Whoop, whoop en ny säkerhetsskyddslag?

Ett steg till mot en ny säkerhetsskyddslag är taget i och med att lagrådsremissen presenterades för någon vecka sedan. Själv utsatte jag det ursprungliga förslaget som presenterades av utredningen för en kritisk granskning och är därför av naturliga skäl nyfiken på hur regeringen hanterat förslaget och de många remissvar som kommit in.

Efter en genomläsning är min slutsats att regeringen köpt utredningens förslag med några få men viktiga förändringar initierade från remissvaren. En sådan positiv förändring är att regeringen instämmer i ett antal remissinstansers kritik av utredningens förslag att använda begreppet informationssäkerhetsklassificering trots att klassningen endast skulle bedöma konfidentialitet. Istället kommer begreppet säkerhetsskyddsklassificering vilket visserligen är otympligt men, viktigare, är mer korrekt i förhållande till vad aktiviteten innebär. Ännu bättre hade det varit om begreppet informationssäkerhet överhuvudtaget användes i lagen eftersom man definierar det på ett helt eget sätt:

Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet)

Det vore ju så mycket bättre att undvika begreppsförvirring och istället införa ett unikt begrepp typ informationsskydd men man får vara tacksam för det lilla i det här sammanhanget. Jag noterar också att intresset för internationell anpassning förefaller större än för att få en nationellt konsistent modell för informations-/informationssäkerhetsklassificering.

Men i huvudsak kvarstår utredningens förslag och regeringen fyller på. Den nya säkerhetsskyddslagen sägs nödvändig framförallt av tre orsaker som kan sammanfattas som: ”det förändrade omvärldsläget”, digitaliseringen och att allt större del av det som kallas säkerhetskänslig verksamhet ombesörjs av privata aktörer (inklusive i form av outsourcing m.m.). Händelserna vid Transportstyrelsen har inte heller gått obemärkt förbi om man säger så. Detta gör att den nu gällande säkerhetsskyddslagens tillämpningsområde anses för ”snävt” vilket annorlunda uttryckt innebär att man vill utvidga till att fler verksamheter och funktioner samt mer information ska klassas som säkerhetskänslig.

Det som slår mig när jag läser lagrådsremissen liksom den tidigare utredningen är bristen på systemtänkande på samhällsnivå. Här finns ett stuprörsutredande där man försöker utreda och lagstifta i delar utan att sammanhang skapas och utan att det går att se hur de olika delarna hänger ihop. Särskilt tydligt blir detta när det gäller ”säkerhetskänslig” i förhållande till ”samhällsviktig” verksamhet. Med den glidning som sker från att säkerhetsskyddet, förenklat beskrivet, varit fokuserat på antagonistiska hot mot hemlig information i offentlig verksamhet till att övergå till ett betydligt större område blir gränsdragningen än svårare. Nu har vi dels säkerhetsskydd som ska skydda

säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter

där med  säkerhetskänslig verksamhet avses:

verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd

Och så samhällsviktig verksamhet som definieras som:

  • Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.

  • Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt

Lagrådsremissen ”förtydligar” skillnaden mellan det ena och det andra genom följande plattityd:

Verksamheter som bör omfattas av en ny säkerhetsskyddslag omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex. spioneri, sabotage och terroristbrott.

Personligen uppfattar jag det som djupt problematiskt när skillnaden på det ena och det andra blir ungefär som den klassiska Fred Astaire-sången med refrängen Potato, potahto, tomato, tomahto . Det är helt enkelt väldigt svårt att avgöra skillnaden mellan samhället respektive Sverige. Den enda skillnaden i detta sammanhang är såvitt jag kan se att säkerhetsskydd ställs i relation till typen av hot (antagonistiska). När det nu blir allt tydligare att informationssäkerheten generellt är på en nivå som inte på något sätt motsvarar behovet borde en huvudfråga vara hur bättre stöd ska ges till alla de verksamheter som är säkerhetskänsliga och/eller samhällsviktiga. Att då inte kunna ge reda ut ens huvudkriterierna på ett pedagogiskt sätt förtjänar ett totalt underbetyg.  I backspegeln verkar lanseringen av samhällsviktig verksamhet som begrepp och det praktiska arbetet med att faktiskt utveckla och skydda de funktioner som vi alla är beroende av vid större störningar ha misslyckats. Det klena stödet för att identifiera vad som är samhällsviktigt kombinerat med avsaknaden av förslag på konkreta åtgärder som ska vidtas om man mot all förmodan lyckas med uppgiften är ett allvarligt problem. Säkerhetsskyddet är knappast lösningen på det problemet även om det verkar vara en tanke som vissa drabbas av.

