Nya föreskrifter från Säkerhetspolisen (PMFS 2019:2) och Försvarsmakten (FFS 2015:2) har precis också sett dagens ljus. Föreskrifterna innehåller läsvärda bestämmelser som kompletterar säkerhetsskyddslagen (2018:585) och säkerhetskyddsförordningen (2018:658). Oväntat många organisationer är ovetandes om de berörs eller ej.
Jag noterade nyligen en intervju med en ”expert” som menade att informationsklassificeringen är startskottet för bedömningen om verksamheten berörs eller ej. Det kan visserligen vara en väg fram, men den är verkligen inte vattentät då informationsklassificeringen oftast utgår från verksamhetens egna krav och de regulatoriska krav som tillgången är förenad med. Det är långt ifrån självklart att verksamheten alla gånger är medveten om att de berörs. Den sammantagna bedömning av enskilda tillgångar som är harmlösa var för sig kan också ge en helt annan aggregerad bild vilket måste beaktas.
Rätt väg fram är en säkerhetsskyddsanalys för att identifiera och bedöma säkerhetskänslig verksamhet. Det är också viktigt att förstå att det är organisationen själv som ska identifiera och bedöma säkerhetskänslig verksamhet. Det gör ingen annan åt dig.
Den nya säkerhetsskyddslagen är som bekant betydligt mer omfångsrik vad gäller informationssäkerhet. Ett viktigt tillnyktrande i jämförelse med tidigare säkerhetsskyddslag. Att däremot tro att en normalt ogrön verksamheten har förmågan att upprätta en tillräckligt röd miljö är naivt. Väldigt få organisationer har förmågan eller ens förståelsen hur information som faller inom ramen för säkerhetsskydd ska hanteras digitalt. Det är betydligt bättre att hantera information som kan äventyra Sveriges säkerhet analogt enligt de hanteringsregler som finns och som är tydliga, än att tro att förmågan finns att hantera den informationen digitalt. Här är det verkligen inte läge att tro.
För den som trots allt vill ge sig i kast och bygga en röd miljö för ändamålet kan dra fördel av de handböcker och den metodik och kravkatalog (ITSS/KSF) som militära underrättelsetjänsten (MUST) tillhandahåller. Materialet är i grunden inte civilt anpassat men det är fullt möjligt att göra den anpassningen och nå fullgott resultat även över tid. Den vanligaste misstaget är att den röda miljön bara dimensioneras för lagringen av informationen, inte när den behandlas. Frånvaron av åtkomst till Internet är en annan utmaning som inte är självklar i dagens uppkopplade samhälle. Har du ingen tidigare erfarenhet av att etablera röda miljöer är det starka rådet att ta hjälp.
En annan insikt, som flera har fått erfara i mediadrev, är att kommersiella hyllprodukter inte är en självklar väg fram utan här är det allt som oftast produkter som är godkända för ändamålet som gäller.
Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) som presenterade i november 2018 är efterlängtade. Här finns viktiga tillägg med exempelvis risker i samband med utkontraktering, behovet av sanktioner och inte minst tillsyn. Sammantaget viktiga delar för att få en fungerande helhet. Kompletteringarna är nu ute på remiss som ska vara Justitiedepartementet tillhanda senast den 1 april 2019. Det är med andra ord ett tag kvar innan den nya säkerhetsskyddslagen är komplett.
Det hindrar dock inte från att göra den viktiga säkerhetsskyddsanalysen. Myndigheter och privata aktörer som bedriver säkerhetskänslig verksamhet är skyldiga att utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys.
Det är bara att sätta igång, för så väl er egen som för Sveriges väl och ve.
Thomas Nilsson
