In 2020, the RSA Conference still took place in San Francisco, but this year’s event was held virtual with the ongoing pandemic restrictions. The previous physically held conference in February 2020 saw plenty of exciting new research published, which we discussed at the time, focusing especially on cloud security. Now, we decided to take a look at new data and see how things in the world of the cloud have developed from early 2020 to August 2021. It looks like the challenges remain the same, but have likely been exacerbated by the pandemic years.
Sveriges säkerhetsskydd måste förbättras
Johan Rundquist
Cybersecurity Consultant
March 9, 2020 at 11:16
Ett år med den nya säkerhetsskyddslagen − ett steg i rätt riktning men mycket återstår att göra.
Artikel från Aktuell Säkerhet Januari 2020.
Säpos årsrapport för 2018 beskriver hotbilden mot Sverige som bredare och mer omfattande än för bara några år sedan. MUST beskrev i sin årsrapport en ökad aktivitet hos Kina och Ryssland, såväl vad gäller militär förmåga som på cyberarenan. En förändrad hotbild som även förstärks i Säpos ”Hotbild mot säkerhetskänslig verksamhet” från 2019. Trots denna ökande hotbild så släpar svenska aktörer fortfarande efter i kunskap och resurser avseende säkerhetsskydd. Samtidigt är ett av de viktigaste ramverken för att stärka svensk förmåga fortsatt otillräcklig. Det gäller den nya säkerhetsskyddslagen som trädde i kraft första april 2019.
Denna nya lag bör utgöra en kärnpunkt för Sveriges nationella säkerhetsstrategi. Den bör dessutom tjäna som ett tydligt redskap för aktörer kopplade till Sveriges säkerhet. Om lagen inte lever upp till dessa krav och förväntningar påverkas drastiskt vår förmåga att hantera hot mot Sveriges säkerhet.
Säkerhetsskyddslagen idag och i morgon
Säkerhetsskyddslagen gäller idag för den som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktigande internationellt åtagande rörande säkerhetskänslig verksamhet. Lagen gäller för skyddsvärda aktiviteter samt för klassificerad information inom försvar, kommuner och myndigheter. Den omfattar även privata aktörer inom, till exempel, energi- och telekomsektorn.
Med tanke på remissinstansernas yttranden på ”Remiss av SOU 2018:82 Kompletteringar till den nya säkerhetsskyddslagen” går det att få en bild av hur framtiden inom säkerhetsskydd kan komma att se ut.
Säkerhetsskyddschef införs i varje organisation
Skyldigheten att ingå säkerhetsskyddsavtal föreslås att utvidgas. Detta är positivt, men kommer att innebära ökad administration och kostnader för exempelvis kommuner som redan idag lider av underbemanning på sina säkerhetsenheter. Bara en sådan sak som den kommande ökningen av registerkontroller väcker frågan om hur de nya kraven ska finansieras.
Vidare ska det införas en säkerhetsskyddschef i varje berörd organisation, men kompetenskraven är otydliga. Positionen ska placeras precis under VD:n vilket tydliggör den nya synen på säkerhetsaspektens betydelse även i lagstiftarens ögon. Problemet som därmed uppstår är att det skulle kunna inkräkta på en kommuns självbestämmande såväl som på hur ett företag strukturerar sin organisation. Det kan leda till att positionen som säkerhetsskyddschef ges till någon som inte tar den på tillräckligt stort allvar.
Förslaget kan också påverka redundansen av kompetens inom säkerhetsskydd då hela ansvaret läggs på en enskild roll, vilket inte stämmer med den nationella strategin där säkerhetstänket ska genomsyra samhället. Eftersom företag som omfattas av lagen själva ska avgöra i vilken omfattning de berörs kommer det att behövas bred kunskap inom säkerhetsskydd. Exempelvis kan det handla om när olika företag inom samma koncern ska bedömas och om det ska finnas en säkerhetsskyddschef på alla dotterbolag.
Samtidigt som det är bra att näringslivet involveras i högre grad bör rimligtvis detta ansvar och de slutliga besluten ligga på myndighetsnivå, istället för på nivån för enskilda företags bedömningar. Det görs vissa undantag i lagen då myndigheter som använder sig av varandra kan slippa att ingå säkerhetsskyddsavtal. Detta gäller dock inte regioner och kommuner, vilket är märkligt då våra största skandaler inom området uppstått hos just dessa typer av myndigheter. Ingen har väl exempelvis missat vad som hände på Transportstyrelsen?
40 årsarbetskrafter behövs enligt Säpo
Den föreslagna förbättrade tillsynen från huvudsakligen Säpo och Försvarsmakten är ett positivt inslag i säkerhetsskyddslagstiftningen. Men för att leva upp till de nya riktlinjerna har Säpo angivit att de kan behöva runt fyrtio nya årsarbetskrafter. Säpo är dock bara en myndighet bland många. Övriga tillsynsmyndigheter som till exempel Försvarsmakten, Svenska kraftnät, Transportstyrelsen, Post- och Telestyrelsen samt Länsstyrelser m.fl. måste också tillsätta fler positioner. De behöver även utbilda inom informationssäkerhet och säkerhetsskydd, samt upprätthålla rätt kompetens för att ge råd och stöd till andra.
Det krävs tydligare riktlinjer när det gäller vem som har ansvar för vad, t.ex. om tillsynsmyndigheter ska utses sektorsvis för att undvika överlappande, och i så fall hur samordning ska ordnas. Det kan bli kaos om samordningen inte fungerar i Region Stockholm, med kommun, region, Säpo och privata företag. Om man sedan lägger till en komponent som BankID, vilken används i princip av alla berörda parter, och därmed väcker frågan om vem som ska vara tillsynsmyndighet för denna funktion, inses lätt hur rörigt det kan bli. Problemet här är inte bristen på vilja eller kompetens hos berörda aktörer, utan snarare den otydlighet som säkerhetsskyddslagen för med sig samt bristen på resurser hos de verksamheter som ska uppfylla kraven.
I kompletteringar till den nya säkerhetsskyddslagen föreslås också att det ska bli obligatoriskt för tillsynsmyndigheter att ta ut sanktionsavgifter av verksamhetsutövare. Frågan är om staten verkligen ska sanktionera sig själv baserat på bristande kunskap eller otydliga riktlinjer. Spannet på sanktioner är väldigt brett och ligger mellan 5 000 – 10 miljoner svenska kronor vilket bedöms vara olika kännbart baserat på vilken bransch organisationen befinner sig i. Exempelvis kan det bli en kolossal summa för en mindre kommun samtidigt som säkerhetsskyddslagen kanske kommer att prioriteras väldigt lågt av banker och större internationellt verksamma företag, där det redan finns lagar och sanktioner av betydligt större dignitet.
Hur påverkas samarbetet med utländska aktörer?
En viktig fråga som också aktualiseras är hur relationer med utländska aktörer kommer att påverkas av den rådande otydligheten vid samarbeten som berör Sveriges säkerhet. Kommer utländska företag att dra sig för att göra affärer i Sverige då det exempelvis inte finns någon kompensation för leverantörer vid avbrytande eller begränsning av upphandling? Om denna osäkerhet kring affärsklimatet börjar beröra företags prissättning bör det göras en översyn av kostnader i relation till föreslagna säkerhetsåtgärder. Det finns även en oklarhet kring hur lagen ska tillämpas på aktörer som har kontor i andra länder.
Utbildning och certifiering
För att över huvud taget få den nya lagstiftningen att lyfta krävs ett gediget utbildningsarbete, inom såväl offentlig sektor som i näringslivet. I detta sammanhang behövs dessutom en djupgående utredning om kompetensförsörjningen inom säkerhetsskydd i Sverige. Utifrån detta bör det sedan införas ett certifieringssystem för säkerhetsskydd, detta för att upprätthålla en väl avvägd kvalitet. Ett sådant system skulle även vara till nytta i koordineringsarbetet gällande olika lagrum, exempelvis samordning av kraven enligt säkerhetsskyddslagen och NIS-direktivet, samt när det gäller vilka lagar som ska vara överordnade andra lagar.
Trots allt – det finns hopp
Det blir lätt frustrerande att försöka driva uppdrag i mål avseende säkerhetsskydd då lagen är så otydlig. Samtidigt kan man som säkerhetskonsult känna en otrolig vilja från verksamhetsutövare att ta säkerhetsskydd på allvar, vilket gör att man känner hopp inför framtiden. Att få säkerhetsskyddslagen att fungera fullt ut i alla delar av samhället kan inte göras om inte alla är med på tåget.
Det bör förtydligas att det inte ska finnas någon domedagskänsla inför framtiden, de flesta berörda aktörer är eniga om att den nya säkerhetsskyddslagen är ett bra tillskott för totalförsvaret. Tanken är god, men för att alla berörda aktörer ska kunna vara en väl fungerande del av totalförsvaret krävs det rätt kompetens och tillräckliga resurser, samt rådgivning inom alla delar av samhället. Något som den nuvarande säkerhetsskyddslagstiftningen tyvärr inte lever upp till.