Kan det finnas definierade skyddsnivåer som gäller både för säkerhetsskyddet och annan informationssäkerhet? Jag menar att det är möjligt, men inte för all information och inte för alla skyddsåtgärder.
Skyddsåtgärder för uppgifter som omfattas av sekretess och som rör rikets säkerhet (hemliga uppgifter) är anpassade efter uppgifternas antagna skyddsvärde. Uppgifter som vid ett röjande medför ett synnerligt men för rikets säkerhet ges ett avsevärt starkare säkerhetsskydd än uppgifter som endast ger ett ringa men. Ett exempel på att det finns olika nivåer på skyddsåtgärder är förvaring av hemliga handlingar och lagringsmedier. I Försvarsmakten, och de försvarsnära myndigheterna, får hemliga uppgifter som endast kan antas ge ett ringa men (informationssäkerhetsklass HEMLIG/RESTRICTED) förvaras i en låst skrivbordshurts. Många kan uppfatta det som kontraintuitivt om uppgifterna omfattas av försvarssekretess. På andra sidan av spektrat finns hemliga uppgifter som kan antas ge ett synnerligt men (informationssäkerhetsklass HEMLIG/TOP SECRET). Sådana ska förvaras i valv eller larmat säkerhetsskåp.
Spännvidden på uppgifternas betydelse är stor och det avspeglas i skyddsåtgärderna. Säkerhetsskyddet anpassas även efter den miljö där uppgifterna hanteras, vilka sårbarheter som finns och de säkerhetshot som riktas mot uppgifterna.
Försvarsmakten och Säkerhetspolisen har definierat sju säkerhetsfunktioner för IT-system som är avsedda för behandling av hemliga uppgifter. Vilka säkerhetsfunktioner som ska användas är beroende av klassificering och om IT-systemet ska användas av en eller flera användare. Hos de myndigheter som omfattas av Säkerhetspolisens föreskrifter ska vissa av säkerhetsfunktionerna även finnas i IT-system som särskilt behöver skyddas mot terrorism.
För Försvarsmakten har MUST tagit fram krav på godkända säkerhetsfunktioner (KSF) i IT-system. KSF gäller för Försvarsmaktens IT-system oavsett vilka uppgifter som behandlas i systemen och är alltså inte begränsad till uppgifter som rör rikets säkerhet. KSF innebär att krav på IT-säkerhetsförmågor anpassas efter uppgifternas skyddsvärde (konsekvensnivå vid informationsförlust) och hur exponerat ett IT-system är för aktörer som kan påverka systemet. I KSF finns tre kravnivåer (grund, utökad och hög) där den kravnivå som ska gälla bestäms av konsekvensnivå och exponeringsnivå.
För uppgifter som är placerade i informationssäkerhetsklass finns i KSF en tydlig koppling för att avgöra vilken kravnivå som ska gälla. För sekretessklassificerade uppgifter (SK) (dvs uppgifter i Försvarsmakten som omfattas av sekretess enligt OSL men som inte ska omfattas av ett säkerhetsskydd) bestäms kravnivån av den konsekvens som bedöms uppstå vid förlust av uppgifterna. Beskrivningarna av konsekvenserna vid förlust av sekretessklassificerade uppgifter är hämtad från Handbok för Försvarsmaktens säkerhetstjänst – Grunder (H SÄK Grunder) och är således allmänt giltig i Försvarsmakten och inte unika för KSF. Beskrivningarna i handboken används även för att bestämma kravnivå på uppgifter som inte omfattas av någon sekretess enligt OSL.
Försvarsmakten har, åtminstone vad gäller krav på IT-säkerhetsförmåga, likställt säkerhetsskyddet med IT-säkerhet för uppgifter som inte omfattas av säkerhetsskydd. Skyddsnivåer för IT-säkerhet kan, enligt Försvarsmakten, vara gemensamma för säkerhetsskydd som för annan informationssäkerhet.
Synsättet att alla skyddsnivåer för skydd av uppgifter om Sveriges mest skyddsvärda intressen kan vara gemensamma för andra intressen, är sannolikt felaktigt. Den högsta informationssäkerhetsklassen avser en synnerlig allvarlig skada för Sveriges säkerhet. Konsekvenserna vid ett röjande av en sådan uppgift befaras utgöra ett synnerligen allvarligt hot mot de särskilda skyddsintressen som omfattas av säkerhetsskyddslagen. Ett sådant skyddsvärde, gemensamt för hela nationen, kan inte enligt min mening likställas med ett skyddsvärde för något annat mindre intresse. Skyddet för den högsta informationssäkerhetsklassen måste vara mycket omfattande. Ett sådant mycket högt skydd är sannolikt ett överskydd för uppgifter som inte är hemliga. För den högsta informationssäkerhetsklassen kan det därför inte finnas någon gemensam skyddsnivå. Det finns även en risk att säkerhetsskyddet urholkas om kravnivåerna i alltför stor utsträckning är gemensamma.
För uppgifter som inte är hemliga kan det finnas lägre skyddsnivåer som inte kan ge hemliga uppgifter ett tillräckligt säkerhetsskydd. Inte ens för sådana hemliga uppgifter som får förvaras i en låst skrivbordshurts. Sådana skyddsnivåer skulle ge de hemliga uppgifterna ett underskydd.
Gemensamma skyddsnivåer torde vara möjliga – främst för IT-säkerhet. Var gränsen går för sådana nivåer är inte klart. Kanske ska skyddsnivåerna för de två högsta informationssäkerhetsklasserna vara exklusiva för säkerhetsskyddet? Ytterligare en fråga är om kraven på assurans (tillit till att säkerhetsfunktioner uppfyller specificerade säkerhetskrav) behöver vara olika? Djävulen sitter i detaljerna.
Begrepp för informationsklassificering kan inte vara gemensamma även om det skulle finnas gemensamma skyddsnivåer, åtminstone inte avseende konfidentialitetsaspekten. Klassificeringsbegrepp, som de föreslagna informationssäkerhetsklasserna i SOU 2015:25, är endast avsedda för säkerhetsskyddet. Registerkontroll, signalskydd, rapportering vid röjande och IT-incidentrapportering har särskilda regleringar varför klassificeringsbegreppen måste vara exklusiva för säkerhetsskyddet.
I förslaget till ny säkerhetsskyddslag finns inget förslag på hur uppgifter ska klassificeras med avseende på riktighets- och tillgänglighetsaspekterna. Ett skäl som anges är att riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav. Den förklaring som ges är att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer.
Avsaknaden av legaldefinierade nivåer för klassificering av riktighets- och tillgänglighetsaspekterna möjliggör gemensamma klassificeringsbegrepp. Eventuellt kan myndigheterna med föreskriftsrätt inom säkerhetsskyddsområdet komma att föreskriva om klassificeringsbegrepp för riktighets- och tillgänglighetsaspekterna. I sådana fall måste olika klassificeringsbegrepp användas för säkerhetsskyddsklassificerade uppgifter respektive andra uppgifter.
≈ ≈ ≈
Gemensamma skyddsnivåer för säkerhetsskyddet och annan informationssäkerhet kan var ett sätt att förbättra informationssäkerheten, såväl inom en myndighet som hos myndigheterna i stort. Då säkerhetsskydd hos civila och privata aktörer inte är på topp kan gemensamma skyddsnivåer driva utvecklingen i rätt riktning. En sådan utveckling är inte enkelriktad. Även säkerhetsskyddsarbetet behöver utvecklas – t ex vad gäller krav som finns i annan informationssäkerhet.
≈ ≈ ≈
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.