När jag summerar 2022 ur ett säkerhetsskyddsperspektiv kan jag konstatera att det har varit ett händelserikt år. Vi har genom mediarapportering om inträffade incidenter och misstänkt brottslighet vid upprepade tillfällen påmints om hur viktigt det är att jobba systematiskt och uthålligt med att skydda Sveriges säkerhet.
I september inträffade flera explosioner vid gasledningarna Nordstream 1 och 2 i Östersjön, med ökade gaspriser och finansiell och politisk oro som följd. I november–december har huvudförhandlingen mot de två bröder som åtalats för grovt spioneri genomförts. Åklagaren yrkar på livstids fängelse för den äldste brodern, något som ytterligare understryker allvaret i den påstådda brottsligheten. I november blev det även känt att ytterligare två personer gripits misstänkta för att ha gått den ryska militära underrättelsetjänstens ärenden. Och det går förstås inte att summera 2022 utan att nämna den ryska invasionen av Ukraina och det allmänt försämrade säkerhetsläget i Sveriges närområde. Plötsligt har säkerhetshotet blivit både verkligt och kommit nära och även om säkerhetsskyddsarbetet är långsiktigt och inte bör påverkas av varje förändring i yttre omständigheter, går det inte att komma ifrån att händelseutvecklingen i stort påverkar Sveriges säkerhet negativt. Vem hade för ett år sedan gissat att dåvarande regering efter en rekordsnabb omsvängning och med brett stöd i riksdagen, under våren skulle lämna in en ansökan om Nato-medlemskap?
Men det har också hänt en del som är positivt. För första gången har Sverige fått en nationell säkerhetsrådgivare i form av Henrik Landerholm. Hans första uppgift är att föreslå hur en funktion för samordning, inriktning och analys av frågor som rör nationell säkerhet bör se ut. Efter valet inrättades även en ministerpost för civilt försvar, med utpekat ansvar att stärka Sveriges motståndskraft mot hybridhot. Förhoppningsvis kommer den nya ministern Carl-Oskar Bohlin att verka för att takten i arbetet med att återuppbygga det civila försvaret ökar och att näringslivet på ett tydligare sätt involveras.
Ett återuppbyggt civilt försvar och ett framtida Nato-medlemskap ställer nya krav på fungerande säkerhetsskydd. Det återstår även generella brister i säkerhetsskyddet hos många säkerhetskänsliga verksamheter, många gånger orsakade av en långvarig nedprioritering av frågorna och allmän kompetensbrist.
När vi blickar framåt är behovet av att alla berörda aktörer i samhället tar sitt ansvar för att skydda Sveriges säkerhet således större än på mycket länge. Och frågan är om det överhuvudtaget går att skydda säkerhetskänslig verksamhet mot angrepp och insiders liknande de vi ser i ovan nämnda exempel. Jag vill mena att det, även om vi tyvärr aldrig kommer att kunna åstadkomma ett hundraprocentigt skydd, absolut är möjligt. Det handlar just om att arbeta långsiktigt och strategiskt. Det kan förstås låta enklare än vad det är i praktiken, men det finns egentligen inga alternativ. När det kommer till Sveriges säkerhet kan vi inte jobba med riskaptit och hoppas att oacceptabla konsekvenser inte inträffar, de gemensamma insatserna är helt enkelt för höga.
Så hur går man då till väga? Här vill jag påminna om den bloggserie om systematiskt säkerhetsskyddsarbete som vi publicerade under hösten 2021. I den diskuterade vi hur man med säkerhetsskyddsanalysen som grund lyckas med sitt systematiska säkerhetsskyddsarbete, gärna med hjälp av ett ledningssystem för säkerhetsskydd (se bild nedan). Här följer en kort sammanfattning av de viktigaste poängerna i respektive inlägg i serien. Mycket nöje!
Inlägg 1: En säkerhetsskyddsanalys ska besvara frågorna VAD som ska skyddas, MOT VAD det ska skyddas och HUR. Det är avgörande att landa rätt i den första frågan om VAD, eller med andra ord vilka skyddsvärden som finns i verksamheten, annars blir resterande delar av analysen också fel. Låt därför detta steg ta tid, arbeta metodiskt och, inte minst, motivera och dokumentera era bedömningar.
Inlägg 2: Syftet med säkerhetsskyddsanalysens andra del, d.v.s. analysen av säkerhetshotet mot verksamheten, handlar inte om att analysera vilka antagonister som skulle kunna göra vad utan om att förtydliga vilka antagonistiska förmågor som säkerhetsskyddet ska kunna stå emot, oavsett vem som står bakom.
Inlägg 3: Sårbarhetsanalysen är en viktig del av säkerhetsskyddsanalysen och utgör en systematisk genomgång av verksamhetens svagheter och brister i hanteringsförmåga mot de dimensionerande hotförmågor som verksamheten ska kunna skydda sig mot. Det gäller i första hand inom det egna ansvarsområdet och i andra hand i förhållande till andra verksamheter utifrån de beroenden som identifierats, exempelvis till/från underleverantörer, kunder och partners.
Inlägg 4: Prioritera de säkerhetsskyddsåtgärder där effekten av införandet i förhållande till kostnad – och/eller i förhållande till den konsekvens som ett angrepp skulle kunna innebära – är störst. Kom ihåg att många av de absolut bästa åtgärderna för att öka säkerhetsskyddet är de som kostar minst. Om vi som arbetar med säkerhetsskydd kan få våra kollegor att alltid försöka ta säkerhetsmedvetna beslut i sin vardag så är redan halva slaget vunnet.
Inlägg 5: Undvik att klassa säkerhetsskyddsklassificerade uppgifter för högt. Utgå från värsta rimliga scenariot (snarare än värsta tänkbara scenariot) och försök begränsa antalet om och men i klassificeringen. Undvik också att gå alltför många steg från den egna verksamheten och bedöma påverkan hos verksamhetsutövare flera led bort, det är oftast en omöjlig uppgift.
Inlägg 6: Öka kunskaperna brett inom organisationen med utbildningar i säkerhetsskydd – du kan ofta genom att engagera och utbilda medarbetarna öka skyddet allra mest! Håll utbildningar för alla som berörs indirekt eller direkt av säkerhetsskydd, men i målgruppsanpassat format.