En ny säkerhetsskyddslag

Förslaget till ny säkerhetsskyddslag (SOU 2015:25) innehåller flera nyheter vad gäller informationssäkerhet, bl a en indelning av information i fyra informationssäkerhetsklasser.

Förslag på fyra informationssäkerhetsklasser som ska gälla för alla verksamheter i Sverige som omfattas av säkerhetsskydd.

Förslag på fyra informationssäkerhetsklasser som ska gälla för alla verksamheter i Sverige som omfattas av säkerhetsskydd.

 

Begreppet hemliga uppgifter föreslås ersättas med säkerhetsskyddsklassificerade uppgifter. Där ingår information som är av betydelse för Sveriges säkerhet eller information som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande (t ex information som Sverige utbyter med en annan stat eller mellanfolklig organisation). Sådan information skulle hos en svensk myndighet vanligtvis omfattas av sekretess enligt 15 kap 2 § OSL (försvarssekretessen) eller 15 kap 1 § OSL (utrikessekretessen). Begreppet säkerhetsskyddsklassificerade uppgifter används redan i dag vid översättning av engelskans classified information.

Men det nya säkerhetsskyddet ska inte endast skydda säkerhetsskyddsklassificerade uppgifter. Skyddet ska även omfatta verksamheter i det något omständliga begreppet i övrigt säkerhetskänslig verksamhet. Det motsvarar det som i dag ska skyddas mot terrorism, t ex verksamhet vid skyddsobjekt och flygplatser men även verksamheter som omfattas av luftfartsskydd, hamnskydd och sjöfartsskydd.

I övrigt säkerhetskänslig verksamhet kan även omfatta IT-system som är av central betydelse för ett fungerande samhälle. Det kan vara fråga om IT-system som styr viktiga samhällsfunktioner eller som hanterar information där informationens tillgänglighet eller riktighet är av kritisk betydelse för ett fungerande samhälle, t ex folkbokföringen. Även verksamhet som kan utnyttjas för att skada nationen omfattas, t ex kärnteknisk verksamhet.

Begreppet informationssäkerhet behålls. Säkerhetskyddsåtgärden informationssäkerhet syftar till att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. I stort kan man känna igen sig i den definition som finns i nu gällande säkerhetsskyddslag. Den stora nyheten är att syftet utökats till att även omfatta skadlig inverkan på informationstillgångar som avser säkerhetskänslig verksamhet.

Det är fråga om informationstillgångar som i sig inte består av säkerhetsskyddsklassificerade uppgifter, men som är av sådan betydelse för säkerhetskänslig verksamhet att tillgångarna behöver omfattas av ett säkerhetsskydd vad gäller informationens tillgänglighet och riktighet. Även ett IT-system som inte innehåller säkerhetsskyddsklassificerade uppgifter kan vara av sådan betydelse för verksamheten att systemet måste omfattas av ett säkerhetsskydd.

150409_betankande_sou_2015_25

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25) kan laddas ner från regeringens webbplats.

I dag finns två system för informationsklassificering av hemliga uppgifter i Sverige. Försvarsmakten och de försvarsnära myndigheterna använder sedan 2004 fyra informationssäkerhetsklasser (HEMLIG/TOP SECRET, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL och HEMLIG/RESTRICTED). Övriga delar använder i princip ett tvånivåsystem med kvalificerat hemlig och hemlig.

I förslag till ny säkerhetsskyddslag delas de säkerhetsskyddsklassificerade uppgifterna enligt internationellt vedertagen modell in i fyra informationssäkerhetsklasser (som bl a EU och NATO har). Placering av information i de fyra informationssäkerhetsklasserna ska styras av den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Användningen av begreppet men utgår därmed och ersätts med skada. Indelningen i de fyra informationssäkerhetsklasserna är grunden för hur informationen ska skyddas med hjälp av säkerhetsskyddsåtgärder inom informationssäkerhet, fysiskt skydd och personalsäkerhet. Informationssäkerhetsklasserna blir en enhetlig modell för informationsklassificering av säkerhetsskyddsklassificerade uppgifter i Sverige, vilket underlättar informationsutbytet inom Sverige och med andra stater och mellanfolkliga organisationer.

Då säkerhetsskyddsklassificerade uppgifter även inkluderar information som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande betyder det att Försvarsmaktens nuvarande informationsklassificeringsmodell kan förenklas. Begreppet utrikesklassificerad uppgift infördes i Försvarsmakten 2010 för att internt skapa ett skydd för sådan information som hanteras i det internationella samarbetet.

≈ ≈ ≈

Utredningens omfattande betänkande (578 sidor) innehåller många andra nyheter. MSB föreslås bli säkerhetsskyddsstödjande myndighet för kommuner och landsting när det gäller rådgivning och tillsyn samt få rätten att meddela föreskrifter. Det införs en obligatorisk skyldighet att anmäla allvarlig säkerhetshotande verksamhet till tillsynsmyndighet. Kravet att en säkerhetsklassad anställning endast får innehas av den som är svensk medborgare tas bort.

