Operationssekretess är pseudosekretess

Operationssekretess (OPSEC) används i Försvarsmakten. Ett problemfyllt ord som vad gäller offentlighet och sekretess inte betyder någonting. Begreppet hänger inte ihop med den modell som används för informationsklassificering i Försvarsmakten. En anställd har ingen tystnadsplikt för uppgifter som kan komma i fråga för operationssekretess då stöd för sekretessen saknas i lag.

google_opsec

Definitionen av operationssekretess i Försvarsmakten är:

OPSEC är verksamhet för att systematiskt och metodiskt vidta åtgärder för att undanhålla egen kritisk information för en motståndare eller annan aktör i syfte att bibehålla egen handlingsfrihet.

Sidan 33 i Försvarsmaktens Grundsyn Informationsoperationer.

Enligt grundsynen handlar operationssekretess om att ”identifiera, kontrollera och skydda icke hemlig information och verksamhet som har med känsliga delar av en operation eller andra aktiviteter att göra, s k kritisk information.”

Operationssekretess är enligt grundsynen ”inte detsamma som sekretess av information” utan omfattar de ”öppna delarna av en operation”. En beskrivning av operationssekretess i Handbok Informationsoperationer är: ”Till skillnad från sekretesslagens uppgift att skydda klassificerad information, handlar OPSEC om processen att identifiera, kontrollera och skydda generellt oklassificerade indikatorer som kan kopplas till känsliga operationer (eller delar av) eller andra aktiviteter.”

Som exempel på ”icke hemlig information”, sk kritisk information, anges: ”Så att inte information som tillsammans med annan öppen information avslöjar kommande operativa avsikter vid t ex presskonferenser, information på hemsidor, nyhetsutsändningar.” Jag tolkar detta som att operationssekretess endast kan komma i fråga för uppgifter som inte omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL).

Behov av operationssekretess

Kunskap om en förestående insats behöver normalt döljas för en motståndare. Information som leder till sådan kunskap skulle en motståndare kunna utvinna genom att observera skeenden (t ex förflyttningar, övningar och andra förberedelser) och jämföra dessa med en normalbild. Information om en förestående insats finns i egna IT- och sambandssystem, personalen pratar med varandra om det och kanske går det även att utläsa i deras kommunikation med anhöriga. Massmedias rapportering eller vår egen rapportering i sociala medier kan avslöja detaljer om en förestående insats som en motståndare kan ha nytta av.

Det kan finnas ett behov att kontrollera tillgång till information om en förestående insats som kanske går utöver den informationssäkerhet som vi känner igen från stabstjänst i fredstid. Operationssekretess, som den beskrivs i grundsynen och handboken om informationsoperationer, är radikalt annorlunda från den informationssäkerhet som ska finnas i Försvarsmakten.

Operationssekretess och informationsklassificering

Om man placerar operationssekretess i Försvarsmaktens modell för informationsklassificering hamnar det i området för uppgifter som inte omfattas av sekretess enligt OSL (bilden nedan).

Operationssekretess placerad i en bild som visar Försvarsmaktens modell för informationsklassificering. Färgerna förstärker endast skillnaderna och har ingen egen mening. KH betyder kvalificerat hemlig, dvs uppgifter som är av synnerlig betydelse för rikets säkerhet. H/R, H/C, H/S och H/TS är informationssäkerhetsklasser. OSL står för offentlighets- och sekretesslagen.

Operationssekretess placerad i en bild som visar Försvarsmaktens modell för informationsklassificering. Färgerna förstärker endast skillnaderna och har ingen egen mening. KH betyder kvalificerat hemlig, dvs uppgifter som är av synnerlig betydelse för rikets säkerhet. H/R, H/C, H/S och H/TS är informationssäkerhetsklasser. OSL står för offentlighets- och sekretesslagen.

