2022-11-29

Säkerhetsskydd – vanliga missuppfattningar

Det förekommer ofta att verksamheter har för lite, eller för gammal, kompetens kring säkerhetsskydd. Det beror helt enkelt på att lagstiftningen har uppdaterats rejält de senaste åren, så det är mycket nytt att läsa in sig på.

Marcus Dahlman
Informationssäkerhetskonsult

Här är de viktigaste ändringarna som berör civil verksamhet: 

  • 2018: Ny säkerhetsskyddslag och ny säkerhetsskyddsförordning
    • Förut var fokus på konfidentialitet men nu har tillgänglighet och riktighet tillkommit.
    • Även privata företag omfattas numera.
    • Förut var fokus på personalsäkerhet, men nu har informationssäkerhet och fysisk säkerhet lagts till.
  • 2019: Nya riktlinjer och vägledningar från Säpo
  • 2021 januari: Skärpning av lagen rörande överlåtelse av verksamheter. Nu kan Säpo gå in och ogiltigförklara tveksamma affärer/omorganisationer i efterhand.
  • 2021 december: Rejäl skärpning av lagen rörande uppföljning av leverantörer, förstärkt roll för säkerhetsskyddschefen, förstärkt tillsyn från tillsynsmyndigheterna, böter på upp till 50 msek.
  • 2022 mars: Nya riktlinjer och vägledningar från Säpo. 

Vad är likheterna och skillnaderna jämfört med ”vanlig” säkerhet?

Det som gör att säkerhetsskyddsarbete skiljer sig väsentligt från traditionellt säkerhetsarbete är främst tre saker:

  1. Säkerhetsskydd är konsekvensbaserat och inte riskbaserat
    I lekmannatermer betyder det (förenklat) att staten bestämt att risken är 100%, dvs vi vet att det förekommer aktioner mot Sveriges säkerhet. Det innebär att hela riskhanteringen utgår och att det inte behöver göras någon riskanalys. Det är konsekvensanalysen som besvarar frågan ”Vad ska skyddas?”.
  2. Säkerhetsskydd är icke-normativt
    Det betyder (återigen förenklat) att det hjälper inte med en ISO-certifiering eller att säga att vi följer SSF 200. Det är hotbildsanalysen och sårbarhetsbedömningen som besvarar frågorna ”Mot vad ska det skyddas?” och ”Hur ska det skyddas?”.
  3. Straffen för brott mot säkerhetsskyddslagen är väldigt skarpa
    I de flesta fall är det ganska milda straff för brott mot diverse lagar som berör säkerhetsfrågor, förutom GDPR, men vid brott mot säkerhetsskyddslagen kan dels företaget/organisationen få böter på upp till 50 msek och dels kan VD och andra nyckelpersoner få upp till 3 års fängelse.

För leverantörer tillkommer en viktig faktor:

  • Affärsavtalet är bundet till säkerhetsskyddsavtalet.

I princip betyder det att om en leverantör inte följer säkerhetsskyddsavtalet så kan kunden säga upp affärsavtalen som är kopplade till säkerhetsskyddsavtalet.

Var blir det oftast fel?

Ett av de vanligaste misstagen är att ett företag, en myndighet eller en organisation säger: ”Men vi har inget hemligt?”. Det kan vara helt korrekt, men det kan vara så är att säkerhetsskyddslagen är tillämplig ändå. Som sagt så är det inte helt känt att säkerhetsskyddslagen numera tillämpas på konfidentialitet, tillgänglighet och riktighet samt både på offentlig och privat verksamhet.

Ett annat vanligt misstag är att ”Allt är säkerhetskänsligt!”. Det är väldigt lätt att frestas att övertolka vad som är säkerhetskänsligt. Grundorsaken till det är att lagstiftaren med avsikt lagt hela ansvaret för tolkningen på företaget, myndigheten eller organisationen. Det finns väldigt få tolkningar eller exempel i de lagtexter och vägledningar som existerar.

Ett väldigt känt exempel på övertolkning är:

En parkförvaltning i en kommun kom fram till att deras verksamhet var säkerhetskänslig eftersom terrorister kan lägga bomber i papperskorgarna i stadsparken.

