Till innehållet
Placeholders logotyp, till startsidan
Tipsa oss

Lägesbild 2023-2024.pdf

Säkerhetspolisen 2023/24

Allvarligt läge

Incidentanmälningar viktiga för uppdaterad lägesbild

Under 2023 har säkerhetshotande verksamhet som sabotage, angrepp och kartläggningsförsök riktats mot säkerhetskänsliga verksamheter i Sverige. Brister i den fysiska säkerheten är den vanligaste orsaken till incidenter.

alt

I början av 2022 skickade Säkerhetspolisen en skrivelse till verksamhetsutövare inom myndighetens tillsynsområde med uppmaning om ökad vaksamhet mot misstänkta händelser som avviker från normalbilden och en önskan om ökad rapportering av incidenter. Sedan dess anmäler fler verksamhetsutövare än tidigare säkerhetshotande händelser och verksamhet. Samtidigt ser Säkerhetspolisen att det finns brister hos verksamhetsutövarna när det kommer till att bedöma huruvida en incident inneburit en skada för Sveriges säkerhet eller inte.

– De anmälningar och tips Säkerhetspolisen får in är viktiga för att vi ska kunna skapa oss en helhetsbild av hur hotet mot Sverige manifesteras över tid. De ligger till grund för de analyser och rapporter vi ger ut och är viktiga pusselbitar för en tidig förvarning om en försämrad säkerhetssituation, säger Saga*, analytiker inom säkerhetsskydd vid Säkerhetspolisen.

Brister inom fysisk säkerhet

Brister i verksamhetsutövarnas säkerhetsskyddsåtgärder för att upptäcka och försvåra obehörigt tillträde och skadlig inverkan gör att skyddsvärda anläggningar, system och liknande är sårbara för antagonistisk påverkan. En utmaning för verksamhetsutövarna är att tillgången till allt mer kvalificerade verktyg för obehörigt tillträde och skadlig inverkan fortsatt ökar. Säkerhetspolisen har under 2023 påpekat vikten av att skyndsamt stärka den fysiska säkerheten med anledning av det försämrade säkerhetspolitiska läget.

De flesta av de allvarligaste incidenterna som berör den fysiska säkerheten handlar vanligtvis om inbrott eller sabotage mot skyddsobjekt. Bland de incidenter som kommit in till Säkerhetspolisen återfinns sabotage och angrepp på skyddsobjekt, olika former av kartläggningsförsök där obehöriga avbildat skyddsobjekt, misstänkt röjande av säkerhetsskyddsklassificerade uppgifter eller försök till intrång i anläggningar där säkerhetskänslig verksamhet bedrivs.

– Incidenterna och händelserna visar på att det fortsatt finns omfattande sårbarheter inom säkerhetskänsliga verksamheters fysiska säkerhet. Detta är allvarligt eftersom skyddsvärden av stor betydelse för Sverige är otillräckligt skyddade, säger Saga.

Bristande utbildning skapar sårbarheter

Den vanligaste typen av inrapporterade säkerhetshotande händelser har att göra med bristande utbildning inom säkerhetsskydd. Det kan exempelvis handla om felaktig hantering av säkerhetsskyddsklassificerade uppgifter eller att någon tagit del av information utan behörighet. Därutöver är det både misstag och angrepp som ligger bakom att incidenter sker inom informationssäkerhet.

Ett fungerande säkerhetsskydd är avhängigt förmågan att upptäcka säkerhetshotande händelser. En kontinuerlig vaksamhet är därför viktig, inte minst när det gäller att upptäcka försök till angrepp och att uppmärksamma ifall någon exempelvis upprepade gånger testar att göra intrång i ett informationssystem.

Detta kan åstadkommas genom en kombination av intrångsdetektering, säkerhetsloggning och att ha en funktion som aktivt arbetar med övervakning av informationssystemet. Det kan även handla om att ha larm och en förmåga att utreda händelseförlopp vid skadegörelse, inbrott och annan aktivitet som ämnar testa den fysiska säkerheten på en anläggning.

– Sammantaget är de sårbarheter vi ser allvarliga givet att främmande makt har en hög förmåga till olika typer av angrepp och kontinuerligt riktar sig mot svenska målval, säger Saga.

Säkerhetspolisen ser också att utövare av säkerhetskänsliga verksamheter har svårt att avgöra hur de ska bedöma kopplingar till främmande makt inom ramen för personalsäkerhetsarbetet. Säkerhetspolisen vet att de ryska, kinesiska och iranska underrättelsetjänsterna har ett intresse för säkerhetskänslig verksamhet och att de generellt kan försöka utnyttja kopplingar till hemländerna för att förmå individer att bedriva underrättelseverksamhet mot svenska intressen.

*Saga är ett fingerat namn.

Fiktiva exempel

Hemlig information röjd

  • En anmälan inkommer till Säkerhetspolisen. En verksamhetsutövare har utläst ett avvikande mönster där stora mängder data har exporterats från verksamhetens databaser till ett USB-minne. Filerna som exporterats är säkerhetsskyddsklassificerade på nivån hemlig.
  • Ärendet rör en anställd hos verksamhetsutövaren som under en tid uppträtt anmärkningsvärt och som börjat uttrycka missnöje mot sin arbetsgivare. Personen har gått igenom en skilsmässa och har därefter haft stora ekonomiska svårigheter.
  • Medarbetaren har även vid upprepade tillfällen stannat kvar på arbetsplatsen långt inpå nätterna. Verksamhetsutövaren kallar medarbetaren till samtal. Vid samtalet uppträder medarbetaren nervöst och svarar undvikande när vederbörande konfronteras om dataloggarna och de sena arbetskvällarna. Medarbetaren kan inte uppge var USB-minnet är och har därför inte möjlighet att återlämna det. Personen medger däremot kännedom om att filerna var säkerhetsskyddsklassificerade. Vidare uppger medarbetaren att ingen annan tagit del av filerna som lagrats på USB-minnet.
  • Med anledning av att det inte kan påvisas att någon obehörig har tagit del av de säkerhetsskyddsklassificerade filerna kan inte verksamhetsutövaren med säkerhet säga att informationen som exporterats från myndighetens databaser är röjd. Verksamhetsutövaren bedömer dock att informationen som exporterats kan antas vara röjd. I sin skadebedömning beskriver verksamhetsutövaren att en röjning skulle medföra betydande skada på Sveriges säkerhet med anledning av säkerhetsskyddsklassificeringen på handlingarna.
  • Utifrån den sammantagna bilden bedömer verksamhetsutövaren att personen utgör en säkerhetsrisk och ser på möjligheterna att avskilja vederbörande från sin anställning.

Slarv skapar incident

  • En medarbetare hittar ett anteckningsblock i ett tomt fikarum. Fikarummet är beläget i en intern zon dit bara behörig personal i säkerhetsklass har tillträde. I anteckningsblocket upptäcks en säkerhetsskyddsklassificerad handling på nivån konfidentiell. Medarbetaren kontaktar säkerhetsskyddschefen som i sin tur upprättar en anmälan om säkerhetshotande händelse och verksamhet till Säkerhetspolisen.
  • En intern utredning startas och i rapporten som skickas till Säkerhetspolisen konstaterar verksamhetsutövaren att handlingen lämnats i fikarummet av en medarbetare. Ungefär tio minuter senare påträffades blocket och handlingen i det tomma fikarummet.
  • I sin skadebedömning beskriver verksamhetsutövaren att en röjning av handlingen skulle innebära en inte obetydlig skada på Sveriges säkerhet och att det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts.
  • De brister som verksamhetsutövaren identifierade var främst mänskligt slarv. För att åtgärda detta hålls samtal med medarbetaren. Personen får även repetera den interna utbildningen i grundläggande säkerhetsskydd.

Föregående

Sverige som plattform för främmande makts cyberangrepp

Nästa

Digitaliserade registerkontroller ökar säkerhet och effektivitet
Placeholderlogotyp

Säkerhetspolisen avvärjer hot mot Sveriges säkerhet och mot medborgarnas fri- och rättigheter. Vårt uppdrag är att säkra framtiden för demokratin.

Sociala medier

Följ Säkerhetspolisen i sociala medier. Vi finns på Twitter, Instagram och LinkedIn

Tipsa oss

Har du sett eller hört något som Säkerhetspolisen kan ha nytta av i arbetet för att skydda Sverige?

Till tipssidan

Telefon: 010-568 70 00

Säkerhetspolisen

Box 12312

102 28 Stockholm

Tfn: 010-568 70 00

Om kakor på webbplatsen

På denna webbplats används endast nödvändiga kakor för att webbplatsen ska fungera. Genom att klicka på "Jag förstår" sätts också en kaka för att fortsätta hålla meddelandet stängt.

Läs mer om kakor