Det civila försvaret klarar inte av säkerhetsskyddet i försvarsplaneringen

När försvarsplaneringen kommer i gång behöver aktörerna delge varandra information och tillsammans ta fram dokument. Informationen kommer i vissa delar omfattas av försvarssekretess. Är de civila och privata aktörerna redo att hantera sådan information? Knappast!

MSB rapport om det civila försvaret inför den försvarspolitiska inriktningspropositionen 2015 innehåller sällsynt intressanta delar om informationssäkerhet i Sverige.

Försvarssekretess i försvarsplaneringen

Planering för höjd beredskap (dvs för krig och krigsfara) innebär av nödvändighet att det i arbetet finns information som omfattas av sekretess enligt OSL. Den sekretess som främst kommer i fråga är så klart försvarssekretessen. Att det militära försvaret använder försvarssekretessen är naturligt. Men sekretessbestämmelsen är inte begränsad till militära förhållanden utan kan även användas i det civila försvaret, även för information som endast rör det civila försvaret.

Första meningen i 15 kap 2 § 1 st OSL, i vardagsspråk kallad försvarssekretessen.

Första meningen i 15 kap 2 § 1 st OSL, i vardagsspråk kallad försvarssekretessen.

Det civila försvarets delaktighet är nödvändig för att kunna stödja Försvarsmakten, som i större omfattning än tidigare är beroende av det övriga samhällets stöd. Sannolikt är det fråga om personal hos ett stort antal civila och privata aktörer som i olika utsträckning behöver delta i försvarsplaneringen. Det behöver inte alltid vara fråga om delta i själva utformningen av planerna utan kan likaväl bestå av deltagande i övningar, besök och andra aktiviteter.

Så här skriver MSB:

”Under en följd av år har utbildning avseende försvarssekretess inte genomförts i den omfattning och med den intensitet som kommer att bli nödvändig när planeringen inom området civilt försvar nu ska påbörjas med den personal som är eller kommer att bli ansvarig för beredskapsplaneringen. MSB bedömer att det är nödvändigt att utbildning snabbt kommer igång inom alla berörda myndigheter, liksom även inom kommuner och landsting, vad avser frågor om informationssäkerhet och försvarssekretess.”

Säkerhetsskydd hos civila och privata aktörer

Den informationssäkerhet som det är fråga om är en del av det som benämns säkerhetsskydd. Säkerhetsskydd ska främst skydda mot spioneri, sabotage och andra brott som kan hota rikets säkerhet. Säkerhetsskyddet ska också skydda information som omfattas av sekretess enligt OSL och som rör rikets säkerhet, även i de fall det inte är fråga om brott mot rikets säkerhet. Det är alltså fråga om en kvalificerad form av informationssäkerhet som ska förhindra att informationen dolt inhämtas eller påverkas av andra staters underrättelsetjänster.

Hur väl klarar en civil myndighet, en länsstyrelse, en kommun eller ett landsting av det? Den kartläggning av 227 statliga myndigheters informationssäkerhetsarbete som MSB har genomfört visar på brister i ledningen av informationssäkerhetsarbetet. Ett exempel är att 26 procent av myndigheterna uppger att de inte kontrollerar om regler för informationssäkerhet följs av personalen. Ett annat exempel är att nio procent saknade styrande dokument för informationssäkerhetsarbetet.

Hur ser då Säkerhetspolisens stöd ut till de civila och privata aktörerna? Enligt Riksrevisionen har Säkerhetspolisen inriktat sin tillsyn mot den mest skyddsvärda verksamheten i statsförvaltningen, dvs myndigheter med sådan verksamhet där konsekvenserna av ett angrepp skulle bli så allvarliga att rikets säkerhet hotas. Säkerhetspolisens tillsyn kompletteras med rådgivning till de granskade myndigheterna.

