2018-03-07

Hoten mot Sverige är större än de varit på många år

Precis som för den 11 september 2001 vet alla vad de gjorde eftermiddagen den 7 april 2017 då en ensam gärningsman utförde ett terroristattentat på Drottninggatan i Stockholm. Attacken följer ett mönster som känns igen från flera terroristattentat i Europa, en ensam person på mer eller mindre egen hand genomför ett attentat med hjälp av ett fordon på en plats där många vistas. Detta är tyvärr ett nytt normalläge för Sverige och det är något som vi delar med övriga Europa. Vi har en förhöjd terrornivå och vi kan komma att utsättas för något liknande igen.

Gästbloggare

Även om hotet är störst från de våldsbejakande islamistiska extremisterna ser vi att under 2017 ökade antalet aktiviteter i övriga extremistmiljöer där individer begår grova våldsbrott. För att bryta tillväxten i dessa miljöer krävs inte bara gemensamma insatser utan också en välfungerande och modern lagstiftning. Terrorismen känner inga gränser och vi behöver ha möjlighet att utbyta information både nationellt och internationellt samtidigt som vi ska värna vår demokrati och den personliga integriteten.

Säkerhetsläget har försämrats och hoten mot Sverige är större än de varit på många år. Intresset har aldrig varit större för de informationstillgångar vi måste hålla hemliga med hänsyn till Sveriges säkerhet och samhällsviktig verksamhet. Med samhällsviktig verksamhet menas verksamheter och funktioner som är av betydelse för befolkningens liv och hälsa, samhällets funktionalitet och våra grundläggande värden. Vi har haft en mycket snabb teknisk utveckling de senaste 20 åren och det har bidragit till att allt mer skyddsvärd information nu finns tillgängligt i digitala system och tjänster. Mängden inhämtningsförsök av underrättelser ökar drastiskt både via traditionell elektronisk väg men också via personer och genom att exempelvis slå ut en samhällsviktig verksamhet som energiförsörjning kan man påverka övriga samhällsviktiga verksamheter.

Valår

Vi står inför ett val 2018 och aldrig förr har risken varit så stor att desinformation och påverkansoperationer ska försvaga vår demokrati genom att stärka motsättningar som finns i samhället. Det är en osynlig fiende som jobbar i det dolda med stora trollfabriker till sitt förfogande som pumpar ut fake news i våra sociala medier. Väldigt ofta är det felaktiga detaljer eller information som göms i annan information och gärna i känsliga ämnen såsom invandring, terrorism eller liknande som bidrar till att ytterligare polarisera debatten. Det är förvånansvärt många personer som förlitar sig på sociala medier som sin enda källa till information och nyheter. Det finns risk att vi inte kan fatta rationella beslut, att befolkningen påverkas som i sin tur påverkar den politiska förmågan till beslutsfattande och att vi får en förvanskad bild av verkligheten om vi inte har ett kritiskt tänkande.

Det finns stora sårbarheter i vår samhällsviktiga verksamhet och det är bland annat kopplat till upphandlingar av it-drift. Vi pratar om bristfällig kravställning mot leverantörer, kompetensbrist, avsaknad av ett systematiskt säkerhetsarbete och låg säkerhetsmedvetenhet. Om det inte finns en grundlig och korrekt säkerhetsanalys kan det omöjligen finnas en tillräckligt bra kravställning på en leverantör i en upphandlingssituation. Det är alltid verksamheten, dvs. myndighetens ansvar att upprätthålla rätt nivå av säkerhetsskydd och det går inte att avtala bort ansvaret. Information som omfattas av sekretess och har bäring på Sveriges säkerhet eller samhällsviktig verksamhet ska ha samma skydd oavsett om det är verksamhetsansvariga som hanterar informationen eller om det är en extern leverantör som har anlitats för att göra detsamma. Just av denna anledning finns det krav på säkerhetsskyddad upphandling i säkerhetsskyddslagen för tillfällen då det är frågan om att utkontraktera verksamhet med sekretessbelagd information.

Hur ser vi till att rätt krav på säkerhetsskydd ställs?

