Sociala medier och Försvarsmakten

FOI har släppt en kort rapport om användningen av sociala medier i Försvarsmakten. Rapporten handlar om en enkätundersökning som gjorts för att ta reda på anställdas vanor och uppfattningar om sociala medier. En av de frågeställningar som rapporten ska svara på var ”Hur medvetna är Försvarsmaktsanställda om de risker och regler som finns i samband med sociala medier”. En intressant frågeställning för mig då jag har arbetat med området.

Rapporten är framtagen åt en arbetsgrupp i Försvarsmakten som arbetar med säker och rationell informationshantering. Tyvärr har rapporten inte publicerats på FOI webbplats. Den går dock att beställa i enstaka exemplar via webbplatsen.

Försvarsmaktens riktlinjer

FOI enkätundersökning innehåller frågan ”Har du tagit del av dokumentet Försvarsmaktens riktlinjer för sociala medier?”

ÖB beslutade 2011 riktlinjer för sociala medier i Försvarsmakten. Riktlinjernas innehåll kan för de flesta uppfattas vara självklara. De är dock en viktig signal till personalen om myndighetens syn på sociala medier, t ex vad gäller yttrande- och informationsfrihet. Tyngdpunkten i det 10-sidiga dokumentet är bestämmelser för Försvarsmaktens närvaro i offentliga sociala medier.

Utdrag ur sidan 27 i FOI-rapporten ”Användningen av sociala medier i Försvarsmakten”. Cirka hälften kände till dokumentet och av de som kände till det hade drygt hälften även läst det. Men var är siffrorna?

Utdrag ur sidan 27 i FOI-rapporten ”Användningen av sociala medier i Försvarsmakten”. Cirka hälften kände till dokumentet och av de som kände till det hade drygt hälften även läst det. Men var är siffrorna?

En av enkätundersökningens slutsatser är att personalen inte känner till Försvarsmaktens riktlinjer för sociala medier. Detta är inte konstigt då det i riktlinjerna inte finns något krav på att personalen ska känna till dessa, förutom de fåtal personer som har pekats ut att vara myndighetens talespersoner. Enkätundersökningen innehåller inte någon fråga om respondenterna har genomfört någon utbildning om säkerhet och sociala medier. Det hade varit intressant att få veta.

Rapporten uppehåller sig vid personalens kännedom om riktlinjerna. Jag menar att detta inte är så intressant. Den som utbildar kan förmedla kunskaper utan att den som utbildas har sett det underliggande regelverket. T ex kan utbildning om risker och kunskap om regler för den anställdes agerande i sociala medier genomföras så att han eller hon förstår var gränserna går och hur man ska agera i olika situationer. Generellt ifrågasätter jag utbildningar där man visar paragraferna i olika regelverk. Även om sådan utbildning också kan vara berättigad, t ex i utbildning av specialister såsom säkerhets- och IT-säkerhetschefer.

Det hade varit mer intressant att undersöka respondenternas kunskaper och syn på riskbeteende än att som nu ha undersökt om de känner till ett dokument som de inte behöver känna till.

Vad är känslig information?

Enkätundersökningen innehåller frågan ”Hur bedömer du risken att anställda i FM delar med sig av känslig information på sociala medier?” Men enkätundersökningen definierar inte vad ”känslig information” är. Det kan uppfattas endast vara uppgifter som omfattas av sekretess eller även annan information, t ex känsliga personuppgifter, eller något annat. Jag vet inte vad ”känslig information” är.

När enkäten inte använder de begrepp för informationsklassificering som är definierade i Försvarsmakten måste svaren innehålla ett stort utrymme för individuella tolkningar. Detta medför att det blir svårare att dra slutsatser av enkätsvaren.

Utdrag ur sidan 29 i FOI-rapporten ”Användningen av sociala medier i Försvarsmakten”. Vad avses med risk? Kan risk här uppfattas vara sannolikhet för att den oönskade händelsen ska inträffa? Vad betyder indelningen i hög, medel och låg/ingen?

Utdrag ur sidan 29 i FOI-rapporten ”Användningen av sociala medier i Försvarsmakten”. Vad avses med risk? Kan risk här uppfattas vara sannolikhet för att den oönskade händelsen ska inträffa? Vad betyder indelningen i hög, medel och låg/ingen?

