Säkerhetsskyddsanalysen – vad ska göras och vad behöver man tänka på?

Topic: Exjobb

Elin Sjöström
29.05.2019

Den uppdaterade säkerhetsskyddslagstiftningen kan verka komplex och svår att förstå. Vad är det som ska göras egentligen? Vilka steg ska man utföra på vägen och vilka utmaningar står man inför? Och när vet man att man är klar?  Detta är några av de frågor jag försökt besvara denna vår genom mitt exjobb.

Den 1 april 2019 uppdaterades säkerhetsskyddslagstiftningen, vilket träffar de verksamheter där antagonistiska hot (såsom cyberattacker, terroristdåd eller liknande) kan medföra konsekvenser som kommer skada Sveriges säkerhet på en nationell nivå. Lagstiftningen förklarar vad dessa verksamheter ska göra för att förstå att de behöver säkerhetsskydd och förstå hur de ska hantera detta säkerhetsskydd. Grunden för att verksamheten ska skapa denna förståelse är att genomföra en så kallad säkerhetsskyddsanalys.

Säkerhetsskyddsanalysen genomförs i sex steg, där varje steg har sina egna specifika arbetsuppgifter och sina egna utmaningar som man ska tänka på. Dessa steg är:

1. Verksamhetsanalys. Detta är den initiala delen av säkerhetsskyddsanalysen. I detta steg skapar man en förståelse för vad verksamhetens egna syfte och funktion är, och vilka utomstående beroenden man har till andra verksamheter. Detta ska resultera i en förståelse av den egna verksamhetens syfte och funktion, samt en verksamhetsbeskrivning.

De utmaningar som identifierats i detta steg är kopplat till de generella utmaningar som finns vid initieringen av säkerhetsskyddsarbete i en verksamhet. Dessa utmaningar är delvis att det är svårt med kompetensförsörjning, särskilt eftersom det har funnits ett allmänt svalt intresse för säkerhetsskydd. För de som väl har kompetensen att arbeta med säkerhetsskydd finns även utmaningen att bygga upp ett förtroendekapital med verksamheten. Verksamheten behöver alltså ha ett tillräckligt stort förtroende för de som arbetar med säkerhetsskydd för att de ska kunna lita på dem. En annan utmaning är att det kan vara  svårt att göra en gränsdragning huruvida konsekvenser för verksamheten potentiellt ger tillräckligt stor skada för att det ska räknas tillhöra en nationell nivå.

2. Identifiering av skyddsvärde. Utifrån verksamhetsbeskrivningen ska man sedan identifiera om det finns någonting som kan anses vara skyddsvärt i verksamheten, dvs har bäring på Sveriges säkerhet. Detta skulle kunna vara uppgifter, informationssystem, byggnader eller dylikt, och kallas för skyddsvärden. Skyddsvärdena behöver listas med motiveringar som beskriver varför de anses vara skyddsvärda. Detta är viktigt för spårbarheten av säkerhetsskyddsanalysen. Detta steg resulterar i ett dokument med de listade skyddsvärdena samt motivering för bedömningarna. För detta steg identifierades inte några specifika utmaningar i mitt exjobb.

3. Konsekvensanalys. Detta är det mest omfattande steget. Nu när vi har en förståelse av verksamheten och har bedömt vad som är skyddsvärt är det dags att klassificera våra skyddsvärden utefter vilka konsekvenser för Sveriges säkerhet de kan orsaka vid en antagonistisk händelse. Här förklarar lagstiftningen att man ska särskilja på säkerhetsskyddsklassificerade uppgifter och övrig säkerhetskänslig verksamheti sin klassificering. För detta steg ska man även beakta de tre säkerhetsperspektiven för konfidentialitet, tillgänglighet och riktighet. Detta steg resulterar i ett dokument med konsekvensbedömning för alla identifierade skyddsvärden.

Den främsta utmaningen som identifierades i detta steg är att det inte finns tillräckliga standardiseringar för hur vi på nationell nivå ska se på konsekvenser för Sveriges säkerhet och gränsdragningar mellan olika kategorier och nivåer. Det är även utmanande för en verksamhet att behöva kommunicera med och bedöma konsekvenser för beroenden man har till andra ett steg bort, som exempelvis leverantörer, kunder, och konkurrenter. En annan utmaning är att skapa en gemensam förståelse med dem för hur säkerhetsskyddet är uppbyggt hos båda parter. Slutligen kan det  även vara utmanande att ta in alla tre säkerhetsperspektiv samt att veta vilken nivå och mängd resurser som verksamheten behöver och ska lägga sig på.

4. Säkerhetshotbedömning. Nu när vi vet hur verksamheten fungerar, vet vad som är våra skyddsvärden, samt har kategoriserat skyddsvärdena utifrån dess konsekvenser vid antagonistiska händelser, ska vi nu göra en bedömning av vilka antagonistiska hot som är riktade mot vår verksamhet och våra skyddsvärden. I detta steg ska verksamheten göra en nulägesanalys över vilka hot som finns, vilka hot som ger allvarliga konsekvenser utifall de realiseras, och vilka hot som verksamheten mest troligen måste anpassa sitt säkerhetsskydd efter. Utifrån detta ska man göra en dimensionerande hotbeskrivning, vilket är en lista över alla hot som verksamheten ska anpassas efter samt att dessa har rangordnats efter vilka hot som är viktigast att inte realiseras. Utmaningen i detta steg är att lyckas identifiera de antagonistiska hot som hamnar inom en gråzonsproblematik, vilket är de hot som inte är särskilt tydliga eftersom det i sig är en typ av krigsföring eftersom det kan få nationell påverkan, men som ändå utspelar sig i fredstid.

5. Sårbarhetsanalys. Nu vet vi våra skyddsvärden, vilka konsekvenser som sker om det skyddsvärda blir utsatt för antagonistiska hot, samt vilka hot som skyddet ska dimensioneras mot. Nästa steg är att se över vilka sårbarheter som finns i det säkerhetsskydd som vi har idag. Utifrån de hotförmågor som vi nu sett att finns ska vi göra mätningar och praktiska tester av skyddet för att identifiera vilka eventuella sårbarheter som finns. När vi identifierat dessa ska de dokumenteras.

De utmaningar som finns i detta steg är att se till att alla rimliga sårbarheter identifieras, även när det kommer till sårbarheter i andra verksamheter. En problematik som finns här är alla nya aktörer som påverkas av säkerhetsskyddslagstiftningen som inte har någon tidigare erfarenhet av den, såsom privata aktörer och leverantörer, och hur mycket ansvar vår verksamhet har för att se till att våra leverantörer också är säkerhetsskyddade. En annan problematik kan vara verksamhetens interna och externa kultur, med vilket menas faktorer som kan försvåra säkerhetsskyddet och skapa sårbarheter i verksamheten. Ett exempel på detta är om en verksamhet har lokaler som är öppna för allmänheten och hur detta påverkar deras säkerhetsskydd.Detta är även en problematik som bör beaktas i följande steg av analysen.

6. Identifiering och värdering av säkerhetsskyddsåtgärder. I det sista och slutgiltiga steget av säkerhetsskyddsanalysen ska vi utgå från våra tidigare steg och se vilka säkerhetsskyddsåtgärder vi behöver vidta för att stärka verksamhetens säkerhetsskydd. Åtgärderna behöver värderas utifrån hur realiserbara de är, samt rangordnas och listas. Detta är säkerhetsskyddsanalysens slutprodukt som sedan kommer vara underlag för säkerhetsskyddsplanen och vidare säkerhetsskyddsarbete. Utmaningen för detta steg är att auktoriteten i en verksamhet, såsom säkerhetsskyddschefen eller verksamhetsutövaren, ska känna ansvar för den genomförda säkerhetsskyddsanalysen och kontrollera analysen eftersom hen är tvungen att skriva under och ta ansvar för att analysen blivit genomförd på korrekt sätt.

Avslutning
Detta är de huvudsakliga stegen och utmaningarna som jag kommit fram till. Detta är det grundläggande arbetet som behöver utföras för att skapa en förståelse för hur verksamhetens säkerhetsskydd ser ut i dagsläget, både internt men även externt beroende på verksamhetens roll för andra verksamheter och för Sverige i stort, och hur säkerhetsskyddet behöver utformas och hanteras.

I min studie framkom även fler utmaningar som kommer bli mer relevanta i samband med förvaltning av säkerhetsskyddsarbetet. Dessa utmaningar var bland annat att lyckas utbilda alla medarbetare på rätt nivå och att få medarbetarna att agera därefter utan några individuella tolkningar. Det kan även vara utmanande att bygga upp en säkerhetskultur som positivt kan påverka medarbetarnas attityd till säkerhet, samt att försöka undvika mänskliga fel och kontrollera regelefterlevnaden. Det är många faktorer som behöver tas i beaktande i olika omfattning beroende på verksamhetens unika utmaningar. De utmaningar jag identifierat är allmänna och kanske inte är relevanta för alla, men i det tidiga skedet som vi befinner oss i av anpassning till den nya säkerhetsskyddslagstiftningen finns det säkert flera av utmaningarna som kommer vara relevanta för många verksamheter.

 

Prenumerera på vårt nyhetsbrev

Cybersäkerhet & juridik

För att bli riktigt bra på cybersäkerhet krävs många infallsvinklar och erfarenheter. Dessa finns i gränslandet mellan it, juridik och affärer. Säkerhet är en strategisk fråga och här i vår blogg hittar du det senaste inom it- och informationssäkerhet.