Operationssekretess omfattar endast information som inte omfattas av sekretess enligt OSL. Men enligt grundsynen är ändå ”klassificering av information ett sätt att höja operationssekretessen under en operation”. Vänta nu, hur kan man ”klassificera” information som inte omfattas av sekretess? Grundvillkoret för att placera information i någon av de fyra informationssäkerhetsklasserna är att informationen omfattas av sekretess enligt OSL.

Gäller yttrandefrihet för operationssekretess?

Yttrandefriheten, dvs frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor, får i vissa fall begränsas genom lag. I det allmännas verksamhet gäller sekretess enligt bestämmelser i OSL.

Operationssekretess kan uppfattas vara ett förbud att röja en uppgift, men operationssekretess finns inte OSL. Det finns ingen tystnadsplikt för operationssekretess. I fråga om allmänna handlingar där sådana uppgifter finns gäller inte någon handlingssekretess. En anställd i Försvarsmakten eller någon annan är därför inte pliktig att hålla tyst om något som kan komma i fråga för operationssekretess.

En militär chef kan knappast beordra någon operationssekretess för något förhållande som de anställda har kunskap om. Det skulle vara en inskränkning av yttrandefriheten som inte har lagstöd. Om en anställd, eller en person i uppdrag, i Försvarsmakten ”röjer” en uppgift som har kommit ifråga för operationssekretess kan hen inte ställas till ansvar.

Är operationssekretess ett sekretessubstitut?

Målet med operationssekretess, enligt Handbok Informationsoperationer, är ”att öka effekten av våra åtgärder i en operation genom att våra operativa avsikter inte röjs.”

Men om en uppgift om svenska åtgärder i en operation som rör försvaret av Sverige röjs och uppgiften röjer ”operativa avsikter”, innebär det då inte att uppgiften omfattas av försvarssekretess? På samma sätt borde motsvarande uppgifter omfattas av utrikessekretess när det gäller Försvarsmaktens deltagande i en internationell militär insats. Används operationssekretess som ett substitut för försvars- och utrikessekretess?

Fyra exempel på tveksamma skrivningar vad gäller operationssekretess och offentlighet och sekretess. Källor: 1 och 2: Sidan 34 i Försvarsmaktens Grundsyn Informationsoperationer. 3 och 4: Sidan 62 respektive sidan 71 i Försvarsmaktens Handbok Informationsoperationer.

Fyra exempel på tveksamma skrivningar vad gäller operationssekretess och offentlighet och sekretess. Källor: 1 och 2: Sidan 34 i Försvarsmaktens Grundsyn Informationsoperationer. 3 och 4: Sidan 62 respektive sidan 71 i Försvarsmaktens Handbok Informationsoperationer.

Oklart hur kritisk information ska skyddas

Det finns inga bestämmelser i Försvarsmakten för hur kritisk information ska skyddas. För IT-säkerhet gäller de krav som finns för uppgifter som inte omfattas av sekretess enligt OSL. Jag har inte hittat begreppen operationssekretess eller OPSEC i:

  • Försvarsmaktens författningar,
  • Handbok för Försvarsmaktens säkerhetstjänst, Grunder (H SÄK Grunder),
  • Handbok för Försvarsmaktens säkerhetstjänst, Sekretessbedömning Del A (H SÄK Sekrbed A) eller
  • Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk).

Operationssekretess faller således utanför Försvarsmaktens regelverk om informationssäkerhet. Om kritisk information är så betydelsefull att den måste döljas för en motståndare kanske den också behöver ett definierat skydd?

≈ ≈ ≈

Ordet operationssekretess är illa valt då sekretess vid en svensk myndighet endast gäller om det finns stöd i OSL. Operationssekretess bildar en gråzon utanför Försvarsmaktens bestämmelser och utanför de lagar som bestämmer vad en anställd får göra och inte göra med information.

