Otillräcklig säkerhetsskyddsklassning
Ett totalförsvar ska byggas upp i Sverige för att i första hand öka tröskeleffekten mot väpnat angrepp. Om Sverige trots detta angrips ska angreppet avvärjas med eller utan stöd från andra.
Totalförsvar kan förenklat sägas bestå av två delar:
- det handlar om att förbereda oss för krig och
- de civila och de militära delarna av samhället (civilt och militärt försvar) ska samordnas.
Om totalförsvaret ska kunna ledas behöver aktörerna kunna kommunicera med varandra, utan att angriparen kan ta del av informationen eller störa verksamheten. För att leda moderna organisationer behövs IT-system som kan dokumentera, lagra och kommunicera information mellan olika aktörer. Alla delar av samhället leds i fred med hjälp av IT. Det indikerar att även i en krigssituation behövs fungerande IT, för att ledning skall kunna utövas på ett optimalt sätt.
För att skydda information bland annat i IT-system, har riksdagen så sent som förra året beslutat om en ny säkerhetsskyddslag. Enligt lagen delas skyddsvärd information in i fyra säkerhetsskyddsklasser: kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. Grunden för indelningen är vilken skada för Sveriges säkerhet som ett röjande av informationen innebär.
De olika säkerhetsskyddsklasserna innebär att all skyddsvärd information ska ges olika grader av skydd från intrång och manipulation. Kvalificerat hemlig information ges ett synnerligen gott skydd medan begränsat hemlig information kan ges ett enklare, billigare och mindre kvalificerat skydd. Det är varje verksamhetsutövares uppgift att bedöma om och hur verksamheten omfattas av säkerhetsskyddslagen.
De IT-system för det civila försvaret som hittills har studerats och införts tar bara höjd för att kunna hantera säkerhetsskyddsklassen begränsat hemlig. Säkerhetsskyddslagen anger att om begränsat hemlig information röjs innebär det endast ringa skada för Sveriges säkerhet. Därför kan informationen ges ett sämre skydd mot en angripares aktiviteter.
Frågan vi ställer oss är om detta är tillräckligt. För att besvara den behöver vi undersöka vilken typ av information aktörer inom det civila försvaret behöver kunna dokumentera, lagra och kommunicera i sina IT-system, både i planering inför höjd beredskap och under ett krig.
För att totalförsvaret ska kunna avvärja angrepp av en kvalificerad motståndare och skydda befolkningen behöver IT-systemen bland annat kunna dokumentera, lagra och kommunicera:
- lägesbilder (där även svagheter behöver framgå),
- rapporter och orienteringar (där även svagheter behöver framgå),
- direktiv till underställda aktörer (där planer och intentioner behöver framgå) och
- stöd till Försvarsmakten (där detaljer om var, när och hur behöver framgå).
Då är det enligt vår mening inte tillräckligt att informationen placeras i säkerhetsskyddsklassen begränsat hemlig. Vi menar att systemen behöver kunna skydda information upp till och med säkerhetsskyddsklassen hemlig.
Säkerhetsskyddslagen föreskriver att röjandet av sådan information innebär en allvarlig skada för Sveriges säkerhet. Därför ska hemlig information ges ett betydligt bättre skydd än begränsat hemlig. Det är nödvändigt för att våra operationer och vår verksamhet inom totalförsvaret ska kunna bedrivas utan att störas av en kvalificerad angripare. Det är också viktigt för att svensk militär och civil personal inte ska dö eller skadas i onödan.
Nu är det hög tid att förse även det civila försvaret med IT-system som kan hantera information upp till och med säkerhetsskyddsklassen hemlig. Det militära försvaret använder sedan många år sådana system.
Om vi inte tar det steget utan fortsätter att ta fram system som bara klarar av att hantera information upp till säkerhetsskyddsklassen begränsat hemlig kommer alltför stora risker att behöva tas.
I mikrosituationerna kommer brukarna att ställas inför ett val mellan två oacceptabla alternativ när de behöver hantera information som anges ovan — lägesbilder, rapporter, direktiv och stöd till Försvarsmakten – i system som bara är konstruerade för begränsat hemlig information.
Det ena alternativet är att bryta mot bestämmelserna och hantera hemlig information i system som bara är konstruerade för att hantera begränsat hemlig information. På det sättet är risken stor att informationen kommer att röjas. Därmed riskerar vår verksamhet att utsättas för allvarlig påverkan av angriparen. Svensk militär och civil personal kommer att utsättas för livsfara.
Det andra är att följa bestämmelserna och undvika att förmedla för mottagaren nödvändig hemlig information. På motsvarande sätt kan detta innebära att vår verksamhet äventyras och svenska personer därigenom utsätts för livsfara.
Vilket alternativ av de två som är det sämre överlåter vi åt läsaren att fundera över.
Vi förordar att staten skyndsamt ska se till att ingen ska behöva stå inför det val som beskrivs ovan. Personal i det svenska totalförsvaret behöver förses med relevanta IT-system för att kunna leda försvaret av Sverige och stödet till medborgarna under ett krig.
Teknik och kunskap finns i Sverige, operativ sedan många år bland annat inom Försvarsmakten. Inom det svenska näringslivet finns kunskap och erfarenhet för att stödja arbetet att förse även det civila försvaret med relevanta IT-system. Inget behöver uppfinnas. Beslutsunderlag finns redan, om man är intresserad att ta del av det.
Arbetet borde ha satts igång för längre sedan. Nu är det hög tid att i uppbyggnaden av totalförsvaret också tillse att verksamheten kan ledas på ett relevant sätt.
Vi behöver göra något nu. I morgon kan det vara för sent!