Assignment text
Regjeringen har igangsatt bygging av et nytt regjeringskvartal hvor byggetrinn 1 skal være ferdig til innflytting for ca. 2100 medarbeidere fra 01.01.2026. Byggene skal utstyres med IKT kommunikasjonsinfrastruktur. Anskaffelsen omfatter leveranse av ugradert virksomhetsnettverk til nytt RKV gjeldende for byggetrinn 1, med opsjoner for byggetrinn 2 og 3.
Departementenes informasjonsbehandling er omfattende og understøtter også departementenes grunnleggende nasjonale funksjoner. Hensikten med virksomhetsnettverket, er å sikre departementsfellesskapets behov når det gjelder informasjonsbehandling og datakommunikasjon. Anskaffelsen vil omfatte en avtale for et «nøkkelferdig» ugradert virksomhetsnettverk inkludert nødvendig driftsverktøy, og skal være en totalleveranse fra én og samme leverandør.
DSS har til hensikt å tildele kontrakten til Netsecurity AS (leverandør av K307 kontrakten med Statsbygg).
Nettverket vil utgjøre skjermingsverdig infrastruktur, og kompromitteringen av departementenes ugraderte nettverk sommeren 2023 underbygger viktigheten å begrense spredning av informasjon om nettverket da dette er informasjon som beviselig er av interesse for avanserte trusselaktører.
Det er gjennomført en sikkerhetsrisikovurdering av omfanget som bygger på informasjon fra en trusselvurdering gjort av Politiets sikkerhetstjeneste (PST).
Leveransen omfatter ulike typer av ytelser: utstyr, design, installasjon, test og vedlikehold. Det er nødvendig å gjennomføre anskaffelsen av utstyret og installasjonstjenestene fra samme leverandør. Dette skyldes primært at informasjon om mengder av utstyret ikke kan spres i større grad enn den informasjonen som leverandøren vil tilegne seg gjennom utføringen av oppdraget. Kontrakten kan derfor ikke deles opp for å ha konkurranse om enkelte av ytelsene.
Det er nødvendig å begrense flyten av den informasjonen som er nødvendig for å utføre installasjonsarbeidene, herunder plantegninger, plassering av spesialrom og beskrivelser av sikringstiltak. Hvis potensielle trusselaktører, herunder utenlandsk etterretning tilegner seg slik informasjon, kan det benyttes til å kompromittere nettverkene og integrasjoner mot disse. De fleste informasjonselementene som vil være nødvendig for å utføre kontrakten, er verdivurdert til KONFIDENSIELL.
På denne bakgrunn er det vurdert å ikke være sikkerhetsmessig forsvarlig å dele informasjonen med andre enn leverandøren som allerede besitter informasjonen. Det er også vurdert at det ikke vil være sikkerhetsmessig forsvarlig om det blir en betydelig økning av autorisert personell som får tilgang til den aktuelle informasjonen.
Det tekniske driftsnett i K307 har likartet omfang som virksomhetsnettverket. Leverandør av K307 har sikkerhetsklarert og autorisert personell med riktig nettverksfaglig kompetanse til å levere virksomhetsnettverk.
For å unngå en informasjonsspredning utover det som er sikkerhetsmessig akseptabelt, er det nødvendig å tildele kontrakten direkte til leverandøren for K307-kontrakten, Netsecurity AS. Leverandøren vil kunne levere virksomhetsnettet ved bruk av det samme personellet, ev. med en helt begrenset utvidelse av ressursene.