftersom vi upplever att det är bråttom beslutade vi oss för att bygga DIS istället, säger Tommy Olsson.
DISet för IT-säkerhet – Incidenthantering (IRT) erbjuder bland annat tjänster som avtal med experter som agerar vid kris,och förebyggande aktiviteter som kan stärka It-säkerheten.
Parallellt med att en kommun kontrakterar i DISet kan det dock vara bra att testa sina rutiner och verktyg, tycker Johan Thulin. Han uppmanar kommunerna att öva regelbundet för att identifiera både sina styrkor och svagheter i säkerhetsarbetet.
– Då kan DISet bättre hjälpa kommunerna att bli tryggare i sin beredskap och bygga en långsiktig strategi, säger han.
Även Tommy Olsson ser stora fördelar för kommunerna med det nya inköpssystemet. Jämfört med att göra en egen upphandling så sparar man en hel del tid och kan fokusera på behovsanalysen.
– Vi ger våra medlemmar support och färdiga mallar så att de slipper lägga tid på upphandlingsadministration. Då kan de istället fokusera på vad de faktiskt behöver, tjänsternas innehåll, säger han.
Av: Lotta Engelbrektson