Ibland snubblar man (dvs jag) in på TV4 för att kolla läget. Den senaste tiden har dessa besök varit omtumlande. Gång på gång hamnar jag i en scen där en kvinna ler dröjande och hemlighetsfullt när en man frågar: "hur kan du vara så lugn, jobbar inte du på kontor?". Swosh! I sitt inre ser kvinnan hur hon står text book-seriös framför en skärm och pekar, bakom flimrar en massa andra skärmar, det blir mörk bakgrund, spännande musik, andra människor som uppenbarligen är upptagna med att hantera en kris. Är detta en dramatisk höjdpunkt i TV4:s nya science fiction-serie eller information från en svensk myndighet?

Tyvärr är det myndighetsalternativet som är rätt svar. FRA försöker på något sätt gestalta begreppet cybersäkerhet i en reklamkampanj som tyder på att myndighetens reklambudget kan inte vara särskilt frugal. I en annan reklamsnutt sitter en får man ändå säga mycket dryg ung kvinna och representerar myndigheten i krogmiljö. Även denna kvinna får huvudet fullt av skärmar, världskartor, viktiga möten och allmän dramatik. Med samma hemlighetsfulla och nedlåtande minspel som den förra skådisen håller hon med om ett helt felaktigt påstående som vilseledd man framför - allt för att inte avslöja sin rätta identitet och position.

Under senare år ha det kanske litet väl frekvent pekats på säkerhetskulturens betydelse för att säkerhetsåtgärder verkligen ska genomföras och få effekt. Säkerhetskultur ska förstås som gemensamma värderingar, attityder och kunskap i en organisation som ger utslag i hur man förhåller sig till säkerhet. En betonad aspekt för att förbättra säkerhetskulturen är att säkerhetarbetet nära ska anknyta till de värderingar osv som redan finns befästa i en organisation och som relaterar till organisationens uppdrag och verksamhet. Därmed kan och bör säkerhetskulturen se mycket olika ut i olika organisationer.

I dagarna sker en överflyttning av ansvaret för det som tidigare kallats informationssäkerhet från MSB till FRA. Att bolla med uppgifter och myndigheter har varit en favoritsysselsättning för nuvarande regering så det är i sig inte förvånande med en omorganisation på oklara grunder även inom detta område. FRA ska i fortsättningen samordna och ge råd i det civila samhället inom informations- och cybersäkerhetsområdet. Nu undrar jag verkligen vilken säkerhetskultur som FRA förmedlar i sina reklamfilmer. Att säkerhet är en militär uppgift som sker i största hemlighet, så hemlig att medarbetare inte ens kan förmedla något om det till sina närmaste? Att verksamheten utövas i slutna högteknologiska rum? Inte för inte har FRA velat bli kallad "Sveriges hemligaste myndighet".

Detta ligger mycket långt från det arbete med säkerhet som jag utövat och känner till från myndigheter, regioner och sjukvården. Där handlar det om att möta människor i deras arbetsvardag, att genomföra utbildningar på APT, att informationsklassa befintlig information, att säkerställa kontinuitet, gemensamt hitta lösningar för att reducera risker i den pågående verksamheten, att lyssna in vilka frågor medarbetare har, att ge ledningen stöd i att identifiera tidskritiska funktioner i verksamheten osv, osv. Helt enkelt vara en närvarande och tillgänglig stödfunktion som inser att man inte har ett existensberättigande i sig. Under de 30 år jag nu arbetat med säkerhet har jag mycket mycket sällan om någonsin befunnit mig i de situationer som FRA illustrerar sin cybersäkerhetsverksamhet med. Kanske säger det mer om mig än om FRA men jag har ändå en stark känsla av att FRA bör se över sin säkerhetskultur om man vill lyckas med sitt nya breda uppdrag att nå civil verksamhet.