Enligt Riksrevisionen genomför Säkerhetspolisen en till två tillsyner per år som tar mellan sex och åtta månader att genomföra (4 000 mantimmar per tillsyn). Denna prioritering är således inte anpassad för det civila försvarets behov, vad gäller informationssäkerhet i arbetet med försvarsplanering. Den innebär vidare att säkerhetsskyddet hos merparten av aktörerna i det civila försvaret på lokal, regional och central nivå aldrig kommer att kontrolleras av någon myndighet. Staten verkar ha övergett de små aktörernas säkerhetsskyddsarbete. Min slutsats är att få av de civila och privata aktörerna kommer ha nödvändig förmåga att skydda uppgifter som omfattas av försvarssekretess. En sådan förmåga torde vara en förutsättning för att meningsfullt delta i försvarsplaneringen.

MSB gör också bedömningen att aktörernas tillämpning av regelverket som syftar till att skydda sekretessbelagda uppgifter behöver utvecklas och följas upp på ett systematiskt sätt så att uppgifter av betydelse för rikets säkerhet hanteras korrekt.

En mycket intressant rapport om informationssäkerhet i Sverige. Enligt Riksrevisionen har Säkerhetspolisen de senaste nio åren totalt genomfört 18 tillsyner av säkerhetsskyddet.

En  intressant rapport om informationssäkerhet i Sverige. Enligt Riksrevisionen har Säkerhetspolisen de senaste nio åren totalt genomfört 18 tillsyner av säkerhetsskyddet.

Regler om informationssäkerhet för information som omfattas av sekretess och som rör rikets säkerhet lägger mycket stort ansvar på den aktör där informationen hanteras. Som ett exempel ska varje statlig myndighet, kommun och landsting se till hemliga handlingar förstörs så att ”åtkomst och återskapande av uppgifterna omöjliggörs”. Vare sig Säkerhetspolisen eller Försvarsmakten har reglerat hur de ska genomföra sin förstöring. Det upp till varje aktör att i sitt informationssäkerhetsarbete själva avgöra hur det ska gå till. En aktör kan av okunskap eller lättja komma att välja dokumentförstörare där restprodukterna går att pussla ihop så att hemliga handlingar kan rekonstrueras. Förstöring av pappershandlingar är ett simpelt exempel. Det är avsevärt svårare att ta fram IT-system som har ett tillräckligt säkerhetsskydd, i synnerhet när systemen kommunicerar över nätverk. Brister i informationssäkerhetsarbetet kan bli allvarliga för en återupptagen försvarsplanering.

Informationshantering hos civila och privata aktörer

I dag saknas modern samverkansteknik för delning av information mellan länsstyrelserna och Försvarsmakten, vilket enligt MSB försvårar regionala förberedelser. En organisation har sällan stöd för informationshantering som endast är avsedd att användas under höjd beredskap. De flesta organisationer har, enligt MSB, heller inte en autonom informationshantering. Istället finns det ofta starka beroenden till kommersiella leverantörer. Enligt MSB är det därför praktiskt och ekonomiskt orealistiskt att i det civila försvaret införa synsätt och metoder kring informationshanteringen som är helt olika från de som normalt tillämpas. Det som finns i fred ska också användas under höjd beredskap.

Enligt MSB bör det systematiska informationssäkerhetsarbetet som redan idag bedrivs väga in de krav som gäller under höjd beredskap. Ett sådant arbete ska för de flesta statliga myndigheter bedrivas i former enligt standarderna SS-ISO/IEC 27001:2006 och SS-ISO/IEC 27002:2005. Detta talar för att den informationssäkerhet som ska finnas som en del av säkerhetsskyddet så långt som möjligt bedrivs enligt samma standarder. Det som finns i fred ska också användas under höjd beredskap.

En obligatorisk IT-incidentrapportering som även omfattar aktörer utanför den statliga sfären är, enligt MSB, väsentlig för att hantera incidenter i system som är kritiska för samhällsviktig verksamhet inför och under höjd beredskap. Det som finns i fred ska också användas under höjd beredskap.

