2021-12-02
Vad kan vi vänta oss av säkerhetsåret 2022? Vesperknutne Gunnar Karlson, tidigare Must-chef, menar att det i slutet av 2021 är på sin plats med några tankar på temat, denna gång med tyngdpunkt på fysisk säkerhet och personalsäkerhet – här bjuder vi på hans spaning:
Hotbilden
Ett första väsentligt konstaterande är att hotbilden knappast blir lindrigare eller mindre komplex nästa år. Det gäller både yttre hot mot Sveriges säkerhet och andra typer av hot som påverkar säkerhetsskyddet. Vår omvärld kännetecknas av konflikter och spänningar. Aktörer som Ryssland och Kina tvekar inte att använda de metoder som står till buds för att nå sina mål. Ur ett säkerhetsskyddsperspektiv är den underrättelseverksamhet som Ryssland och Kina och andra länder riktar mot Sverige en grundläggande komponent i hotbilden. Det rör sig om stater med stora och kompetenta underrättelsetjänster och med få skrupler mot att använda de metoder som de själva tycker behövs. Men hotbilden består inte bara av Ryssland och Kina. Andra stater (till exempel Iran) har intresse av att bedriva verksamhet som hotar Sverige. Förutom från statsaktörer kommer allvarliga hot även under nästa år att komma från terrorism och grov organiserad brottslighet. Inte heller aktörer av det slaget ser ut att bli färre eller svagare under 2022.
Lagen
Nästa grundläggande observation är att vi går in i 2022 med ännu en uppdatering av säkerhetsskyddslagen, i kraft från 1 december 2021. För den som bedriver verksamhet som direkt träffas av lagen är detta förstås av avgörande betydelse, och det är nödvändigt att sätta sig in i vad lagen och förordningen innebär för den verksamhet man bedriver. Men även den som vill värna sin säkerhet av andra orsaker har goda skäl att tänka i lagens anda. En så färsk lag som säkerhetsskyddslagen från 2019 redan har redan reviderats ett par gånger. Det är en stark indikation både på att hoten har blivit tydligare och på att riksdag och regering tar dessa hot på stort allvar. Det faktum att tillsynsmyndigheterna får nya verktyg som undersökningsbefogenheter, åtgärdsförelägganden och sanktionsavgifter visar också på frågans allvar.
Trycket på att ha ett bra säkerhetsskydd kommer i ökande utsträckning inte bara från regelverk och tillsynsmyndigheter, utan också från ägare, kunder, leverantörer och partners. Samtidigt är resurserna ändliga, och det kommer att vara viktigare än någonsin att göra en genomtänkt kalkyl av vilka satsningar på säkerhet som är de bästa.
Pandemi och distansarbete
En tredje utgångspunkt är att distansarbetet är här för att stanna, även om pandemin skulle vara helt över under 2022. I varierande grad kommer arbetsgivare och anställda på många arbetsplatser att komma fram till olika blandningar av hemarbete och kontorsarbete. Att detta påverkar cybersäkerheten är uppenbart och ofta diskuterat. Men det blir också viktigt att se till att arbetsgivarens information och utrustning är fysiskt skyddad där den är och när det behövs. Dessutom uppstår nya utmaningar i personalsäkerheten när det finns medarbetare som man träffar mycket sällan.
Insiderhotet och personalsäkerhet
Flera rättsfall under 2021, både fällande domar och häktningar, har påmint oss om att det finns personer i vårt land som låter sig rekryteras till att gå främmande makts ärenden. Även i andra länder finns det sådana exempel från det gångna året. Främmande makter minskar inte sin ambition att rekrytera informationslämnare på viktiga platser. Dessutom är det uppenbart att brister i personalsäkerhet har lett till att främmande makts källor har kunnat arbeta på positioner där de har haft tillgång till känslig information. Men insiderhotet kommer inte bara från främmande makter och gäller inte bara information som direkt har betydelse för Sveriges säkerhet. Både företag och myndigheter är utsatta för hot från den grova organiserade brottsligheten, som har mycket att vinna på att ha en person på insidan. Eftersom det finns stora vinster att göra för den brottsling som lyckas med något sådant är det mycket troligt att försöken kommer att fortsätta under 2022. Det hjälper inte att man skyddar sin information med god cybersäkerhet om utomstående kan komma åt den med hjälp av en person på insidan.
Alltså kommer ett bra arbete med personalsäkerhet att spela stor roll under nästa år. Och som alla insatta vet gäller det inte bara vid nyanställningar, utan kontinuerligt.
Fysisk säkerhet
Att fysisk säkerhet har betydelse illustrerades tydligt i november i år, när bland annat ett femtiotal datorer stals på Jordbruksverket i Jönköping. Även om ingen känslig information kom på avvägar den här gången leder sådana händelser till kostnader, verksamhetsproblem och förtroenderisker. Den fysiska säkerheten är ett nödvändigt komplement till informationssäkerhet och personalsäkerhet. När det gäller skydd mot terrorism är det ofta den fysiska säkerheten som står i första linjen.
Teknikutvecklingen innebär både möjligheter och risker när elektronik används för att åstadkomma fysisk säkerhet – vem kontrollerar egentligen de uppkopplade låsen och larmen? Utvecklingen på drönarområdet är också viktig att följa noga. Det räcker inte alltid med fysiskt skydd på marknivå, utan hotet kan i ökande utsträckning komma uppifrån.
Utländska direktinvesteringar
En säkerhetsfråga som kommer att uppmärksammas under 2022 är utländska direktinvesteringar i säkerhetskänslig verksamhet i Sverige. Att ägare med kopplingar till främmande makt kan skaffa kontroll över kunskap, resurser och verksamhet som är viktiga för Sveriges säkerhet är ett känt problem. Ett utredningsförslag lämnades till regeringen den 1 november i år, och 2022 kan vi förvänta oss lagstiftning och åtgärder. Lagen kan komma att ge staten möjlighet att säga nej till vissa utländska investeringar i vissa verksamheter. Det handlar om en svår balansgång mellan å ena sidan fritt näringsliv och fri handel och å andra sidan Sveriges säkerhetsintressen. Många kan ha goda skäl att följa frågan under 2022.
Säkerhetsskyddsanalysen
Kort sagt talar mycket för att 2022 kommer att vara ett krävande år på säkerhetsskyddets område. Hoten är stora, de regler som måste följas är tydliga och förväntningarna från många håll är höga. Hur ska den som ägnar sig åt säkerhetsskydd bäst hantera detta? Naturligtvis behöver många se till att deras kunskaper blir uppdaterade med den nya information som tillkommer.
Snarare än att kasta sig över nya hot och regler en i taget finns det goda skäl för att vara systematisk. Och systematiken på säkerhetsskyddets område har ett namn: säkerhetsskyddsanalys. Att återvända till sin säkerhetsskyddsanalys och undersöka om den behöver uppdateras i ljuset av det som har hänt eller bedöms komma att hända är ett gott råd inför säkerhetsåret 2022.
Gunnar Karlson, tidigare Must-chef, konsult i säkerhetsfrågor hos Vesper sedan 2019.
Intresserad av att veta mer om vad vi kan erbjuda? Boka tid med Mattias Lundkvist så berättar vi om våra möjligheter.