Hvem har ikke hørt sin leverandør si “åpne alt i brannmuren, så fungerer det”…..
Man skal og må dessverre alltid anse sin leverandør som en sikkerhetsrisiko. Dessverre.
Nå har vi Gran kommune friskt i minne, der en leverandør er den indirekte årsaken til hendelsen. Kan Gran kommune gjøre regress mot sin leverandør? Mest sannsynlig ikke, men det er likevel et interessant spørsmål.
I arbeid med en annen kunde ble jeg trigget til denne artikkelen fordi det i forbindelse med at noe ikke fungerte som det skulle, pekte leverandøren på brannmuren og sa “åpne alt, for da fungerer det”.
Ansvaret er ufravikelig, men….
Når det kommer til sikkerhet er ansvaret ufravikelig og ligger på kunden. Men vi lever i en verden der man må stole på noen, og med all kompleksitet blir det slik at man ikke alltid kan alt og derfor velger å stole på sin leverandør som skal kunne dette bedre enn seg selv.
Gang på gang viser det seg at leverandøren gjerne ikke kan de produktene og den teknologien de leverer tilstrekkelig godt til å si eksakt hva som trengs, og da er det enkelt for dem å si at man bare skal slå av all sikkerhet uten å reflektere over konsekvensen av dette.
Ansvaret er ufravikelig, men spørsmålet er om leverandøren etter å ha bedt om at alt skal åpnes, i neste setning sier til kunden at den handlingen i tillegg må risikovurderes. Tenker kunden faktisk på dette når alt åpnes?
Når det midlertidige blir permanent
Noen ganger gjør man en stor åpning for å teste, med mål om å stramme inn senere, men alle vet at det altfor ofte ikke skjer. Tida flyr, det er hektisk, det er flere branner som må slukkes. Det fungerer, så ikke rør det, og dermed blir det er permanent stor åpning og dermed potensiell sårbarhet.
Leverandørene skal være ekspertene, men er de det?
Som sluttkunde har du ansvaret, du vil i mange tilfeller være avhengig av underleverandører, men det betyr ikke at naiviteten skal trumfe i den ofte altfor store tiltroen. Dette er litt vanskelig, for man ønsker ikke å være vanskelig, men man har egentlig ikke noe valg da det er sin egen sikkerhet vi snakker om.
Konklusjon
Det er vel egentlig ingen konklusjon i dette, men det er vel mer en bevisstgjøring, for dette ser man altfor ofte at leveranser gjøres uten særlig grad av god sikkerhet, ofte uten at kunden vet det.
Dette går også på bestiller kompetanse og ydmykhet. Har man kompetansen kan man stille de gode kravene og gjøre de gode kontrollene. Vet man at man ikke har dette på plass er ydmykhet det beste verktøy ved at man spør om status og får en bekreftelse. Man kan gjøre det så enkelt som å spørre leverandøren “Hva er gjort for å sikre denne løsningen best mulig, er det noen åpenbare sårbarheter her, og er det noe dere ville gjort annerledes, eller anbefaler oss å gjøre, for at dette blir så sikkert som mulig?”
Leave a Reply