En person som inte har kunskap om offentlighet och sekretess kan felaktigt tro att operationssekretess verkligen innebär ett förbud att röja en uppgift. Operationssekretess kan medföra att uppfattningen om det sekretessbelagda området (sekretess med stöd i OSL) förskjuts mot områden som inte omfattas av sekretess. Detta kan orsaka tolkningsproblem när bestämmelser i OSL ska användas. Jag tycker att ordet sekretess i det här sammanhanget endast ska få användas när det finns stöd i lag.

Det kan finnas en risk att operationssekretess medför en urholkning av sekretessbestämmelser som faktiskt finns, t ex försvars- och utrikessekretess. En oro jag har är att operationssekretess kan vara ett sätt att kringgå bestämmelserna om skydd för informationstillgångar.

Försvarsmakten kan inte, får inte, hitta på ett egen sekretess.

Källor:

  • Försvarsmaktens Grundsyn Informationsoperationer (Grundsyn Info Ops), 2007 års utgåva. M7739-350004.
  • Försvarsmaktens Handbok Informationsoperationer (Handbok Info Ops), 2008 års utgåva. M7739-352014. (PDF, Scribd, Scribd).

/Kim Hakkarainen

4 kommentarer

Publicerad i Offentlighet och sekretess

4 kommentarer till Operationssekretess är pseudosekretess

  1. Ett väldigt intressant ämne du tar upp här. Och ett lika relevant problem du lyfter. Jag, tillsammans med en medstuderande till mig, behandlade just denna problematik i vårt examensarbete 2008. Vi försökte arbeta fram en metod för att identifiera kritisk information i den icke klassificerade informationen vilket jag anser att vi lyckades med (även examinatorerna delade min åsikt). Vi slog ihop russinen från det amerikanska OPSEC med russinen ur en Svensk underrättelsemodell och anpassade metoden till den ”civila marknaden”. Tanken med vår metod var att hjälpa företag att minska risken för onödig info-läckage genom den öppna informationen (marknadsföring, mässor, branschtidningar och annan media mm).

    Efter att ha läst ditt inlägg så slår det mig att metoden skulle kunna användas inom Försvarets OPSEC och kanske lösa en del av problematiken. Kan man identifiera, och ”rensa” ut, kritisk information ur det gröna fältet ”ej sekretess” så krävs det sen heller ingen styrning av hanteringen av den kategorin. Efter lite omarbetning kan kanske metoden fungera precis som den gör i det civila.

  2. Säkfröken

    Bra synpunkter Kim! Det verkar som om olika delar inom HKV inte kommunicerar med varandra. Och att kunskapen om informationssäkerhet haltar. Gott att du försöker bringa ljus i mörkret!

    • Tack Säkfröken, kul att du gillar bloggen!

      Kunskapen om informationssäkerhet haltar. Kanske finns uppfattningen att informationssäkerheten inte är föränderlig. Eller att informationssäkerhet endast omfattar pappershandlingar och IT-säkerhet.

      En sak som jag uppmärksammat är att informationssäkerheten mer är utformad för verksamhet i fred än i krig. Kanske behöver vi mer se till krigets krav när vi utvecklar informationssäkerheten, t ex frågan om operationssekretess.

      /Kim Hakkarainen

  3. CS

    Med risk för att kommentaren inte längre är relevant då ditt inlägg är gammalt. Hursomhelst så bör det påtalas att OPSEC har översatts felaktigt. En korrekt svensk översättning torde ge: OPSEC = Operations Security = Operationssäkerhet.

    Begreppet används flitigt i USA och Nato. Detta ska absolut inte blandas ihop med sekretess även om uppgifter som omfattas av sekretess är exempel på sådant, som inom ramen för operationssäkerheten, bör skyddas, exempelvis genom en välfungerande informationssäkerhet.

    Det du skriver ovan och i flera av dina andra inlägg är mycket intressant för en annan som kombinerar arbete i Försvarsmakten med juridikstudier. Tack för en bra blogg!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *