Frågan ställs allt oftare om vi är säkerhetsprövade. Bara att frågan ställs som den görs visar att frågeställaren inte har en aning om hur det hänger ihop. Visst är vi säkerhetsprövade, flera gånger, av mängder av uppdragsgivare och på olika nivåer, men svaret på frågan spelar i praktiken sällan någon större roll för frågeställaren.
Härvan på Transportstyrelsen har verkligen rört om i grytan. Så till den milda grad att flera nu agerar i panik.
Borde vi ha gjort en säkerhetsskyddad upphandling (SUA)? Hur löser vi det i efterhand? Kan vi teckna ett SUA-avtal även om vi inte gjort en säkerhetsskyddad upphandling?
Outsourcingaktörerna har aldrig fått så många propåer om SUA-avtal som nu. Även i de sammanhang där frågan aldrig borde ha varit aktuell…
Nästa hagelstorm är frågan om säkerhetsprövning.
Du är väl säkerhetsprövad? Även om jag kan svara ja flera gånger om, så spelar det ju ingen roll. Det är ju för den aktuella myndigheten som prövningen görs. Det spelar ingen roll i Sverige om jag har prövats 50 gånger. För varje frågeställare måste en ny prövning göras. I flera fall måste en ny prövning göras för varje ny arbetsuppgift. För att kunna göra en prövning av kontrakterad personal måste det finnas ett SUA-avtal.
Moment 22? Kanske, kanske inte!
För att minska trycket på Säkerhetspolisens handläggare så skulle prövningen, likt i andra länder, kunna optimeras men där är vi inte idag. Utan varje prövning är unik. Det i sig leder till en tröghet och det går heller inte att få någon generell prövning som kan återanvändas eller fungera som en lägsta hygiennivå.
Säkerhetsskyddslagstiftningen må vara otidsenlig, åtminstone vad gäller informationssäkerhet. Men vad gäller personalsäkerhet och fysisk säkerhet är den i allra högsta grad gångbar. Den nya säkerhetsskyddslagen som väntas gälla från 1 januari 2019 kommer inte att få några dramatiska förändringar på just de punkterna förutom modernisering av begrepp och delar av innehållet.
Allt säkerhetsarbete måste börja i ena änden med att identifiera tillgångarna och dess skyddsvärde. Om det slarvats på den punkten är det ju lite svårt att i efterhand försöka springa baklänges för att komma ikapp. Säkerhetspolisens vägledning om säkerhetsskydd börjar även den i just den änden. En vägledning som bevisligen alldeles för få tagit del av.
Även om delar av den grafiska profilen gör vägledningen svårsmält så är det inte ursäkt nog att inte ta till sig informationen. Vi talar om Sveriges säkerhet – ytterst hotet mot vår demokrati!
Informationssäkerhet är vitt och brett. Informationstillgångarna spänner inte sällan från försumbara konsekvenser till synnerligen allvarliga konsekvenser som ytterst kan utgöra fara för Sveriges säkerhet om informationen hamnar i orätta händer, är inkorrekt eller otillgänglig. Förmågan att skydda dessa informationstillgångar måste ha samma spännvidd.
Hanterar du tillgångar som har betydelse för Sveriges säkerhet kan du inte längre skjuta från höften och låta tro att det är långsiktigt hållbart.
Alldeles för få organisationer har förmågan att hantera tillgångar som har ett skyddsvärde på nivån som Säkerhetsskyddslagstiftningen identifierar. Det ska sägas att vare sig den nya eller gamla lagstiftningen är tydlig på punkten om vilka tillgångar som avses. Arbetet med NIS-direktivet har identifierat en rad tillgångar som berörs av direktivet, samtidigt som de som berörs av Säkerhetsskyddslagen inte kan beröras av NIS-direktivet.
Glasklart? Förblindas inte av att läget inte är glasklart! Det kommer aldrig att bli glasklart. Glasklart är att ett strukturerat informations- och IT-säkerhetsarbete leder rätt, även över tid. Sedan kommer de tekniska och organisatoriska skyddsåtgärderna så klart att variera, och de ska ju variera i relation till informationens skyddsvärde och över tid.
I sammanhanget där informationen är av värde för Sveriges säkerhet så är det ”bara” tekniska och organisatoriska skyddsåtgärder som ska påföras som ni kanske inte har vana av. Att fem i tolv ställa frågan om jag är säkerhetsprövad visar bara att det strukturerade arbetet tyvärr inte är på plats
Börja med att börja i början. Att drabbas av panik är sällan bra!
Thomas Nilsson