Risken att anställda delar med sig av känslig information på sociala medier bedömde ca 25 procent av respondenterna till hög, lite mindre än 25 procent svarade liten eller ingen risk samt drygt hälften som medel risk. Detta är antagligen del av svaret på frågeställningen ”Hur medvetna är Försvarsmaktsanställda om de risker och regler som finns i samband med sociala medier?”  Detta ger inte så mycket, tycker jag. Rapporten är ganska ointressant för mig som arbetar med informationssäkerhet i Försvarsmakten.

≈ ≈ ≈

Hot och hot

Ett uppenbart hot mot Försvarsmaktens informationstillgångar är att anställda genom sociala medier av misstag röjer uppgifter som omfattas av sekretess enligt OSL. Det skulle kunna vara sekretessbelagd information om förmågor eller pågående operationer. Ett annat hot är andra staters underrättelsetjänsters kartläggning av personer i syfte att finna lämpliga informationsbärare som svarar mot deras underrättelsebehov. LinkedIn är enligt min mening den självklara platsen för sådan underrättelseinhämtning.

Användning av sociala medier kan också innebära risker för personer som exponeras, t ex förföljelse eller andra trakasserier. Min uppfattning är att sannolikheten för sådana påhopp är liten. Genom utbildning kan man mentalt förberedas så att det inte kommer som en överraskning. Samtidigt är sociala medier ett potentiellt verktyg för aktörers påverkan av anställda, t ex i syfte att minska viljan att tjänstgöra utomlands. En sådan påverkan kan även vara riktad mot anhöriga.

Utdrag från webbartikel hos den den norska kvällstidningen Verdens Gang.

Utdrag från webbartikel hos den den norska dagstidningen Verdens Gang.

Några exempel med negativa händelser med sociala medier som rör försvarsmakter är:

Säkerhetsrapportera mera!

Det finns sannolikt andra händelser som inte är allmänt kända. Säkerhetstjänsternas kunskaper om sådana händelser är beroende av att personalen rapporterar. Att händelser inte rapporteras skulle kunna bero på att den som utsätts inte förstår att det är frågan om underrättelseinhämtning, eller inte uppfattar det som en otillbörlig påverkan som avser personens relation till Försvarsmakten. Personal i Försvarsmakten har dock en skyldighet att rapportera säkerhetshotande verksamhet (4 kap 2 § Försvarsmaktens föreskrifter [FFS 1997:2] för Försvarsmaktens personal).

Mer information

Nasjonal sikkerhetsmyndighet (NSM) i Norge har nyligen publicerat tre blogginlägg om sociala medier och informationssäkerhet. Jag tycker NSM är ett föredöme att använda sociala medier i sin upplysande och förebyggande verksamhet. Dessa tre blogginlägg (del 1, del 2 och del 3) är väl värda att läsa om man inte är insatt i området.

Försvarsmakten har bl a gett råd om sociala medier i en broschyr som är riktad till anhöriga (se bilden nedan). Ytterligare information finns även i blogginlägget Säkerhet i sociala nätverk och telefoni på gamla FS20-bloggen. Blogginlägget är baserad på en broschyr som tagits fram av säkerhetskontoret vid MUST.

Försvarsmakten har i sin anhörigbroschyr (sidan 21) gett råd om vad man ur säkerhetssynpunkt ska tänka på i kontakter mellan anhöriga och de som tjänstgör utomlands.

Försvarsmakten har i sin anhörigbroschyr (sidan 21) gett råd om vad man ur säkerhetssynpunkt ska tänka på i kontakter mellan anhöriga och de som tjänstgör utomlands.

≈ ≈ ≈

Sociala medier är en del av vår verklighet. Det gäller för oss att förhålla oss till sådana medier, arbeta förebyggande i säkerhetsarbetet och se till att kunna hantera oönskade händelser med negativa konsekvenser för verksamheten.

/Kim Hakkarainen

1 kommentar

Publicerad i Information och utbildning, Säkerhetskultur, Sociala medier

En kommentar till Sociala medier och Försvarsmakten

  1. Glenn Bergman

    Ja, sociala medier ÄR sociala medier. Därom råder det ingen tvekan. Det är ju nu också allmänt känt vart databaserna replikeras. Linkedin kan väl också betraktas som en dubbelriktad ”honeypot” i sammanhanget.
    Som vanligt, tänk på vad ni säger/skriver!!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *