Informationssäkerhetsarbetet mellan två tajta myndigheter som Försvarsmakten och Försvarets materielverk (FMV) är säkert i harmoni, tror ni. Försvarsmakten är djupt beroende av FMV då verket bl a genomför upphandlingar och hanterar logistiktjänster åt Försvarsmakten. Upphandlingarna och logistiktjänsterna är så klart beroende av en omfattande informationshantering och därmed informationssäkerhet. En basal förutsättning för informationssäkerhet är informationsklassificering – och det finns stora skillnader mellan de två myndigheterna.
FMV har i sin modell för informationsklassificering valt att använda informationssäkerhetsklasserna HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET för information som inte ska omfattas av säkerhetsskydd. Detta ställer till det när information utbyts mellan myndigheterna eftersom begreppen inte har samma betydelse hos de två myndigheterna. HEMLIG/RESTRICTED i FMV är inte samma sak som HEMLIG/RESTRICTED i Försvarsmakten.
Informationssäkerhetsklasserna definierades av Försvarsmakten 2003 som en indelning av säkerhetsskydd. Avsikten med indelningen var att balansera skyddet i förhållande till det men för rikets säkerhet som uppgifterna kan ge vid ett röjande. En uppgift som ger högre men ges ett mer omfattande skydd än en uppgift som vid ett röjande ger ett mindre grad av men. Något som också är kostnadsmässigt motiverat. En uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet placeras i en av fyra informationssäkerhetsklasser.
De fyra informationssäkerhetsklasserna utformades också mot andra staters motsvarigheter – att nationellt hemlig information klassificeras i fyra nivåer är vanligt. Fyra nivåer används också i NATO för NATO Classified Information och i EU för motsvarande information.
Bilden nedan visar modeller för informationsklassificering i några länder. Det är vanligt att modellerna skiljer på information som rör rikets säkerhet (classified information på engelska) och information som inte rör rikets säkerhet. För det sistnämnda finns det ingen vanligt förekommande benämning. Det är internationell praxis att den övre och undre nedre delen benämns med särskiljande benämningar.
Får då säkerhetsskydd användas för information som inte rör rikets säkerhet? Nej. Det huvudsakliga skyddsområdet för säkerhetsskyddet är totalförsvaret (dvs verksamhet som behövs för att förbereda Sverige för krig) och rikets säkerhet i övrigt. I förarbeten till den nu gällande säkerhetsskyddslag framgår att säkerhetsskyddet inte ska omfatta all sekretess, inte ens alla uppgifter som omfattas av sekretess för det allmännas verksamhet. Regeringen bedömde då även att uppgifter som är företagshemliga enligt lagen (1990:409) om skydd av företagshemligheter inte ska omfattas av säkerhetsskydd.
Det är uppenbart att FMV användning av informationssäkerhetsklasserna ställer till det i informationsutbytet mellan myndigheterna. För att förhindra att handlingar från FMV skulle ges ett överskydd i Försvarsmakten gav MUST 2008 styrningen att informationssäkerhetsklassen på handlingar ska överkorsas, om handlingens sekretessmarkering hänvisade till en sekretessbestämmelse som inte rör rikets säkerhet. Den styrningen finns numera i avsnitt 9.1.8 i H SÄK Infosäk.
När de båda myndigheternas personal pratar med varandra kan de inte förlita sig på informationssäkerhetsklasserna. HEMLIG/RESTRICTED i FMV är inte samma sak som HEMLIG/RESTRICTED i Försvarsmakten. Tänk om samma begreppsförvirring skulle finnas om andra uttryck, t ex begreppen som är definierade i regler för militär luftfart (RML)?
Att FMV har utökat informationssäkerhetsklassernas användning försvårar även informationsutbytet internationellt eftersom Sverige överenskommit med andra stater om säkerhetsskydd för information som rör rikets säkerhet. I avtalen används informationssäkerhetsklasserna som begrepp för information som ska ges ett särskilt skydd.
En myndighet har ett ansvar att skydda informationstillgångar inom myndigheten. Friheten att utforma skyddet är stor. En myndighet skulle i sitt systematiska informations säkerhets arbete komma fram till att handlingar som innehåller uppgifter som omfattas av sekretess enligt 31 kap 16 § OSL (sekretess för enskilds affärs- eller driftförhållanden) ska förvaras i säkerhetsskåp enligt SSF 3492. Sådana skåp brukar användas för förvaring av hemliga handlingar som rör rikets säkerhet. Det betyder dock inte att den ”kommersiella sekretessen” kommer att ges ett säkerhetsskydd, om sådana handlingar förvaras i skåpet. Säkerhetsskydd handlar om ett system av samverkande skyddsåtgärder (informationssäkerhet, tillträdesbegränsning, säkerhetsprövning samt utbildning och kontroll). Att en viss hemlig uppgift har placerats i en informationssäkerhetsklass visar vilka samverkande skyddsåtgärder som uppgiften ska omfattas av. Det är därför fel att använda informationssäkerhetsklasserna HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET för information som enligt säkerhetsskyddslagen inte ska omfattas av säkerhetsskydd.
/Kim Hakkarainen
Informationssäkerhetsklasserna (HEMLIG/RESTRICTED osv) har sedan den 1 april 2019 ersatts med säkerhetsskyddsklasser.