Säkerhetsskyddet måste återgå till att vara ett undantag
Den nya säkerhetsskyddslag som beslutades 2018 har medverkat till en betydande osäkerhet om hur säkerhetsskyddet ska tillämpas, vilket i sin tur har lett till en överanvändning, skriver Fia Ewald.
Fia Ewald
InformationssäkerhetsexpertDet kan tyckas vara mycket dålig timing att i det rådande läget skriva om överdimensionerad säkerhet. Men vid närmare eftertanke så är det i de osäkra lägena som precisionen i säkerhetsåtgärderna är av störst betydelse.
Vad jag tänker på är den inflation i säkerhetsskydd som jag inte är ensam om att se i både myndigheter och kommuner.
Precis som inom alla typer av säkerhetsarbete är det av stor betydelse att styra de resurser som finns till faktiska risker, inte smeta ett tunt lager över hela verksamheten.
Säkerhetsskydd är alltså säkerhetsåtgärder som vidtas för att skydda det som tidigare benämndes ”rikets säkerhet”, numera ”Sveriges säkerhet”. Syftet är att skydda verksamheter som är av betydelse för nationens säkerhet (eller där det finns internationella överenskommelser) mot främst antagonistiska hot. Tidigare har det varit tämligen tydligt att det framför allt gällt till exempel skydd av den centrala statsmakten, försvarsplanering eller vitala uppgifter om infrastruktur som är avgörande för landet.
Säkerhetsskyddet överanvänds
Den nya säkerhetsskyddslag som beslutades 2018 har dock medverkat till en betydande osäkerhet om hur säkerhetsskyddet ska tillämpas, vilket i sin tur har lett till en överanvändning. Grunden till problemet är lagstiftningens otydlighet i kombination med att ansvaret för att bedöma om säkerhetsskydd är motiverat i huvudsak är delegerat till varje enskild organisation.
Den delikata uppgiften att utföra en säkerhetsskyddsanalys ska till exempel varje liten kommun i Sverige både ha resurser och kompetens att klara av. I analysen ska det bland annat med exakthet anges vilka verksamheter och uppgifter som skyddsvärda på nivå Sveriges säkerhet samt vilka specifika säkerhetshot som är riktade mot dessa.
När jag i mycket begränsad omfattning försökt kontrollera om min känsla av att säkerhetsskyddet fått orimliga tillämpningar har något stöd i verkliga förhållanden så är det min tråkiga plikt att meddela att jag funnit starka indicier för detta. Även myndigheter med betydligt större resurser än små kommuner har gjort så undermåliga säkerhetsskyddsanalyser att man senare behövt besluta om i min mening helt omotiverade säkerhetsskyddsåtgärder.
Som utomstående framstår det som att analyserna genomförts utan att tillräcklig juridisk kompetens ingått i utredningen.
Tusentals anställda ska kontrolleras
Dessutom visar det sig att man därefter slarvar med själva genomförandet av åtgärderna och till synes enbart välja de åtgärder man känner för. Ett exempel är där en myndighet på lös grund planerar att säkerhetsskyddskontrollera tusentals anställda. Ett annat är där en myndighet som i sin säkerhetsskyddsanalys kommer fram till att man mottar säkerhetsskyddsklassificerade uppgifter från externa parter, men där det enda säkerhetsskyddavtal som finns registrerat också är det med konsultbolaget som utfört analysen.
Att det sedan dessutom utbryter en ren cirkus när en länsstyrelse överprövar en kommuns bedömning visar också det på otydligheten.
Mitt intryck är att man inte ens utreder i vilken mån man kan uppnå tillräckligt skydd med ”normala” säkerhetsåtgärder.
Varför skulle det då vara ett problem med ett överdrivet användande av säkerhetsskyddslagstiftningen? Låt oss säga att det inte är ett problem det handlar om, utan ett flertal, men låt mig förenkla det till tre huvudområden.
För det första är principen med säkerhetsskydd att det är det allra mest känsliga som ska skyddas. Det gör att de säkerhetsåtgärder som kan vidtas med denna lagstiftning som stöd markant inskränker de medborgerliga rättigheter som annars är skyddad av grundlag eller på annat sätt. I huvuddrag innebär det att insynen i offentlig verksamhet starkt försämras samtidigt som arbetsgivaren själva ges möjlighet till integritetskränkande åtgärder som annars inte är tillåtna.
En viktig aspekt är också att säkerhetsskyddet begränsar möjligheten till anställning för utlandsfödda.
