Informationssäkerhetsarbetet mellan två tajta myndigheter som Försvarsmakten och Försvarets materielverk (FMV) är säkert i harmoni, tror ni. Försvarsmakten är djupt beroende av FMV då verket bl a genomför upphandlingar och hanterar logistiktjänster åt Försvarsmakten. Upphandlingarna och logistiktjänsterna är så klart beroende av en omfattande informationshantering och därmed informationssäkerhet. En basal förutsättning för informationssäkerhet är informationsklassificering – och det finns stora skillnader mellan de två myndigheterna.
Informationssäkerhetsklassernas användning inom FMV (skärmdump från FMV publika remiss av Industrisäkerhetsskyddsmanual). Vad 18 kap 2 § OSL gör under kolumnen Försvarssekretess har jag ingen aning om. Uppgifter som omfattas av den sekretessen rör inte alltid rikets säkerhet. Inte ens utrikessekretessen rör alltid rikets säkerhet.
FMV har i sin modell för informationsklassificering valt att använda informationssäkerhetsklasserna HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET för information som inte ska omfattas av säkerhetsskydd. Detta ställer till det när information utbyts mellan myndigheterna eftersom begreppen inte har samma betydelse hos de två myndigheterna. HEMLIG/RESTRICTED i FMV är inte samma sak som HEMLIG/RESTRICTED i Försvarsmakten.
Informationssäkerhetsklasserna definierades av Försvarsmakten 2003 som en indelning av säkerhetsskydd. Avsikten med indelningen var att balansera skyddet i förhållande till det men för rikets säkerhet som uppgifterna kan ge vid ett röjande. En uppgift som ger högre men ges ett mer omfattande skydd än en uppgift som vid ett röjande ger ett mindre grad av men. Något som också är kostnadsmässigt motiverat. En uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet placeras i en av fyra informationssäkerhetsklasser.
De fyra informationssäkerhetsklasserna utformades också mot andra staters motsvarigheter – att nationellt hemlig information klassificeras i fyra nivåer är vanligt. Fyra nivåer används också i NATO för NATO Classified Information och i EU för motsvarande information.
Bilden nedan visar modeller för informationsklassificering i några länder. Det är vanligt att modellerna skiljer på information som rör rikets säkerhet (classified information på engelska) och information som inte rör rikets säkerhet. För det sistnämnda finns det ingen vanligt förekommande benämning. Det är internationell praxis att den övre och undre nedre delen benämns med särskiljande benämningar.
Jämförelse av modeller för informationsklassificering i Försvarsmakten, FMV, USA, Kanada och Australien. Den övre delen avser information som rör rikets säkerhet. Den undre delen avser information som inte rör rikets säkerhet men som omfattas av andra konfidentialitetskrav. Det färgade området visar FMV utökning av informationssäkerhetsklasserna till information som inte ska omfattas av ett säkerhetsskydd.
Får då säkerhetsskydd användas för information som inte rör rikets säkerhet? Nej. Det huvudsakliga skyddsområdet för säkerhetsskyddet är totalförsvaret (dvs verksamhet som behövs för att förbereda Sverige för krig) och rikets säkerhet i övrigt. I förarbeten till den nu gällande säkerhetsskyddslag framgår att säkerhetsskyddet inte ska omfatta all sekretess, inte ens alla uppgifter som omfattas av sekretess för det allmännas verksamhet. Regeringen bedömde då även att uppgifter som är företagshemliga enligt lagen (1990:409) om skydd av företagshemligheter inte ska omfattas av säkerhetsskydd.
Regeringens tydliga motivering till att alla uppgifter som omfattas av sekretess inte ska ges säkerhetsskydd. Utdrag från sidan 24 i propositionen (prop 1995/96:129) med förslag till den nu gällande säkerhetsskyddslagen.
Det är uppenbart att FMV användning av informationssäkerhetsklasserna ställer till det i informationsutbytet mellan myndigheterna. För att förhindra att handlingar från FMV skulle ges ett överskydd i Försvarsmakten gav MUST 2008 styrningen att informationssäkerhetsklassen på handlingar ska överkorsas, om handlingens sekretessmarkering hänvisade till en sekretessbestämmelse som inte rör rikets säkerhet. Den styrningen finns numera i avsnitt 9.1.8 i H SÄK Infosäk.
När de båda myndigheternas personal pratar med varandra kan de inte förlita sig på informationssäkerhetsklasserna. HEMLIG/RESTRICTED i FMV är inte samma sak som HEMLIG/RESTRICTED i Försvarsmakten. Tänk om samma begreppsförvirring skulle finnas om andra uttryck, t ex begreppen som är definierade i regler för militär luftfart (RML)?