Börja med att analysera verksamheten och skapa en tydlig och definierad avgränsning för den aktuella delen. Kartlägg verksamhetens processer, övergripande mål och ansvarsområden. Analysen bör också omfatta eventuella interna och externa beroenden samt eventuellt mot andra verksamheter.

Identifiera verksamhetens skyddsvärden genom att besvara frågan vad i verksamheten har bäring på Sveriges säkerhet eller samhällsviktig verksamhet. Det kan röra sig om anläggningar och information men även människor, system, processer och instruktioner. Det är viktigt att dokumentera allt som identifieras som skyddsvärt men även allt som bedöms inte vara skyddsvärt. Ta reda på de potentiella konsekvenserna av ett angrepp eller röjande av skyddsvärd information och bedöm vilka konsekvenser som är oacceptabla och ta fram åtgärder för att motverka dem. Beskriv de hot som riktas mot verksamheten. Ett hot uppstår när exempelvis främmande makt, organisation eller enskild individ har både avsikt och förmåga att begå brottslig handling, t.ex. terroristattentat. Hotbilden kan ändras över tid och det är därför viktigt att kontinuerligt utvärdera bedömningen av hotet. Fokusera på konsekvenserna istället för sannolikhet eftersom hoten aldrig får realiseras på grund av att konsekvenserna bedömts som oacceptabla. Identifiera och analysera de sårbarheter som finns kopplade till verksamhetens skyddsvärden. Det kan röra sig om både tekniska sårbarheter såsom avsaknad av säkerhetsuppdateringar av it-system och organisatoriska sårbarheter såsom avsaknad av eller underlåtelse att använda en policy, process eller instruktion. Bedöm och värdera sedan sårbarheterna i förhållande till varandra och knyt dem till lämpliga skyddsåtgärder.

Vad kan vi lära av it-skandalen i Transportstyrelsen?

Vi återkommer till brist på kunskap och förståelse för vad verksamheten verkligen gör, brist på kunskap om säkerhetsprocesser, rutiner, vilka lagar som ställer vilka krav på hur information ska hanteras och kanske framförallt vilken information verksamheten faktiskt hanterar. Många kanske tycker att outsourcing är en säkerhetsrisk, men i själva verket är det ju precis tvärtom. Syftet med att outsourca är ju att tillhandahålla specialistkompetens på områden inom organisationen som inte hör till kärnverksamheten eller inom områden som det helt saknas kompetens. Jag skrev inledningsvis att det inte går att avtala bort ansvar, men det tål att upprepas. Oavsett om verksamheten har helt eller delvis outsourcat, hyrt in konsulter eller anställt specialister så är det alltid verksamheten som ansvarar för sitt eget data.

GDPR och dataskydd

Vi närmar oss 25 maj med stormsteg och den nya dataskyddsförordningen belyser vikten av dataskydd. Om vi ska koka ner dataskyddsförordningen till en mening så är det just att inventera, klassificera och sen skydda verksamhetens information och individernas integritet det handlar om. Identifiera vilka resurser som krävs för att arbeta med säkerhet och informationsskydd och vilka resurser ni har internt. Vänd er till experter på området som kan hjälpa er med risk- och sårbarhetsanalyser, rätt kravställning och se till att ni följer alla tillämpliga lagar.

Mårten Frosth

Senior informationssäkerhetskonsult Atea
Kontakta mig här

Hur jobbar vi med detta i vardagen?

Det handlar om att börja från grunden med ett systematiskt säkerhetsarbete. Vi kan inte vara naiva längre och stoppa huvudet i sanden, vi behöver alla hjälpas åt. Genom att höja säkerhetsmedvetenheten i verksamheten med hjälp av utbildning och stöd för hur man agerar på ett säkert sätt går det att bemöta riktade attacker. Förståelsen måste underhållas genom återkommande utbildningstillfällen och det är först då säkerhet blir en naturlig del av verksamheten.

Behöver du hjälp och stöd i din verksamhet finns våra säkerhetsexperter alltid nära dig.

Källa: Nytt normalläge präglade 2017 (2018-02-22) Extremistmiljöer som växer, ökat underrättelsehot och bristande säkerhetsskydd. Under 2017 blev det tydligt att vi har ett nytt normalläge i Sverige. Om det berättar Säkerhetspolisen i sin årsbok för 2017, som publiceras den 22 februari.