Reportage

"Gör din säkerhetsanalys"

Medvetenhet hos ledningen, en ordentlig säkerhetsanalys och balanserad säkerhet. Det är grunden för ett starkt digitalt totalförsvar enligt landets säkerhetsmyndigheter FRA, Must och Säpo.

Den åttonde konferensen Informationssäkerhet för offentlig sektor öppnade med ett panelsamtal med Anders Thonberg, Säkerhetspolisen (Säpo), Gunnar Karlsson, Militära underrättelse och säkerhetstjänsten (Must) och Dag Hartelius, Försvarets radioanstalt (FRA) under ledning av moderatorn Annika Nordgren Christensen. Utgångspunkten var informationssäkerhet ur perspektivet civilt försvar och ett förändrat säkerhetspolitiskt läge.

Gunnar Karlsson konstaterade att vi säkerhetspolitiskt fortfarande lever i den situation som uppstod i och med den illegala ryska annekteringen av Krim 2014 när Ryssland visade att man inte var beredd att acceptera den europeiska säkerhetsordningen.

– Vi ser ett växande underrättelsehot från främmande makt. Det pågår en omfattande underrättelseverksamhet som riktas mot vårt land från Ryssland, Kina och Iran. Ryssland mer mot det mest skyddsvärda, Kina mer mot ekonomiska intressen, säger Anders Thornberg.

Säpo arbetar redan med att skydda det svenska riksdagsvalet nästa höst.

– Vi förbereder oss på att politiska partier och myndigheter kommer att utsättas för IT-angrepp och påverkansoperationer i olika omfattning. Vi har jobbat med riksdagens säkerhetsorganisation och utbildat alla partier. Vi informerar om risker, vad som är brott, hur man ska förhålla sig och hur man ska hantera mobiler och e-post.

Trots en påtaglig hotbild är inte säkerheten vad den borde hos myndigheter.

– De brister vi ser hos statliga myndigheter och bolag är okunskap om hotbilden och egna sårbarheter; bristande förståelse hos ledningen och att man outsourcat skyddsvärd information med bristande kravställning, säger Dag Hartelius, FRA.

FRA är en teknisk utrikesunderrättelsetjänst och har regeringens uppdrag att följa de mest kvalificerade antagonistiska statsaktörerna och deras skadliga kod. Tillsammans med försvarsmakten arbetar myndigheten långsiktigt med att utveckla en offensiv avskräckande förmåga.

– Den digitala territorialgränsen går genom allas våra datorer och i tilltagande utsträckning genom vår hemelektronik, smartphones och diverse prylar. Det gäller att hindra intrång och att svenska datorer blir anfallsvektorer gentemot tredje part. Ska vi få ett starkt digitalt totalförsvar är medvetenhet hos ledningen om hur man hanterar skyddsvärd information och vad som är det skyddsvärda, avgörande, säger Dag Hartelius.

Alla tre är eniga om vad som behöver göras. Kanske viktigast är en grundlig säkerhets­analys.

– Det måste börja med en ordentlig säkerhetsanalys. En verksamhet som inte gjort det får inget vettigt gjort på säkerhetsområdet. Alla måste göra säkerhetsanalysen själva. Ingen expertmyndighet kan tala om att det här är dina viktigaste skyddsvärden. Transportstyrelsen har väl illustrerat komplexiteten i information i offentlig sektor. Min skyddsvärda information finns inte bara hos mig, den finns hos andra också, säger Gunnar Karlsson.

Försök inte skydda allt.

– Under förra året gjorde Säpo en större inventering på ett antal myndigheter och kunde konstatera att det brister i säkerhetskulturen, ledningen inser inte vikten av frågorna. Vi brukar tala om balanserad säkerhet, att man i första hand skyddar det som är mest skyddsvärt och resten efter förmåga, säger Anders Thornberg.