Vad kan vi lära av den falska officeren?
Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i Natos högkvarter. Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB. Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media. Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera. Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten. Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället. Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens. Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd. Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet. Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten. Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande. Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten. Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren? En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen. Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till kryptonycklar! Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada. Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten FSB. Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd. Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren. Båda dessa defensiva kommentarer är problematiska menar jag. Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet. Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena. För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt. Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende. Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato. Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå. I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster. Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak. En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare. När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade. Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten. Det finns mig veterligen inga alternativa eller privata officersutbildningar. Att då någon ändå slipper igenom är högst förvånande. När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade. Då finns det ändå c.a. 42 000 läkare jämfört med c.a. 9000 yrkesofficerare vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”. Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats. Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter. I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter. Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder. Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är obesvarade.
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det? Min första tanke är hur svårt det är att få till en fungerande säkerhet. Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften. Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt. Och det räcker inte att det fungerar en gång, det ska fungera åt efter år. I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar. Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren. En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann. Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas. Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas. En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar. Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa. Kort sagt: verklig säkerhet trumfar fantasier! För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan. En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning. Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts. Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den. Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet. Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva. Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt. Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå. Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här? Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos arbetsgivaren. Ganska häpnadsväckande.