Killgissningar om säkerhetsskydd

På vägen till kontoret lyssnade jag på Säkerhetspodcasten. Avsnittet handlade om den nya säkerhetsskyddslagen, men jag märkte snabbt att de inte hade koll. Det finns flera fel och tveksamheter i avsnittet. Jag tar upp fem här.

Påståendet att säkerhetsskyddsklassificering främst är en anpassning mot ”Nato-standard”

Säkerhetsskyddsklasserna i säkerhetsskyddslagen är ingen anpassning specifikt för Nato. Många länder har en indelning i fyra nivåer av säkerhetsskyddsklassificerad information – även om de inte är medlemmar i Nato. Sverige är inte medlem i Nato. Däremot är vi medlemmar i EU som också har delat in säkerhetsskyddsklassificerad EU-information i fyra nivåer. Att dela in säkerhetsskyddsklassificerad information i de fyra säkerhetsskyddsklasserna underlättar internationellt samarbete där det finns sådan information. Oavsett om det är fråga om samarbete mellan Sverige och ett annat land eller när Sverige samarbetar i mellanfolkliga organisationer.

Jämförelse mellan Sveriges säkerhetsskyddsklasser och motsvarigheterna hos några länder och mellanfolkliga organisationer. Källa: Tillägg B till Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (sidan 45 i PDF) och bilaga 2 i Försvarsmaktens handbok för sekretessbedömning (H SÄK Sekrbed A) (PDF). Klicka på bilden för större bild.

Påståendet att endast information som omfattas av sekretess enligt 15 kap 2 § OSL ska klassificeras i en av de fyra säkerhetsskyddsklasserna

Även information som omfattas av sekretess enligt någon annan bestämmelse än 15 kap 2 § OSL kan vara säkerhetsskyddsklassificerad och ska då delas in i en säkerhetsskyddsklass.

Villkoren för sekretess i 15 kap 2 § OSL (försvarssekretessen) är särskilt relevant för att avgöra vilken information i en verksamhet som är säkerhetsskyddsklassificerad. Men även andra sekretessbestämmelser är relevanta för bedömningen. Det kan vara sekretess enligt 15 kap 1 § OSL (utrikessekretessen) och flera av sekretessbestämmelserna i 18 kap OSL. Jag utesluter inte att 18 kap 8 § OSL (sekretess för säkerhets- och bevakningsåtgärder) kan vara aktuell. Det finns ingen uttömmande förteckning på vilka sekretessbestämmelser som är relevanta. Information som omfattas av sekretess enligt någon av de här sekretessbestämmelserna är inte alltid säkerhetsskyddsklassificerad, förutom information som omfattas av försvarssekretess som alltid är det. Frågan om sekretess beskrivs kortfattat på sidorna 52 och 135 i regeringens proposition om den nya säkerhetsskyddslagen (prop 2017/18:89) (PDF).

Påståendet att säkerhetsskyddsanalysen måste uppdateras årligen

I 2 kap 1 § andra stycket säkerhetsskyddsförordningen finns kravet att analysen ska ”hållas uppdaterad”. Enligt 2 kap 10 § Säkerhetspolisens föreskrifter (PMFS 2019:2) (PDF) om säkerhetsskydd ska analysen ”uppdateras vid behov, dock minst en gång vartannat år”. I betänkandet om kompletteringar till den nya säkerhetsskyddslagen finns ett förslag om ändring av förordningen så att analysen ska uppdateras ”åtminstone årligen” (sidorna 59 och 434 i SOU 2018:82). Men det är inte det som gäller nu. Sektorsinkluderingarna?

Påståendet att Säkerhetspolisen och Försvarsmakten är samordningsmyndigheter och överordnade alla andra tillsynsmyndigheter

Det finns i säkerhetsskyddslagen och säkerhetsskyddsförordningen inte någon bestämmelse som innebär att Säkerhetspolisen och Försvarsmakten är samordningsmyndigheter och överordnade övriga tillsynsmyndigheter. Det föreslås dock i betänkandet om kompletteringar till den nya säkerhetsskyddslagen (sidorna 65-66 och 356-360 i SOU 2018:82).

Påståendet att länsstyrelserna har ansvar för tillsyn över kommunala verksamheter

Det är Säkerhetspolisen som enligt 7 kap 1 § första stycket 2 säkerhetsskyddsförordningen utövar tillsyn över kommuner. Beroende på vilken verksamhet som ett kommunalt bolag verkar inom utövas tillsynen av Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna, enligt 7 kap 1 § första stycket 3-6 säkerhetsskyddsförordningen. Länsstyrelserna har uppgiften endast då Svenska kraftnät, Transportstyrelsen eller Post- och telestyrelsen inte har uppgiften.

≈ ≈ ≈

Just nu är det vanligt att läsa och höra påståenden om den nya säkerhetsskyddslagstiftningen som inte är korrekta. En förklaring kan vara att det ännu inte finns vägledningar och handböcker från Säkerhetspolisen och Försvarsmakten som förklarar den nya säkerhetsskyddslagen. Det finns heller inga utbildningar som har kvalitetssäkrats av myndigheterna. Det finns en webbaserad grundläggande säkerhetsskyddsutbildning som arrangeras av Försvarshögskolan och som är kvalitetssäkrad av Säkerhetspolisen.

En annan förklaring är att redan innan den 1 april 2019, då den nya säkerhetsskyddslagen trädde i kraft, hade ytterligare skärpningar utretts och förslag lämnats i ett betänkande (SOU 2018:82) som sedan remissbehandlats. Förslagen är just förslag och ska inte förväxlas med bestämmelser i lag, förordning och föreskrifter som gäller.

Att Sveriges första och största podd om it-säkerhet sprider felaktiga påståenden är allvarligt. Dessa riskerar få stor spridning och kan leda till missförstånd, merarbete och brister i säkerhetsskyddet.

≈ ≈ ≈

För att vara en podd som handlar om it-säkerhet var det väldigt lite av det i avsnittet. Det som togs upp handlade om signalskydd (dvs att säkerhetsskyddsklassificerad information skyddas med kryptografiska funktioner som har godkänts av Försvarsmakten). Jag kommer fortsätta att lyssna. Det skulle vara intressant att senare få höra mer om erfarenheter av arbetet med it-säkerhet i system för säkerhetskänslig verksamhet.

≈ ≈ ≈

Killgissning var enligt Språkrådet ett nyord 2017 (PDF) och betyder ”påstå något på ett sätt som gör att det verkar som om man vet vad man pratar om fast man egentligen bara gissar”. Jag tycker ordet passar bra in i Säkerhetspodcastens format.

/Kim Hakkarainen

Lämna en kommentar

Publicerad i Säkerhetsskydd

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.