Om betänkandets förslag bli verklighet kommer de närmaste årens genomförande av den nya säkerhetsskyddslagen medföra en hel del intressanta arbetsuppgifter. Det blir till att lära om, inte bara begreppen utan även vilka säkerhetsskyddsåtgärder som konkret ska finnas, inte minst med tanke på utökningen av säkerhetsskyddet och ett ökat fokus på tillgänglighet och riktighet.

/Kim Hakkarainen

3 kommentarer

Publicerad i Säkerhetsskydd, Utredningar

3 kommentarer till En ny säkerhetsskyddslag

  1. Johan Nilsson

    Svensk säkerhetstjänst ligger i framkant. Läs det ”möjliga fallet” på s. 42 i årsboken och skratta gott. Fysisk stöld av servrar 2015? Kom igen Säpo, bättre kan ni!
    http://www.sakerhetspolisen.se/download/18.4c7cab6d1465fb27b01f1a/1426682274489/Arsbok2014_webb_slutgiltig.pdf

  2. Spridda tankar:

    Vi behöver bli bättre på att prata öppet om informationssäkerhet och informationsteknologi med medborgare och privatpersoner som förväntas lotsas kring i förvaltningen som styrs av IT-system. Den nya säkerhetsskyddslagen är flerfaldiga steg tillbaka eftersom den
    a) skjuter mer makt till någon liten klick i Stockholm som sedan kan sitta och vara kloka åt alla andra,
    b) skjuter makt till Försvarsdepartementet (vars uppdrag är att skydda och hjälpa den abstrakta, institutionella staten, inte dess enskilda medborgare), och
    c) genom dessa åtgärder fördunklar, snarare än ökar transparensen, kring beslut om IT.

    Informationsteknologisk determinism (”nu funkar datorn så här och då gör vi så”, ref SOU 2014:67, E-delegationens samlade verk) är ett problem ingalunda begränsat till informationssäkerheten (kanske inte ens huvudsakligen där). Men, det är ett problem när den enda utvecklingen av förvaltningsapparaten – som i stora delar måste anses likställd med dess informationsteknologiska utformning – är den som sker för att flytta kontroll uppåt, till centralare, klokare delar. Samtidigt som man undlåter att förbättra transparensen mot deltagarna i samtliga förvaltningssystem – deltagare som ju i slutändan är medborgare.

    Detta nya förslag får extra negativa konsekvenser om man utökar räckvidden för bestämmelserna. I princip kan man tänka sig att svenska privatpersoner, som aldrig haft eller avsetts ha någon större tillgång till beslutsprocesser i t ex försvarsmakten (även om detta kritiserats), inte kommer att lida av att man gör om system som undanhåller dem information inom försvarsrelaterade verksamheter.

    Det som nu händer är en oroväckande expansion av det militära resonemanget till andra, icke-militära verksamheter, som borde skötas demokratiskt och kunna påverkas och förstås, även av Svenne Banan.

    Två utmärkta och enkla åtgärder som skulle förändra oändligt mycket är att se till att privatpersoner alltid informeras om IT-problem som angår dem, oavsett det är som anställd, medborgare eller företagskund. Tillsammans med införande av en dataombudsman skulle man kunna ge varje privatperson effektiv möjlighet att själv bidra till inkrementellt bättre säkerhet över tid. Det är svårt att se hur en sådan dynamisk och ”resilient” process skulle utklassas av godtyckliga centraldirektiv – självaste demokratin, eller varför inte den fria, konkurrensutsatta marknaden, är exempel på att man genom lång och mödosam experimentation kommit fram till att dynamiska, inkrementella processer för förbättring ofta fungerar bäst.

    När den offentliga förvaltningen och dess upphandlingar ställs in på militärt hierarkiska beslutskedjor påverkar man också kompetensutvecklingen och produktutbudet på marknaden: vi får tjänster och konsulter anpassade efter tungråddade, centrala och byråkratiska system, istället för hyggliga mekanismer att vara tillmötesgående mot privatpersoner. Jag använder ordet tillmötesgående inte synonymt med kundtjänst, utan kanske snarare ansvarsutkrävande.

    Det är klurigt, för det är inte heller lätt att se hur man skulle vända en sån här utveckling. Tyvärr kombinerar den det sämsta av rossligt, gammeldags säkerhetstänk och en brist på upplyst politiskt ledarskap för övriga samhället. Jag är missnöjd.

  3. Pingback: Ny säkerhetsskyddslag – ska vi RÖS-skydda hela världen nu? | Inte utan min åsikt

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *