Att undersöka säkerhetshotet – vad betyder det?
För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området.
Förra veckan berättade Jonas Magnusson i bloggseriens första inlägg om hur man inleder arbetet med en säkerhetsskyddsanalys genom att utreda vilka skyddsvärden en organisation har att skydda. Denna vecka har vi kommit till inlägg 2 i serien, där Daniel Blom och Elin Sjöström fördjupar sig i analys av säkerhetshotet. Mycket nöje!
När vi på Knowit är ute på uppdrag i olika verksamheter har vi uppmärksammat att den del i säkerhetsskyddsanalysen som många tycker är lite extra svår är när säkerhetshotet ska analyseras. Vår upplevelse är att många fastnar i att tänka utifrån specifika hotaktörer och att man i vissa fall även blandar in sårbarheter och konsekvenser i bedömningen. Det kan helt enkelt bli lite rörigt. Att försöka förutspå vad exempelvis statliga hotaktörer har för avsikt och förmåga är svårt och något som främst vissa brottsbekämpande myndigheter har lagstöd för att undersöka fullt ut. Det är heller inte målet att de enskilda verksamheterna ska undersöka just dessa delar. Om man fastnar i att tänka på bedömningar rörande avsikter och förmågor är det lätt att uppleva att man inte har tillgång till den information man behöver för att bedöma just dessa delar. Det är då viktigt att inse att målet med detta bedömningsmoment i säkerhetsskyddsanalysen inte handlar om vem som gör vad, i stället handlar det om att förtydliga vilka antagonistiska angrepp som säkerhetsskyddet ska kunna stå emot , oavsett vem som utgör aktör.
Underrättelseinformation är inte tillgänglig för gemene man. Det är inte heller den informationen som den enskilda verksamheten i första hand behöver. Bilden av säkerhetshotet bör byggas på intern information såsom egna tidigare incidenter eller incidenter och hot riktade mot den bransch som verksamheten är aktiv inom. Verksamheten kan även söka information genom öppna informationskällorsåsom på myndigheters hemsidor eller i media. Syftet är att förtydliga hur tidigare angrepp och potentiella framtida angrepp kan te sig. Syftet med att analysera säkerhetshotet är att motivera säkerhetsskyddsåtgärder för en verksamhets skyddsvärden.
Säkerhetspolisen tillhandahåller grundläggande hotbilder, samt upprättar dimensionerande hotbeskrivningar i samråd med tillsynsmyndigheterna till de verksamheter som bedriver särskilt säkerhetskänslig verksamhet[1]. Övriga verksamheter som faller under säkerhetsskyddslagen[2] (som alltså inte bedriver särskilt säkerhetskänslig verksamhet) ska enligt säkerhetsskyddsförordningen[3] som en del av säkerhetsskyddsanalysen identifiera hot som finns kopplade till det identifierade skyddsvärdet. För att göra detta rekommenderar vi att man delar in hotanalysen i två delar: hotbild och dimensionerande hotbeskrivning (DHB).
Hotbild innebär att analysera och bedöma vilka möjliga antagonister som finns och som skulle kunna skada verksamheten utifrån deras avsikt, förmåga och tillfälle. Hotbilden behöver verksamheten bygga upp utifrån öppna källor och egna erfarenheter. Vi anser dock att störst fokus bör läggas på DHB:n eftersom den har en mer vägledande effekt för verksamheten. DHB är en beskrivning av en antagen antagonistisk förmåga som säkerhetsskyddsåtgärderna förväntas skydda mot – även om det inte föreligger något identifierat hot mot den säkerhetskänsliga verksamheten. En DHB är en lista av olika tillvägagångssätt (modus operandi) där fokus ligger på vad en antagonist skulle kunna utgöra för hot utifrån vilken förmåga som antagonisten möjligtvis skulle kunna ha, utan att definiera vem antagonisten är. Att definiera dessa möjliga scenarion lägger även en god grund för att längre fram kunna identifiera/analysera sårbarheter och åtgärder för säkerhetsskyddet.
Givet det vi beskrivit ovan, och de svårigheter som finns kopplat till hotmomentet i säkerhetsskyddsanalysen, skulle vi vilja avsluta med att dela med oss av några av våra tips på vad man särskilt kan tänka på i analysarbetet med säkerhetshotet.
Tips 1 – Fokusera inte på hotaktörer, fokusera på modus operandi.
Säkerhetsskyddsanalysen handlar delvis om att identifiera de skyddsvärden som finns inom en verksamhet och hur man genom säkerhetsskyddsåtgärder skyddar dessa. Med detta som utgångspunkt spelar det inte någon roll vem som utför en antagonistisk handling. Det viktiga är den antagonistiska förmågan, och att skyddet är dimensionerat i förhållande till den.
Tips 2 – Hjälps åt. Diskutera med leverantörer, konkurrenter och andra relevanta verksamheter inom er sektor.
För att bredda ert perspektiv kan det vara bra att skapa någon form av diskussionsforum eller diskussionsplattform med andra parter som kan ha insikter om hur säkerhetshotet som ser ut. Utbyt tankar, idéer och erfarenheter med varandra för att stärka Sveriges säkerhetsskydd.
Tips 3 – Håll er uppdaterade.
Säkerhetshotet förändras konstant. I och med att tekniken utvecklas exponeras nya sårbarheter som nyttjas av antagonister. Skapa förutsättningar för att kunna analysera dessa händelser och identifiera nya relevanta modus operandi. Ett sätt är att hålla er uppdaterade i media, nyheter, publikationer från myndigheter, rapporter/skrifter från tillsynsmyndigheter, utredningar och liknande.
Tips 4 – Börja med en målbild.
Eftersom det kan vara svårt att veta varför man ska analysera säkerhetshotet och vad syftet är, kan det vara fördelaktigt att inleda med att fastställa målbilden. Det huvudsakliga målet med att analysera säkerhetshotet är att koppla ihop de säkerhetsskyddsåtgärder verksamheten vidtar med en bild av hur säkerhetshotet potentiellt manifesteras. Säkerhetsskydd handlar generellt sett om skydd mot högkapacitetsangripare och då duger inte åtgärder avsedda för vardagsbrottslighet.
Daniel har en omfattande kunskap och erfarenhet av säkerhetsskydd och fysisk säkerhet. Genom befattningar vid bl.a. Säkerhetspolisen och Regeringskansliet har Daniel byggt upp en unik erfarenhet avseende tillämpning och metodik inom säkerhetsskydd och fysisk säkerhet. Daniel har även varit med i framställningen av Säkerhetspolisens säkerhetsskyddsföreskrifter.
Elin har en bred informationssäkerhetskompetens, med särskild styrka i säkerhetsskydd. Redan under studierna skrev Elin i sitt exjobb om säkerhetsskyddsanalys och dess utmaningar. Hon har sedan dess i över två år arbetat i ett flertal säkerhetsskyddsuppdrag, bl.a. med analys och kvalitetssäkring av utförda säkerhetsskyddsanalyser och med att ta fram mallar, rutiner och handledningar för säkerhetsskyddsanalys och säkerhetsskyddsåtgärder.
Fortsätt gärna följa vår bloggserie där Sven Johnard i nästa blogginlägg, bl.a. kommer berätta om analys av sårbarheter och kritiska beroenden kopplat till säkerhetsskyddsanalysen. Du får också gärna ta kontakt med någon ur vårt säkerhetsskyddsteam om du vill prata mer om säkerhetsskydd. På Knowit är vi vana att arbeta med säkerhetsskydd, och våra specialister stöttar kunder i alla olika delar under regelverket – oavsett om det handlar om analyser, ledningssystem, juridiska bedömningar eller utformande och implementation av åtgärder.
Källor
[1] Begreppet särskilt säkerhetskänslig verksamhet avser enligt Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) ”säkerhetskänslig verksamhet där en antagonistisk handling mot verksamheten kan medföra synnerligen allvarlig eller allvarlig skada för Sveriges säkerhet (nivå 5 och 4)”. Se 2 kap 6 §.
[2] SFS 2018:585
[3] SFS 2018:658