Kommunikationssäkerhet

Det är inte bara militär verksamhet som har ett behov av att kommunicera på ett säkert sätt. Även det civila försvaret behöver säker kommunikation. Enligt MSB har det militära försvarets behov av krypto fått stå i förgrunden för den utveckling som hittills skett. MSB föreslår därför att Försvarsmakten genom ett samrådsförfarande också ska beakta civila behov.

För kryptering av information som omfattas av sekretess och som rör rikets säkerhet får i dag endast krypto användas som har godkänts av Försvarsmakten. Kryptografiska funktioner har också en avgörande betydelse för informationssäkerheten i IT-system. Signalskyddstjänst är den verksamhet som syftar till att förhindra obehörig insyn i och påverkan av telekommunikationer, samt användning av kryptografiska funktioner i IT-system.

MSB tycker att signalskydd är resurs- och kostnadskrävande och vill därför undersöka om standardprodukter (commercial off the shelf på engelska, ofta förkortat COTS) kan användas för att hantera information säkert inför och under höjd beredskap. Det finns enligt MSB kostnadsbesparingar att göra då redan gjorda investeringar kan användas. Samtidigt förenklas logistiken och underhållet.

Att använda standardprodukter för skydd av information och IT-system som en annan stat kan vilja avlyssna eller påverka är dock svårt. Det finns en myriad av tekniska detaljer som om det går fel medför sårbarheter. Avlyssning och dataintrång kan underlättas av sådana sårbarheter. Sårbarheter i kommersiella produkter upptäcks i dag på löpande band. Ett bärande skäl att inte använda en standardprodukt är att den påstådda säkerheten är svår att bevisa och därmed att få tillit till produkten. Dessutom medför logistiken för standardprodukter att hård- och mjukvara dolt kan påverkas för att t ex skapa bakdörrar. Försvarsmakten har 2013 pekat ut just kryptoteknik som ett integritetskritiskt område där det inte sker relevant civil forskning eller där bi- eller multilaterala samarbeten inte kan skapas.

Hur ska kommersiella standardprodukter kunna användas för skydd av information som omfattas av försvarssekretess? Är det ens möjligt? Ett perspektiv på skyddsbehovet ges av att de längsta sekretesstiderna för försvarssekretessen är 40-150 år beroende på vad informationen handlar om. Den amerikanska regeringen har under några år arbetat med hur kommersiella standardprodukter kan användas för skydd av amerikansk classified information. Varför skulle inte Sverige kunna göra något liknande? MSB förslag borde ur ett svenskt perspektiv vara högintressant och värt att gå vidare med. Det kan dock kräva att signalskyddshegemonins cirklar behöver rubbas en aning.

≈ ≈ ≈

Det militära försvaret är beroende av det civila försvaret. Stöd och samverkan kräver säker informationshantering. Förutsättningarna för att ge information och IT-system ett adekvat säkerhetsskydd finns inte i dag. Innan försvarsplaneringen kommer i gång på allvar behövs det satsningar på området. Annars kommer informationen att förloras och systemen påverkas – med konsekvenser för rikets säkerhet.

≈ ≈ ≈

Källor:

/Kim Hakkarainen

3 kommentarer

Publicerad i IT-säkerhet, Kryptering, Offentlighet och sekretess, Säkerhetsskydd, Utredningar

3 kommentarer till Det civila försvaret klarar inte av säkerhetsskyddet i försvarsplaneringen

  1. Hans

    Det går knappast att åsidosätta krav på svensk medborgarskap i sammanhanget därtill krävs nog lagändring.
    En bra idé kan vara att minska den skyddade informationen i t ex en bilaga och öka den öppna informationen i t ex rapporter mm

  2. Pingback: Recension av en bok om säkerhetsskydd | /Kim Hakkarainen

  3. Pingback: Gemensamma skyddsnivåer för säkerhetsskydd och annan informationssäkerhet | /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *