Omvärldsläget har skapat ett föränderligt hot där främmande makts målval kan skifta snabbt. Samtidigt saknar verksamheter kunskap kring de egna skydds­värdena, vilket riskerar att skapa sårbarheter.

Säkerhetsskyddet ska vara utfor­mat för att klara av förändringar i hotbilden. Rysslands anfallskrig mot Ukraina får globala konsekvenser, vilket i sin tur skapar ett föränderligt hot. Främmande makts tillvägagångssätt och målval, framför allt på cyberarenan, kan skifta snabbt utifrån händelseutvecklingen. Därför behöver verksamhets­utövare kontinuerligt testa och utvärdera det egna säkerhetsskyddet.

Det försämrade säkerhetspolitiska läget bidrar till att återuppbyggnaden av totalförsvaret blir allt viktigare för Sveriges säkerhet. Såväl offentliga som privata verksamheter är centrala i denna återuppbygg­nad. Flera aktörer får i samband med detta utökade eller nya uppdrag och roller som har betydelse för Sveriges säkerhet och som därmed kräver ett fullgott säkerhetsskydd.

Återuppbyggnaden av totalförsvaret innebär att det är fler än tidigare som bedriver säkerhetskänslig verksamhet. Det gör samtidigt att riskerna ökar, då verksamheter som tidigare inte haft tillgång till säker­hetskänslig information nu behöver kunna hantera det på ett säkert sätt, och där ser Säkerhetspolisen att det finns brister.

– Säkerhetsskydd ska utgöra en tröskel för angrepp. Därför är det bekymmersamt att verksamhetsutövare har ett delvis bristande säkerhetsskyddsarbete. Om säkerhetsskyddet brister så riskerar Sveriges totalförsvarsförmåga att röjas allt eftersom den byggs upp, säger David Hughes, chef inom verksamhetsområde säkerhetsskydd vid Säkerhetspolisen.

Det finns idag brister i säkerhetsskyddet hos säkerhetskänsliga verksamheter inom alla områden, det vill säga inom personalsäkerhet, fysisk säkerhet och informationssäkerhet. Verksamheter saknar bland annat förmåga att upptäcka intrång i informationssys­tem och har grundläggande brister i exempelvis den säkerhetsskyddsanalys som verksamhetsutövare är skyldiga att göra. Det finns även brister inom säker­hetsskyddade upphandlingar.

Säkerhetspolisen ser samtidigt hur utvecklingen i omvärlden innebär svårigheter för verksamhetsutövare att bedöma vad som är säkerhetskänslig verksamhet. Det i kombination med en bristfällig identifiering av skyddsvärden skapar potentiellt sårbarheter. Även om det finns en osäkerhet kring vad som ska klassas som säkerhetskänslig verksamhet finns en större medve­tenhet idag kring vikten av att skydda den.

– Det finns en större förståelse och medvetenhet om att det finns ett hot. Gapet mellan säkerhetsskyddet och våra motståndares förmågor kvarstår, men i takt med att medvetenheten ökar skapas förutsättningar för att i vart fall minska skillnaden. Hos många verksam­hetsutövare pågår ett intensivt förbättringsarbete, men det finns en resurs-och kompetensförsörjningsbrist som är ett reellt problem, säger David Hughes.

Under 2022 har Säkerhetspolisen gått ut till verk­samhetsutövare vid flera tillfällen och uppmanat till stärkt säkerhetsskydd och en ökad vaksamhet med anledning av det försämrade omvärldsläget. Detta riktade sig särskilt till sektorer där angrepp skulle kunna orsaka särskilt stor skada för Sverige säkerhet, och i vissa fall för övriga Europa eller västvärlden.

Uppmaningarna bidrog till att antalet inrapporte­rade incidenter ökat kraftigt under året.

– Främmande makt genomför ständigt olika typer av punktinsatser för att skapa osäkerhet och för att bedriva påtryckningar. I ljuset av det som nu sker i vår omvärld är det viktigt att säkerhetskänsliga verksamheter har en ökad vaksamhet. Det är ett gemensamt ansvar att hålla Sverige säkert, säger David Hughes.