Säpo

Gapet mellan hot och skydd växer - säkerhetsskyddet måste stärkas

2017-03-16

Hotbilden mot Sverige och svenska intressen har förändrats. Det blir allt svårare att hålla landet säkert. Samtidigt finns det brister i säkerhetsskyddet hos svenska myndigheter och institutioner. Nu krävs en bred insats för att minska sårbarheten hos skyddsvärda verksamheter, skriver säkerhetspolischef Anders Thornberg.

Under senare år har vi kunnat se hur det säkerhetspolitiska läget i Europa har förändrats och Sverige har fått en ökad militärstrategisk betydelse. Hotbilden mot vårt land är annorlunda i dag än för bara några år sedan. Det har bland annat fört med sig att totalförsvarsplaneringen har återupptagits och det civila försvaret ska aktiveras.

Säkerhetspolisen är en av de myndigheter som har en viktig roll i det här arbetet. Vi ansvarar för att skydda Sverige mot inre och yttre samhällshotande verksamhet riktad mot våra demokratiska värden. Det gör vi genom att följa upp och motverka brottsaktiva aktörer och nätverk.

Säkerhetspolisen arbetar också med att stärka skyddet hos de objekt och mål som är skyddsvärda utifrån Sveriges säkerhet. Sårbarheter i it-system, bristande skydd av byggnader och illojal personal är exempel på sådant som aktörer kan utnyttja för att komma åt eller förstöra hemlig information hos myndigheter och institutioner. Det här arbetet kallas för säkerhetsskydd och syftar till att se till att nivån på skyddet är rätt anpassat.

I Säkerhetspolisens årsbok för 2016 som presenteras i dag, framgår att vi under förra året utredde flera insiderfall inom skyddsvärda verksamheter av betydelse för totalförsvaret. Det handlar alltså om agenter som från insidan av en skyddsvärd verksamhet, har anlitats av främmande makt eller andra aktörer för att hämta in information. Vi har också utrett flera fall av statligt styrda elektroniska angrepp mot myndigheter och företag som är viktiga för totalförsvaret. Det visar att det finns reella och allvarliga hot mot Sveriges säkerhet.

Såväl FRA, Försvarets radioanstalt, som Must, Militära underrättelse- och säkerhetstjänsten, och Säkerhetspolisen har nu givit sina bilder av underrättelsehotet mot Sverige. Det handlar bland annat om ökad militär förmåga hos främmande makt och om it-angrepp.

Att bedöma vilka hot som riktas mot Sverige och vilka sårbarheter som finns i samhället utgör grunden för Säkerhetspolisens arbete. Det är två sidor av samma mynt. Och en risk vi ser för samhället och totalförsvaret är bristande it-säkerhet och informationssäkerhet.

Myndigheternas säkerhetsskyddsuppdrag utgår från säkerhetsskyddslagen. Lagen innehåller bestämmelser som syftar till att skydda verksamhet som är av betydelse för Sveriges säkerhet mot till exempel spioneri, sabotage och terroristbrott. Lagen syftar även till att skydda uppgifter som är av betydelse för Sveriges säkerhet från att röjas, förändras, göras otillgängliga eller förstöras.

Säkerhetspolisens säkerhetsskyddsuppdrag innebär att vi arbetar för att höja säkerhetsnivån inom verksamheter som hanterar uppgifter som måste skyddas av hänsyn till Sveriges säkerhet. Vi gör det genom tillsyn, vilket innebär att Säkerhetspolisen kontrollerar att organisationen lever upp till ställda krav kopplat till säkerhetsskydd. Vi stödjer också särskilt skyddsvärda verksamheter med rådgivning kopplat till myndigheternas egna säkerhetsskyddsarbete. Säkerhetspolisen utfärdar även föreskrifter för myndigheter som faller inom vårt ansvarsområde. Dessutom gör vi registerkontroller efter ansökan från myndighet. Registerkontrollen är en del av den säkerhetsprövning som en myndighet måste göra kring personer som söker säkerhetsklassade anställningar. Den utgör sedan ett underlag när den anställande myndigheten fattar beslut om anställning.

Inom ramen för Säkerhetspolisens säkerhetsskyddsuppdrag – och kopplat till det ökande hotet i vår omvärld – genomförde vi förra året en inventering av säkerhetsskyddet hos myndigheter och institutioner som utifrån sin verksamhet behöver ett särskilt skydd. Det handlar om verksamheter som är av högt skyddsvärde och som till exempel berör vår energiförsörjning, vår telekommunikations- eller finanssektor.

Resultatet visar att ju mer frekvent en myndighet hanterar generella säkerhetsfrågor i sin kärnverksamhet, desto bättre är de på säkerhetsskydd. Flera myndigheter har de senaste åren vidtagit åtgärder som är mycket positiva för säkerhetsskyddet.

Hos ett flertal myndigheter finns däremot brister i arbetet, till exempel med den egna säkerhetsanalysen. I och med att säkerhetsanslysen är tänkt att lägga grunden för hela säkerhetsskyddsarbetet, är detta givetvis ett problem.

En bristande eller inte genomförd säkerhetsanalys kan få stora konsekvenser. Utan kunskaper om vad som ska skyddas, mot vad och hur, är det svårt att vidta de rätta skyddsåtgärderna. Detta kan skapa en falsk trygghet som leder till att en aktör kan få tillgång till skyddsvärd information som berör Sveriges säkerhet.

Ansvaret för att vidta de faktiska skyddsåtgärderna kring en verksamhet som är av betydelse för Sveriges säkerhet, ligger på den som bedriver verksamheten. Varje myndighet ansvarar alltså för sin säkerhetsorganisation, att säkerhetsanalyser av den skyddsvärda verksamheten regelbundet görs, att det finns en god informationssäkerhet och fysisk säkerhet. Varje myndighet ansvarar vidare för att det görs säkerhetsprövningar och att rutiner för säkerhetsskyddade upphandlingar efterlevs.

Inventeringsarbetet som Säkerhetspolisen har gjort visar på behovet av att öka den grundläggande förståelsen för säkerhetsskydd. Under 2017 kommer Säkerhetspolisen därför att genomföra flera stödjande och rådgivande insatser till myndigheter och institutioner, vars verksamhet är skyddsvärd. Det handlar bland annat om att:

  • Säkerhetsskyddet behöver bli en prioriterad fråga för högsta ledningen hos skyddsvärda verksamheter
  • Det måste finnas ansvariga som har mandat att driva säkerhetsskyddsfrågorna och ser till att höja kunskapsnivån
  • Resurser måste avsättas till säkerhetsskyddsarbetet för att uppnå rätt förutsättningar i förhållande till kraven

Säkerhetspolisen kommer att arbeta tillsammans med flera andra myndigheter för att minska det växande gapet mellan hot och skydd. Det är ett gap som växer och som Säkerhetspolisen bedömer som mycket oroande. För att minska sårbarheten i verksamheter som har betydelse för Sveriges säkerhet, behöver vi nu göra breda insatser. Inte minst handlar det om att öka den grundläggande förståelsen för säkerhetsskydd. Det är något som krävs för ett säkrare Sverige.

Anders Thornberg, säkerhetspolischef