Ytterligare en aspekt av ”Allt är säkerhetskänsligt!” är att något som faktiskt är säkerhetskänsligt ”smittar ned” omgivningen.

Ett konkret exempel från verkligheten:

En leverantör tecknar ett säkerhetsskyddsavtal med en kund. Leverantören antar felaktigt att allt som rör säkerhetsskyddsavtalet är jättehemligt. IT-avdelningen får inte ens reda på att det finns ett säkerhetsskyddsavtal, vilket gör det svårt för IT-avdelningen att leva upp till kraven som ställs eftersom ingen berättar för IT att kraven ställs...

Det finns ingenting i Säpos mallar för säkerhetsskyddsavtal om att det skulle vara hemligt ATT man har ett säkerhetsskyddsavtal. I tidigare mallar har det förekommit formuleringar som att ”Företaget får inte utan myndighetens tillstånd offentliggöra att det är ett SUA-företag”, men inget sägs om att säkerhetsskyddsavtalet och tillhörande dokumentation skulle vara hemlig.

Det är alltså väldigt viktigt att vi är noga med att definiera exakt vad som är säkerhetskänsligt och när/hur/varför det är känsligt. Vilka kringliggande system, utrustning, lokaler, information berörs? Är avtal, instruktioner och information om VAD som är säkerhetskänsligt verkligen säkerhetskänsligt? Svaren får vi till viss del i säkerhetsskyddsanalysen, bland annat i hotbildsanalys och sårbarhetsbedömning och till viss del i Offentlighets- och sekretesslagen.

Ett stort problem som inte talas så högt om är att det väldigt sällan sker uppföljning i den omfattning som lagen kräver. Tillsynsmyndigheterna förväntas utföra tillsyn på säkerhetskänsliga verksamheter, men det hör till ovanligheterna.

I det enda fall som hittills är allmänt känt där böter delats ut var det den säkerhetskänsliga verksamheten som själva anmält sig till tillsynsmyndigheten.

De säkerhetskänsliga verksamheterna förväntas också följa upp sitt säkerhetsskyddsarbete internt. Det kan vara väldigt obekvämt, särskilt om förväntat resultat är dåligt. I de fall där det säkerhetskänsliga ”smittat ned” sin omgivning med att ”Allt är säkerhetskänsligt!” så kan det vara väldigt komplext att försöka följa upp säkerhetsskyddet.

Vid någon form av utkontraktering av säkerhetskänslig information/verksamhet så förväntas kunden även följa upp sina leverantörer regelbundet. Eftersom kunden skall ha ett separat säkerhetsskyddsavtal med varje underleverantör, så kan vissa verksamheter komma upp i hundra säkerhetsskyddsavtal som ska följas upp. Det säger sig självt att det är svårt att få till i verkligheten.

Hur gör du rätt?

Säkerhetsskydd är som sagt lite annorlunda, så du måste vänja dig vid det som är unikt. Säpo har gett ut väldigt pedagogiska och tydliga vägledningar för säkerhetsskydd. De är definitivt ett utmärkt verktyg. Följer du dessa så gör du en bra start i alla fall.

Var vaksam mot övertolkningar och se upp så att inte det säkerhetskänsliga ”smittar ned” omgivningen.

Det finns väldigt lite prejudikat och tolkningar inom området eftersom lagstiftningen ur ett juridiskt tidsperspektiv är sprillans ny. Därför är det viktigt att stämma av med kollegor i branschen och att anlita rätt leverantör med rätt kompetens.

Vid val av leverantör, kontrollera att de faktiskt har verklig erfarenhet av arbete med säkerhetsskydd. Bara som exempel så gör Atea flera hundra (!) säkerhetsprövningar årligen, vilket antyder att Atea vet hur det ska göras även i praktiken.

Läs andra blogginlägg av Markus Dahlman, informationssäkerhetskonsult

Säkerhet i rätt ordning - Först och främst, vadå "säkerhet"? Vi brukar ju prata om cybersäkerhet, it-säkerhet och andra modeord. Varför pratar vi säkerhet nu? Säkerhet är väl staket och vakthundar? ...

Hotbildsanalysen – viktigare än du tror - Hotbildsanalys behandlas ibland väldigt styvmoderligt i säkerhetsarbetet. Av någon outgrundlig anledning är det väldigt underskattat...