Varken den ursprungliga utredningen eller lagrådsremissen utgör någon hjälp i det hänseende. I lagrådsremissen blandar man t.o.m. ihop begreppen som på sidan 35 där man motiverar ett ökat säkerhetsskydd med allvarliga konsekvenser i samhällsviktig verksamhet. Att det är svårt att ge exakta kriterier för säkerhetskänslig respektive samhällsviktig verksamhet har jag förståelse för men det måste ändå gå att åstadkomma betydligt mer än det som hittills presenterats. En första insats vore att en central ansträngning gjordes för att definiera vad som är skyddsvärt ur dels säkerhetsskyddsperspektiv, dels ur vad som ska räknas som samhällsviktigt. Nu trycks frågan istället ner på organisationsnivå och skapar en logisk knut: det är organisationen själv som genom en säkerhetsanalys ska fastställa om den är säkerhetskänslig men för att över huvud taget komma på att man är säkerhetskänslig måste man först göra analysen… Detta förstärks ytterligare av att lagrådsremissen uttrycker sig i termer som närmast är att likna vid fjärilseffekten:

Det kan också tänkas att ett angrepp som riktas mot en verksamhet på en förhållandevis liten geografisk yta påverkar människor som har funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet. Även flera koordinerade, eller av varandra oberoende, angrepp som resulterar i störningar av samhällsviktiga funktioner på lokal eller regional nivå kan påverka Sveriges säkerhet, t.ex. genom att det bland befolkningen generellt sprids oro och misstro mot myndigheternas förmåga att hantera situationen. Dessa exempel på frågeställningar som en verksamhetsutövare måste ta ställning till visar att bedömningen av säkerhetsskyddslagens tillämpningsområde inte enbart kan ha sin grund i geografiska områden eller antalet medborgare som potentiellt kan drabbas av ett angrepp. Även potentiella följdverkningar av en händelse måste vägas in i bedömningen.

Och visst kan säkerhetsbedömningar likna kaosforskning på sätt och vis men att kräva att kommuner, landsting och regioner ska kunna göra sådana bedömningar är att bygga in en fallucka i hela systemet eftersom det är en omöjlig uppgift. Ytterligare en dimension av detta är att privata aktörer förväntas att på ett objektivt sätt analysera om det finns funktioner som är säkerhetskänsliga i den egna verksamheten trots den kostnadsdrivande effekt en sådan bedömning skulle få. Och den spännande frågan om aggregering hos privata aktörer där intet svar ges om vem som ska ha koll på detta:

Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet. Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för alla de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda fram till effekter för samhället i stort.(s 46)

Ungefär på samma sätt är det med samhällsviktig verksamhet, det är organisationen själv som ska bedöma vilka delar som är samhällsviktiga och även där intuitivt kunna se långa beroendekedjor på samhällsnivå som inte finns beskrivna. Idag är det uppenbart att

1. Kommuner/landsting har ansvar en stor del av den samhällsviktiga verksamheten och även en del funktioner som är att betrakta som säkerhetskänsliga

2. Förmågan att kunna vidta rätt säkerhetsåtgärder är alldeles för låg.

Vad som förvånar mig är detta inte är något som analyseras närmare vare sig i utredningen eller lagrådsremissen, vilka åtgärder och vilket stöd som vore nödvändigt för att intentionerna ska kunna förverkligas. Riskerna med vagheten är flera. Den mest uppenbara är att säkerhetsåtgärder inte vidtas i den omfattning som vore befogat. En annan av jämförbar dignitet är att svårigheten att avgöra om det är ”säkerhetskänsligt” eller ”samhällsviktigt” gör att organisationer i en allmän ängslighet tar det säkra för det osäkra (lätt hänt efter sommarens och höstens massiva mediebevakning) och definierar information och system som säkerhetskänsliga. Detta gör att jag inte ens blir förvånad över crazylösningar som när sjukvårdshuvudmän försöker få sjukvårdssystem att bli säkerhetsskyddade, uppenbarligen utan en susning om vad det skulle innebära i praktiken. Detta är för den med minsta insikt ett totalhaveri i säkerhetstänkande och där ett förverkligande skulle innebära att en stor del av sjukvården lamslogs.

En inte oväsentlig risk är att integritets- och offentlighetsaspekter blir utdefinierade i verkligheten på samma sätt som i lagrådsremissen. Denna risk förs fram av flera remissinstanser men viftas i lagrådsremissen bort utan vidare spisning (ex s 48 och 63).

Jag funderar också rätt mycket när jag läser lagrådsremissen på risken att säkerhetsskyddet genom oklarheten i tillämpningen devalveras. Om information och system inte hör dit ändå placeras där kommer då säkerhetsskyddet verkligen att kunna upprätthållas där det verkligen behövs?

Överhuvudtaget väcker lagrådsremissen så många frågor att jag rekommenderar alla att läsa den och försöka visualisera effekten i den verkliga världen. Hur ska man till exempelvis göra för att bedöma riktighet och tillgänglighet men inte i form av klassning? Och hur få ihop säkerhetsskyddslagens legitimitet i antagonistiska hot när en stor del av störningarna i informationshanteringen och därmed i verksamheten uppstår av andra orsaker? Och vore det inte mycket bättre att inrikta sig på säkerhetskänsliga funktioner än dito verksamheter? Då skulle faktiskt statsmakten kunna peka ut vilka funktioner oavsett organisation som bedöms som väsentliga för Sverige vilket skulle vara ett enormt stöd inte minst för kommunerna.  Sammantaget: det känns inte som livet som säkerhetsmänniska blivit enklare med lagrådsremissen. Den understryker dock behovet av att förstärka arbetet med informationssäkerhet för den samhällsviktiga verksamheten.