Att FMV har utökat informationssäkerhetsklassernas användning försvårar även informationsutbytet internationellt eftersom Sverige överenskommit med andra stater om säkerhetsskydd för information som rör rikets säkerhet. I avtalen används informationssäkerhetsklasserna som begrepp för information som ska ges ett särskilt skydd.
Exempel från avsnitt 9.1.8 i H SÄK Infosäk.
En myndighet har ett ansvar att skydda informationstillgångar inom myndigheten. Friheten att utforma skyddet är stor. En myndighet skulle i sitt systematiska informationssäkerhetsarbete komma fram till att handlingar som innehåller uppgifter som omfattas av sekretess enligt 31 kap 16 § OSL (sekretess för enskilds affärs- eller driftförhållanden) ska förvaras i säkerhetsskåp enligt SSF 3492. Sådana skåp brukar användas för förvaring av hemliga handlingar som rör rikets säkerhet. Det betyder dock inte att den ”kommersiella sekretessen” kommer att ges ett säkerhetsskydd, om sådana handlingar förvaras i skåpet. Säkerhetsskydd handlar om ett system av samverkande skyddsåtgärder (informationssäkerhet, tillträdesbegränsning, säkerhetsprövning samt utbildning och kontroll). Att en viss hemlig uppgift har placerats i en informationssäkerhetsklass visar vilka samverkande skyddsåtgärder som uppgiften ska omfattas av. Det är därför fel att använda informationssäkerhetsklasserna HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET för information som enligt säkerhetsskyddslagen inte ska omfattas av säkerhetsskydd.
Källor:
- Sidan 10 i ”ISM 2017 Kap 1 Nivå 1-3 REMISS” (PDF, arkiv). FMV remiss av ny industrisäkerhetsskyddsmanual. FMV webbplats, arkiv.
- Sidorna 24-25 i prop 1995/96:129 (PDF).
- Avsnitt 9.1.8, sidan 89 i Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk) (PDF).
/Kim Hakkarainen
Det är lätt att hålla med om att det är olyckligt som nu, när FM och FMV inte går i takt. Hade förmodligen varit lättare att få överensstämmelse om inte FM hade kidnappat begreppet Hemlig att beteckna enbart försvarssekretess – i strid med Prop. 2008/09:150 s. 311ff.
Det blir idag tokigt även åt andra hållet än det du beskriver; när FM anger [det något märkliga ordet] Sekretessklassificerad på en handling får FMV och andra ingen uppgift om ”graden av sekretess”, vilket rimligen är av intresse inte bara för försvarshemliga uppgifter.
I Försvarsmakten används benämningen hemlig på det sätt som anges i 4 § 1 säkerhetsskyddsförordningen (1996:633), dvs en uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet. Försvarsmakten har inte kidnappat begreppet hemlig uppgift. Det är legaldefinierat.
Sidorna i propositionen som du hänvisar till handlar om den teknikneutrala sekretessmarkeringen som regleras i 5 kap. 5 § OSL. Med den bestämmelsen försvann 2009 kravet att en sekretessmarkering ska innehålla ordet hemlig. Tidigare gällde att en hemligstämpel alltid skulle innehålla ordet hemlig, även för uppgifter som inte rörde rikets säkerhet. I propositionen tas frågan upp om den fortsatta användningen av benämningen hemlig för säkerhetsskydd. På sidan 313 står att ”regleringen i säkerhetsskyddsförordningen kan (…) kvarstå oförändrad.”
Benämningen hemlig har dubbla användningsområden. Dels som generell benämning på sekretess i sekretessmarkeringar – ett arv från 1980 års sekretesslag. Benämningen används även i säkerhetsskyddslagstiftningen, och syftar då alltid på rikets säkerhet. Försvarsmaktens avsikt med informationssäkerhetsklasserna var 2003 att skapa benämningar som enbart avsåg säkerhetsskydd för rikets säkerhet.
I Sverige saknas en nationell modell för myndigheternas informationsklassificering. Det finns inga legaldefinierade benämningar för uppgifter som omfattas av sekretess men som inte rör rikets säkerhet. Varje myndighet är fri att skapa en lämplig modell för informationsklassificering. Försvarsmakten har valt att använda benämningen sekretessklassificerad för sådana uppgifter och även tagit fram krav på skydd av sådana uppgifter.
