För några veckor sedan väcktes åtal för spionage mot en person som arbetat som konsult i svensk högteknologisk verksamhet. Personen misstänks för att under flera års tid ha tillhandahållit information om sina kunders verksamhet till rysk underrättelsetjänst. Ärendet är intressant på flera sätt, inte minst eftersom det på ett mycket tydligt sätt illustrerar vikten av att ha kontroll över vilka som släpps in i den egna verksamheten.
Att ansvar i det aktuella åtalet i första hand yrkas för spioneri innebär att den information som konsulten enligt åtalet ska ha anskaffat och överlämnat till den ryska underrättelseofficeren, bedöms vara så känslig att uppgifternas uppenbarande för främmande makt kan medföra men för Sveriges säkerhet.1 Av förklarliga skäl är stora delar av förundersökningen sekretessbelagd (bl.a. med hänvisning till försvarssekretess, vilket är extra intressant i sammanhanget) och det är därför inte möjligt att ta del av det resonemang som ligger till grund för menbedömningen. Det framgår inte heller om de aktuella verksamheterna Scania CV AB samt Volvo Car Sverige AB klassat de egna verksamheterna som av betydelse för Sveriges säkerhet, eller om de möjligen som leverantörer hanterade andra verksamheters skyddsvärda verksamhet under säkerhetsskyddsavtal.
Oavsett de faktiska omständigheterna i ärendet vill jag lyfta fram några generella reflektioner som går att göra utifrån åtalet. Jag anser nämligen att det utgör en bra anledning för många säkerhetskänsliga verksamheter att stanna upp och fundera över vilken kontroll de själva har över de externa leverantörer man släpper in i verksamheten.
För att vara behörig att delta i säkerhetskänslig verksamhet (t.ex. verksamhet av betydelse för Sveriges säkerhet) måste en person enligt Säkerhetsskyddsförordningen (2018:658) först ha bedömts pålitlig från säkerhetssynpunkt, ha tillräckliga kunskaper om säkerhetsskydd samt behöva uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete. De två förstnämnda delarna är de insatser som utgör säkerhetsskyddsåtgärden personalsäkerhet. Denna del av säkerhetsskyddet utgörs dels av säkerhetsprövning, d.v.s. att bedöma någon som pålitlig från säkerhetssynpunkt, dels av utbildning. Den tredje punkten som krävs för att en person ska vara behörig att delta i säkerhetskänslig verksamhet är att tillgången till information eller annan typ av verksamhet är nödvändig för att personen ska kunna göra sitt jobb. Personen ska alltså varken ha tillgång till mer eller mindre.
Att säkerhetspröva en person som ska anställas i den egna verksamheten är nog så svårt. Det är många delar som ingår i en säkerhetsprövning värd namnet, där en eventuell registerkontroll med slagningar som utförs av Säkerhetspolisen endast utgör en mindre del. I grunden handlar det om att skapa sig en så pass god bild av personen i form av umgänge, levnadsvanor, personlighet o.s.v., att det går att göra följande bedömningar;
att personen är lojal mot de intressen säkerhetsskyddet är tänkt att skydda,
att personen utifrån sina personliga egenskaper är lämplig för tjänsten, samt
att att det inte finns för allvarliga sårbarheter kopplade till personen, d.v.s. förhållanden som skulle kunna utnyttjas emot personen och/eller som gör personen mer sårbar för utpressning eller värvning.
En väl genomförd säkerhetsprövning kräver därför såväl tid som engagemang och inte minst relevant kunskap hos de som ansvarar för prövningen.
När det handlar om att anställa personer har alla verksamheter någon form av rutin för att bedöma relevanta kandidater och det gäller här att på ett systematiskt och medvetet sätt komplettera den vanliga processen med de delar som tillkommer vid en säkerhetsprövning. Värt att påminna om är att säkerhetsprövningen, till skillnad från en vanlig anställningsprocess, löper över tid eftersom en säkerhetsprövning ska fortgå så länge som deltagandet i den säkerhetskänsliga verksamheten pågår. När det i stället är fråga om att anlita externa leverantörer, blir möjligheten att göra de relevanta bedömningarna i de allra flesta fall ännu mer begränsad.
I majoriteten av situationer där upplägget kräver ett säkerhetsskyddsavtal mellan den säkerhetskänsliga verksamheten och den externa leverantören, lägger verksamheten genom avtalet över ansvaret för stora delar av säkerhetsprövningen på leverantören. Det har förstås att göra med att den personkännedom som krävs för en lyckad säkerhetsprövning i många fall redan finns upparbetad hos arbetsgivaren. Men att helt överlåta de faktiska åtgärderna på leverantören innebär att verksamheten släpper en stor del av den egna kontrollen. I stället blir man beroende av att nödvändig förståelse för vad säkerhetsprövningen syftar till och vad som kan utgöra varningstecken eller anledning att underkänna en person i prövningen finns hos leverantören.
Min erfarenhet är att många leverantörer saknar sådan kunskap, men dessvärre att även beställarna, d.v.s. de säkerhetskänsliga verksamheterna, ofta saknar tillräcklig erfarenhet och kunskap för att kunna utbilda och i ett senare steg kontrollera sina leverantörers insatser. Ofta erbjuds leverantören endast ett enkelt frågeunderlag som ska gås igenom, utan någon djupare förklaring till vad utredningen syftar till. Sannolikheten för att en sådan utredning ska ge ett utslag i säkerhetsprövningen är mycket liten. Man sätter därmed all sin tilltro till registerkontrollen, vilket är en vansklig inställning då den som sagt endast är tänkt att utgöra ett komplement till en i övrigt gedigen utredning av personen.
Åtalet av it-konsulten illustrerar att underrättelseinhämtningen av främmande makt med hjälp av värvade agenter ständigt pågår. Att man väljer att gå på konsulter som ofta rör sig i flera intressanta verksamheter parallellt och där personkännedomen och säkerhetsprövningen många gånger haltar, är förstås ingen tillfällighet. Frågan är hur många verksamheter som med trygghet kan säga att de har processer på plats för att fånga upp de varningsklockor som så här i efterhand går att se i fallet med it-konsulten. Min gissning är att det är alldeles för få.
Är du intresserad av att pata vidare kring säkerhetsskydd eller vill du veta mer om hur vi på Knowit arbetar inom området? Den 23-24 mars medverkar vi på Mötesplats Samhällssäkerhet där du som deltar kan boka in ett möte med Marie eller någon av våra andra kollegor som är på plats i vår digitala monter. Hoppas vi ses där!
1Rättspraxis innehåller exempel på att anskaffande och röjande av uppgifter från ett privaträttsligt subjekt kan utgöra såväl spioneri som företagsspioneri, se Svea hovrätts dom den 20 oktober 2003 i mål B 5221-03, den s.k. Ericsson-domen.