Man förlorar rätten till riskbedömning
Ett annat problemområde är att säkerhetsskyddsåtgärderna inte utgår från de risker som organisationerna själva kan identifiera som viktiga att reducera för att verksamheten ska fungera så ändamålsenligt som möjligt. Säkerhetsskyddet med dess i många fall tunga byråkratiska åtgärder och kanske inte mest uppdaterade teknik är belastande för organisationen och det måste därför finnas mycket starka skäl för att vidta dessa åtgärder. Som en del i detta ligger även att den ordinarie ledningen i någon mån tappar sin styrförmåga i och med att man förlorar rätten att göra egna riskbedömningar.
I vissa organisationer har jag också sett hur säkerhetsskyddsåtgärderna blir så kostsamma och krävande att det utarmar den ordinarie säkerheten vilket blir särskilt förödande om säkerhetsskyddet inte ens är motiverat.
I förlängningen är det sannolikt att Säpo får en icke avsedd roll med inflytande över verksamheter där säkerhetsskydd inte borde införas.
Inbyggda systemproblem
Slutligen kan överanvändningen av säkerhetsskydd där det inte behövs få konsekvensen att det saknas resurser där det verkligen behövs. Bara en sådan sak som att Säpo ska personkontrollera mängder av anställda i onödan kräver stora resurser. Precis som inom alla typer av säkerhetsarbete är det av stor betydelse att styra de resurser som finns till faktiska risker, inte smeta ett tunt lager över hela verksamheten.
Orsaken till rådande läge är inte bara otydlighet, utan också inbyggda systemproblem. Ett är att säkerhetsskyddsanalyserna genomförs på ett ängsligt sätt av aktörer som dessutom kan ha eget intresse av att driva upp säkerhetsskyddet. Ofta leds analyserna av anställda eller konsulter med bakgrund i Försvarsmakten där regler och synsätt gällande säkerhetsskydd är radikalt annorlunda än i den civila världen.
Jag tror också att det är svårt för många ledningar att gå emot de framtagna analyserna både på grund av bristande egen kompetens och av rädsla för att ta ansvar för felbedömning av risker som målats upp.
Det är också svårt att Säpo skulle gå emot när en säkerhetsskyddsanalys gjorts när den säger att verksamheten ska omfattas av säkerhetsskydd. Med detta har ett system utan bromsar skapats och där användningen av säkerhetsskydd sannolikt kommer att fortsätta att öka, till och med skena, oavsett ett reellt behov eller inte.
Insynen saknas
Denna utveckling sker utan insyn för media och medborgare eftersom det ligger i sakens natur att sekretesstämpeln används flitigt. Det vore därför högst önskvärt, sett både till säkerhetsmässiga och demokratiska värden, att det snarast sker en ordentlig utvärdering av den nya säkerhetsskyddslagen och vilka konsekvenser den fått.
I annat fall kommer paradoxalt nog säkerhetsskyddet att medverka till att utarma de demokratiska värden som det ursprungligen har som uppgift att försvara.
Det oroar mig särskilt med tanke på att även andra medborgerliga rättigheter som vi hittills tagit för självklara är i gungning.
I det förändrade säkerhetsläget borde det på ett transparent sätt byggas upp en säkerhetsinfrastruktur som där olika typer av säkerhetsområden integreras. Målet bör vara aldrig mer säkerhet än nödvändigt men alltid rätt typ av säkerhet där det behövs. Då kan säkerhetsskyddet återgå till att vara det undantag det ska vara i civil verksamhet.
Fia Ewald är informationssäkerhetsexpert, konsult, tidigare chef för MSB:s enhet för systematisk informationssäkerhet samt fristående gästkrönikör i Altinget.
Tidigare krönikor
- EU-förslaget leder tankarna i en dystopisk riktning
- Omprövning av kommunernas heliga självstyre kan stoppa den skenande byråkratin
- Grattis och glöm inte ert uppdrag, Integritetsskyddsmyndigheten
- Politisera digitaliseringen!
- Allvarligt om statsministern kände till ålskandalen
- Digitaliseringen är död! Leve digitaliseringen!
- Repressivt tjänstemannaansvar är inte lösningen
- Digitaliseringen riskerar göra biblioteken till torftiga Netflix för böcker
- Regeringen borde ha panikångest över SKR:s brist på insyn
- ”Digitalisering” är inte digitalisering om bara en mindre grupp människor styr
- SKR:s makt över det offentliga måste vädras i valrörelsen
- Myndigheter som DIGG måste sluta fega ur och ta sitt ansvar