Kontakta oss direkt på telefon 08-600 62 00

Företagsuniversitetet blogg inom säkerhet

Succé för Forum Säkerhetsskydd

2022-05-01 Lotta Eriksson

Så kunde äntligen Forum Säkerhetsskydd arrangeras och 125 säkerhetsskyddschefer och konsulter kom förväntansfulla till Posthuset i Stockholm för en heldag som kretsade kring just deras verksamhet.
 
Första talare var Säkerhetspolisens chef Charlotte von Essen. Hon underströk bland annat att hotet mot Sverige har ökat, beskrev kort Säpos arbete och kommenterade den nuvarande situationen kring det säkerhetspolitiska läget i Europa - som hon beskrev som ”allvarligt försämrat”. Hon konstaterade även att det snabbt kan bli en dramatisk utveckling framöver.

– Säpo följer läget, i nära samarbete med FRA och Must, för att skapa en gemensam lägesbild och vi samverkar även med andra myndigheter, sade hon.

charlotte

Säpo har generellt sett en ändrad hotbild mot Sverige och enligt Charlotte von Essen pågår det angrepp hela tiden som påverkar vår demokrati.

– Ett flertal länder bedriver säkerhetshotande verksamhet och spionage mot Sverige. De har stora resurser och jobbar långsiktigt för att nå sina mål, sade hon och nämnde Ryssland, Kina och Iran som framför allt utgör allvarliga hot.

– De använder både lagliga och olagliga metoder, diplomati, strategiska uppköp, påverkansoperationer, cyberattacker, elektroniskt sabotage med mera.

– Teknikutvecklingen ger hotaktörerna ökad förmåga och Sverige utsätts för en stor mängd fientliga operationer!

– Ryssland är väl förtrogen med svenska förutsättningar, politik och lagstiftning. Genom påverkansoperationer vill de få Sverige att framstå som ett land i kaos, framför allt för att stärka det egna landet hos den egna befolkningen, sade hon.

När det gäller säkerhetsskydd framhöll hon bland annat att det är nödvändigt och angeläget att:

  • Göra säkerhetsskyddsanalyser
  • Se till att säkerhetsskyddsorganisationen har mandat att fatta de beslut som behövs och att organisationen får utbildning och tillräckliga resurser
  • Få till säkerhetskulturen i verksamheten – det här är inte en fråga för säkerhetsorganisationen! Alla måste vara involverade redan från analysarbetet för att skapa en förståelse för de åtgärder som behöver vidta
  • Beställarkompetensen behöver stärkas
  • Säkerhetsprövning/personalsäkerhet är viktigt men det är framför allt viktigt med kontinuerliga prövningar
  • Vi måste rusta oss emot cyberangrepp genom att ha uppdaterade och övervakade IT-system samt begränsade behörigheter
  • Incidenter ska anmälas till Säpo

– Ni som verksamheter måste utforma skyddet och vidta de åtgärder som krävs, summerade hon.

Lagskärpningarna

Annette Norman är senior jurist på Post- och telestyrelsen och har arbetat med säkerhetsskyddsfrågor under lång tid. Hon har bland annat varit Justitiedepartementets expert i utredningen "Kompletteringar till den nya säkerhetsskyddslagen".

Hon besökte Forum Säkerhetsskydd och beskrev de lagändringar som trädde i kraft den 1 december i fjol, bland annat anmälningsskyldigheten och den stärkta rollen för säkerhetsskyddschefen i två punkter:

  • Verksamhetsutövare ska anmäla att man bedriver säkerhetskänslig verksamhet utan dröjsmål till sin tillsynsmyndighet
  • Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddet samt vara direkt underställd den som är ansvarig för verksamheten (GD, VD eller regiondirektör).

– Säkerhetsskyddschefen ska ha en rejäl möjlighet att påverka ledningen och ge stöd till ledningen i säkerhetsskyddsfrågor, underströk hon.

annette

Annette Norman informerade även om den nya tillsynsstrukturen och hur Säpo och Försvarsmakten ska samordna dessa myndigheters arbete.

Dessutom berättade hon att sanktionsavgiften vid åsidosättande av skyldigheter som är av ”central betydelse för säkerhetsskyddet” ligger på mellan 25 000 kronor och 50 miljoner kronor.

Ta del av Annette Normans presentation här!

Samspel mellan leverantör och beställare

Hur får man till samspelet mellan beställare och leverantör? De var utgångsfrågan när det sedan var dags för representanter från två egentligen konkurrerande bolag, Ramboll och Sweco, att ta plats på scenen och ge en syn på leverantörsperspektivet.

Det var Karin Palmblad och Per Maniette som inledningsvis påpekade att de här och nu har en gemensam samsyn, nämligen att säkerhetsskyddsarbete är ett tillsammansarbete.

– Vi är många konsulter, entreprenörer och andra som jobbar med samma verksamhetsutövare så samarbete är viktigt från början till slut, sade Karin Palmblad.

per och karin

En utmaning kan nämligen vara att snarlika verksamheter kan ha helt olika analyser och kravbilder.

De två hade fyra gemensamma önskningar för att stärka säkerhetsskyddet:

  1. Vid anbud: utred och tydliggör hur det uppdragsspecifika säkerhetsskyddet ska bedrivas och kravställ detta gentemot leverantören så att spelreglerna finns från början vad gäller kostnader, kommunikation, lagring, samverkan med tredje part, överlämning och eventuella målkonflikter
  2. Kontinuerliga avstämningar mellan säkerhetsskyddssamordnare och uppdrag/projektledare under genomförandet
  3. Löpande uppföljningar och samarbete i syfte att ständigt förbättra
  4. Spana efter goda exempel kopplat till administration, lag- och föreskriftstolkning.

– Steel with pride and share with love, summerade de.
– Vi behöver tillsammans bygga motståndskraft för att skydda det av värde!

Mikael Lagergren, säkerhetsdirektör i Västerås, gav sedan en bild av kommunens säkerhetsskyddsarbete och framhöll bland annat att det är viktigt att ta ”babysteps” och att utbilda.

samtal

Han, Karin Palmblad och Per Maniette deltog därefter i ett samtal med dagens värd och moderator Charlie Söderberg och beskrev sina respektive roller och utgångspunkter.

Ta del av Karin Palmblads och Per Maniettes presentation här

Ta del av Mikael Lagergrens presentation här

Så skapas beteendeförändringar

Efter lunch, som intogs i Orangeriet, var det dags för Evelina Gunnarsson, beteendeekonom och senior rådgivare på Ramboll att tala på ämnet ”Beteendeförändring som skapar säkerhetskultur”.

– Våra goda intentioner stämmer inte alltid överens med vårt beteende, poängterade hon.

– Det beror på att våra beslut är påverkade av många olika psykologiska mekanismer. Vi söker till exempel information som bekräftar vår världsbild och vi kan inte hantera för mycket information.

Evelina

– För många valmöjligheter eller för mycket information gör det svårare för oss att agera och kan leda till passiva val, uppskjutna val eller att vi helt enkelt inte gör något alls.

För att skapa beteendeförändringar måste man förstå den mänskliga psykologin och göra det lätt att göra rätt.

Evelina Gunnarssons budskap var bland annat att man ska begränsa mängden information och framhäva det viktigaste och att man ska göra det enkelt för målgruppen att ta till sig säkerhetsinformationen. Hon delade även med sig av dessa lärdomar:

  • Fokusera på målgruppsanpassade insatser (vad driver målgruppen, vilka barriärer finns?)
  • Titta förs på vilka beteenden ni vill uppnå och utforma insatser kring dem (vad är det önskade beteendet, hur kan vi göra det så lätt som möjligt att agera på informationen de får?)
  • Utvärdera era insatsers effekt på faktiska beteenden
  • Använda data på ett etiskt sätt för att utveckla behovsanpassade offentliga tjänster

Ta del av Evelinas presentation här

Praktiska exempel från Svenska kraftnät

Nästa talare var Tina Johansson, säkerhetsspecialist på Svenska kraftnät. Hon gav inledningsvis en kort presentation av Svenska kraftnäts uppdrag och hur man får säkerhetsskydd synligt i en stor organisation.

–  Fokusera inte så mycket på hotbilden utan satsa på säkerhetsskyddet, sade hon och delade med sig av en rad konkreta tips.

tina

– Länka till intressanta artiklar på intranätet och förklara varför det är viktigt och presentera hotbilden, inte för att skrämma utan för att alla ska få förståelse.

– Säkerhetsskyddsanalysen ska hjälpa verksamheten och tala om vill skyddsvärda tillgångar vi har – ta hjälp av verksamheten, skapa tydliga roller och ansvarsfördelning, sade hon.

– Implementera säkerhetsskydd i befintliga processer om det går, för att få en låg tröskel för de som inte arbetet med säkerhetsskydd tidigare. Avsätt tid för att göra verksamhetsspecifik tolkning.

Tina Johansson gav även tre praktiska exempel på hur Svenska kraftnät valt att arbeta och underströk att det inte finns något facit.

Det första exemplet rörde särskilda säkerhetsskyddsbedömningar, där ansvaret har lagts på utförare/projekt eller verksamheten.

