Det finns ständigt krafter som vill försvaga Sveriges funktionalitet eller stjäla våra industri- och forskningshemligheter. En gedigen säkerhetsskyddsanalys på företag och institutioner är det första steget mot en ökad säkerhet som gynnar alla. Det menar Åsa Ahl, säkerhetsskyddsexpert på Säkerhetspolisen.
Åsa Ahl
Säkerhetsskyddsexpert
Säkerhetspolisen
Foto: Säkerhetspolisen
En stor del av Sveriges framgångar vilar på ett fundament av tillit, öppenhet och frihet. Men samma mekanismer som främjar entreprenörskap, forskning och innovationskraft riskerar också att göra oss sårbara.
Från Säkerhetspolisens perspektiv är det framförallt tre nationer som skulle kunna ha tillräckligt med såväl egenintresse som resurser för att vilja bedriva spionage eller annat påverkansarbete för att försvaga det svenska samhället: Iran, Ryssland och Kina.
Åsa Ahl är säkerhetsskyddsexpert på Säkerhetspolisen (Säpo). Hon menar att den utländska aktiviteten har ökat under de senaste fem åren.
– Framförallt ser vi att fler typer av verksamhetsutövare påverkas av de säkerhetshotande aktiviteterna från främmande makt. Tidigare var det främst militära syften som låg bakom, men i dag kan såväl forskningsinstitut och universitet som privata företag ligga i riskzonen.
Säkerhetsskyddsanalys krävs
I säkerhetsskyddslagen och säkerhetsskyddslagstiftningen stipuleras hur dessa verksamheter bör agera för att upprätta och stärka sitt säkerhetsskydd. Sedan 1 april 2019 omfattar lagen alla som bedriver någon form av säkerhetskänslig verksamhet, och 1 december 2021 stärktes tillsynsstrukturen kring lagstiftningen ytterligare.
– Globaliseringen, teknikutvecklingen och digitaliseringen har ökat sårbarheten i samhället. När känsliga uppgifter placeras i olika molntjänster blir de ännu svårare att skydda. Gapet mellan hot och sårbarhet har ökat, och därför måste vi alla samarbeta för att stärka skyddet, säger Åsa Ahl.
Men hur vet man om verksamheten omfattas av säkerhetsskyddslagstiftningen från början? Svaret kommer i regel av en intern säkerhetsskyddsanalys. Säkerhetspolisen tillsammans med Försvarsmakten utövar tillsyn för myndigheter som bedriver säkerhetskänslig verksamhet.
– Om det råder minsta osäkerhet kring de här frågorna är det förmodligen dags att genomföra en säkerhetsskyddsanalys. Och då ska det inte hamna på en ensam säkerhetsansvarig, utan det måste vara ett teamarbete som är förankrat från högsta ledningen. Först när analysen är på plats kan man gå vidare till en handlingsplan med konkreta åtgärder.
Tre skyddskomponenter
Säkerhetsskyddet omfattar tre viktiga skyddsåtgärder för verksamheten. Personalsäkerhet innebär utbildning och säkerhetsprövning av personal.
Säkerhetsprövning innebär bland annat att förebygga och hantera värvningsförsök från främmande makt för att få ut känslig information. Fysisk säkerhet kan handla om att förhindra eller försvåra intrång i verksamheten genom lås, larm och kameraövervakning. Informationssäkerhet är IT-systemens skydd, med brandväggar, behörigheter och lösenord.
Åsa Ahl poängterar att den röda tråden mellan säkerhetsskyddets tre delar är tydlig: människan är den svaga länken. Och med en ökning av aktiviteter inom så kallad social ingenjörskonst blir den viktigaste åtgärden därmed att höja kunskap och kompetens internt i organisationerna.
– Vi behöver öka utbildningsnivån på bred front, och jag menar att man måste börja i toppen av organisationerna för att sätta rätt typer av rutiner och riktlinjer. Samtidigt kanske det inte är hela verksamheten som omfattas av säkerhetsskyddet – det kan exempelvis vara en enhet som specifikt sysslar med forskning, utveckling eller hantering av stora mängder data. Då är det framförallt den delen som måste skyddas.
Även om man som verksamhetsutövare kommer fram till att det man gör inte omfattas av lagstiftningen kring säkerhetsskydd, finns det en poäng med att genomföra genomlysningen och vidta åtgärder.
– Det finns en stor risk i att inte arbeta proaktivt med säkerhetsskyddet. Omfattas du av lagstiftningen riskerar du från 1 december 2021 sanktioner och viten om skyddet inte är tillräckligt. Om du inte omfattas av säkerhetsskyddslagen är det ändå en god investering inför framtiden, avslutar Åsa Ahl.
Om Säkerhetsskyddslagen
Säkerhetsskyddslagen omfattar alla som bedriver ”säkerhetskänslig verksamhet som är av betydelse för Sveriges säkerhet eller som Sverige har förbundit sig att skydda genom internationella åtaganden”.
På Säkerhetspolisens hemsida finns vägledningar och riktlinjer som man kan använda sig av för att genomföra en säkerhetsskyddsanalys inom sin verksamhet.