Jag lyssnar på det senaste avsnittet av den underbara podden Snedtänkt som handlar om atomskräcken. Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder. Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister. Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna. Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen. Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.

Med detta som bakgrund läser jag utredningen SOU 2015:25 som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”. Förtroendeingivande.

Säkerhetsskydd är ett svårhanterligt område. Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt. Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter. Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten. Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren. Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts. Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.

Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt. Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta. Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas. Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk. För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade. Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.

För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation. Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”. Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.

Den utvidgning som utredningen föreslår är att:

  • Fler verksamheter ska kunna falla under säkerhetsskyddet
  • Flera organisationer ska kunna falla under säkerhetsskyddet
  • Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas

Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.

Vad är det egentligen som ska skyddas?

I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda. Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot. Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden. Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information. Hot har varit relaterat till brott; på senare tid antagonism och terrorism. Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.

I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar. När det gäller verksamhet skriver utredningen:

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda. Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar. Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter. Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om. Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som MSB:s definition  är:

En verksamhet som uppfyller minst ett av följande villkor:

  • Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
  • Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.

Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner. Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse. Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.

Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart. I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen). Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses. Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver:

Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade. Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.

Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”. Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs:

Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.

Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt. En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som  efter beslut av SÄPO börjar hanteras i extraordinära former. Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.  En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen. Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.

Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter. Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen. Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.

Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan. Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.

I nästa inlägg alltså mer om informationssäkerhet i förslaget.