Checkpoints har införts i befintliga processer och krav på genomförd särskild säkerhetsbedömning har införts vid SUA. Styrande dokument, mallar och metodik har uppdaterats, stöd till verksamhetens ges via workshops, en webbutbildning har tagits fram och en funktionsbrevlåda skapats.

Exempel två gällde informationssäkerhet och att man kan närma sig ISO 2700, Ledningssystem för säkerhet, utan att certifiera sig och ändå hålla sig till lagen. På Svenska kraftnät finns många informationsklassningsråd, styrande dokument, vägledningar för klassning av konfidentialitet, riktighet och tillgänglighet. Det finns också tolkning och tillämpning på konsekvensnivåerna enligt PMFS 2022:1.

Det tredje exemplet belyste fysiskt skydd och omfattade bland annat tekniska riktlinjer för fysiskt skydd och projektsäkerhetsinstruktion.
– Ytterst handlar det om att göra säkerhetsskydd tillgängligt, kommenterade hon.

Ta del av Tina Johanssons presentation här

SUA-process som fungerar

Deltagarna på Forum Säkerhetsskydd fick därefter en duvning i säkerhetsskyddad upphandling av Anders Gidrup, säkerhets- och säkerhetsskyddschef vid Locum, där man har man mejslat fram en framgångsrik och effektiv SUA-process och implementerat den i kärnverksamheten.

anders

Han ville öka kunskapen och förståelsen för säkerhetsskyddad upphandling med säkerhetsskyddsavtal och varför det tecknas men också skapa en förståelse för vem som gör vad i processen. Han ville dessutom dela med sig av en process som andra kan nyttja i sina verksamheter.

– Det är viktigt att ’grupparbeta’ sig genom SUA-processen och involvera andra än säkerhet, underströk han

– Det finns skyldighet att ingå säkerhetsskyddsavtal när det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller när leverantören ges tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

SUA

För att kunna fullfölja den här skyldigheten krävs exempelvis

  • Att en säkerhetsskyddsanalys är genomförd
  • Att verksamhetens information klassas på ett tydligt sätt
  • Att hanteringsrutiner för informationsklasserna etableras och kravställs
  • Att leverantörens säkerhetsskydd följs upp kontinuerligt.

Anders Gidrup välkomnade slutligen alla intresserade att höra av sig om man behöver tips, se mallar och annat.

Ta del av Anders presentation här

Dela erfarenheter och ha en bra dialog

Marie-Louise Arendt var konferensens sista talare. Hon är chef för informations-, IT- och cybersäkerhetsenheten i Region Skåne och har erfarenhet både från verksamhetsutövar- och leverantörssidorna.

Hon talade om verksamhetsutövarens ansvar och var utmaningarna faktiskt ligger. En utmaning är hur man hamnar rätt i den egna organisationen, i förhållande till andra organisationer och i förhållande till andra i Sverige.

mimmi

– Det är lätt att hamna för högt eller för lågt. Första gången man gör en säkerhetsanalys kan man helt enkelt hamna var som helst – och hamnar man fel får det konsekvenser, underströk hon.

Den andra utmaningen hon belyste var att leverantörer ställs inför olika krav, särskilt i de fall där man arbetar mot flera verksamheter.

– För att ta sig an utmaningarna behöver beställare/verksamhetsutövare prata med andra och leverantörerna behöver prata med verksamhetsutövarna.
– Tillsynsmyndigheterna borde också prata med varandra och samordna sig lite när det gäller mallar och annat, betonade Marie-Louise Arendt vidare.

– Strävan måste vara att göra på samma sätt. Verksamhetsutövare kan också prata med tillsynsmyndigheten för att försöka hamna rätt från början, gå utbildningar – inte bara för kompetensen – utan också för att skapa nätverk. Och finns det inget bra nätverk, starta ett då!

Hennes slutsats var: kommunikation, utbyte, diskussion och gemensam utveckling är viktigt för att hitta en gemensam standard.
– Vi ska utveckla Sverige och måste bli bättre på att lära av varandra, det är viktigt!

Ta del av Marie-Louise Arendts presentation här

Efter en gemensam samling på scenen, där föreläsarna fick berätta vad de själva tog med sig från dagen, var Forum Säkerhetsskydd slut och det bjöds mer "tillsammansarbete" i form av "after conference" med mingel och nätverkande innan alla återvände till sin respektive vardag.

Tack alla föreläsare för er samlade och imponerande kompetens! Tack alla deltagare som tog er tid att komma och som med sådant engagemang ställde frågor och kommenterade föreläsningarna. Och tack Charlie Söderberg, för att du så engagerat, proffsigt och underfundigt ledsagade oss alla genom konferensen!

Vi ses igen!