/Kim Hakkarainen
Visst, det är förståeligt att FM 2003 ville tydliggöra vad som är försvarssekretess och betecknas som Hemligt enligt säkerhetsskyddslagstiftningen. Men synd att man då, mot allmänt språkbruk, bestämde att Hemligt _bara_ skulle användas för sådan sekretess, det sägs inte inte i någon lag. Och motsägs som vi sett i propositionen några år senare.
I kärnfrågan är vi tydligen helt ense, det är olyckligt att FM och FMV inte har enats om varken begreppen eller dess innebörd. Och FMV har tydligen inte ens ordning på grunderna, t ex vad 18:2 handlar om.
Jag kan också tycka att FM har lite olycklig användning av ordet. Begreppet ”Hemlig” har jag förstått gäller för alla sekretessreglerade uppgifter. Det ligger också lite i ordet att de ska hållas hemliga, inom en begränsad grupp. Det framgår inte av ordet varför det är hemligt. Därav blir det lite konstigt när FM försöker lägga in andra betydelser i det. Det finns säkert många ”hemligheter” inom FM som faktiskt inte har bäring på riket säkerhet. Jag tror försvaret skulle vinna en del på att ha en lite bredare ”mätsticka” när de ska värdera oooh jobba med information.
Jag uppfattar att Mats och Peter glider förbi Kims kommentar ”I Försvarsmakten används benämningen hemlig på det sätt som anges i 4 § 1 säkerhetsskyddsförordningen (1996:633), dvs en uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet. Försvarsmakten har inte kidnappat begreppet hemlig uppgift. Det är legaldefinierat.” Visst är det trevlig att det finns ”allmänt språkbruk”, men när man nu bemödat sig om att definiera begreppet i förordning (dvs regeringsbeslut, vilket endast åsidosätts av lag, som stiftas av Riksdagen) tycker jag man ska respektera det. Propositioner är bara förslag. Livet blir mycket lättare om man blir överens om vad ord betyder, att komma med egna tolkningar tycker jag inte bidrar till att livet blir lättare.
Jo, men riksdagen har ju stiftat Offentlighets- och sekretesslagen 2009:400 där ordet hemlig används flera gånger till sådant som rimligen inte kan betecknas som rörandes rikets säkerhet. Innan dess fanns ju den gamla Sekretesslagen 1980:100 som gjorde gällande (15:3) att uppgifter som föll under någon av paragraferna, inte endast 2:2, fick markeras med ordet ”Hemlig”. Slutsatsen är alltså att jag var slarvig – FM har inte ”stulit” begreppet – de har bara feltolkat regeringen, som var slarvig med terminologin.
Nej, ordet hemlig är inte vanlig i OSL. Ordet förekommer 10 gånger. Då används ordet inte som synonym till sekretess, utan t ex i samband med tvångsmedel såsom ”hemlig rumsavlyssning”. Du kan jämföra det med ordet sekretess som med böjningar förekommer mer än 1 000 gånger i OSL.
Vad gäller att beteckningen hemlig alltid skulle finnas i den gamla hemligstämpeln hänvisar jag till min kommentar till Mats.
/Kim Hakkarainen
Bra inlägg. Jag tycker det är olyckligt att man valt att samma begrepp för att markera olika saker. Det skapar förvirring både mellan myndigheterna och inom FMV.
Däremot gillar jag att FMV skapat olika klasser för sådan information som inte faller under rikets säkerhet. Jag hade dock hellre sett en markering HEMLIG/ (ex. H/R) för sådant som omfattas av säkerhetsskydd och SEKRETESS/ (ex. S/R) för sekretess som inte omfattas av säkerhetsskydd på myndigheten.
Jag har svårt för klassen Öppen/Unclassified.
Dels därför att det heter Ej Sekretess (i min värld) om en uppgift inte omfattas av OSL alls.
Dels därför att jag skulle översätta Unclassified som ”Ej Bedömt” – dvs att det inte är klarlagt om sekretess råder eller ej.
Klassen ’Öppen/Unclassified’ är för mig alltså motsägelsefull och förvirrande.
Jag håller helt med dig Jacob, av exakt samma anledning (Öppen/Unclassified blir motsägelsefullt enligt min uppfattning). Benämningen ”Ej sekretess” är den som anges i FM H Säk Infosäk 2013, s.57ff, och torde vara den mest korrekta benämningen när man talar som sådan handling som inte innehåller sekretessklassificerade uppgifter.
(https://www.forsvarsmakten.se/siteassets/4-om-myndigheten/dokumentfiler/handbocker/handbok-sak-infosak-andring-2.pdf, nedladdad 2017-11-24)