Forum Säkerhetsskydd med fokus på personalsäkerhet
2023-06-07
En tämligen kylslagen fredagsförmiddag i början av juni var det dags för den tredje upplagan av konferensen Forum Säkerhetsskydd. Lokalen var ny men moderatorn densamma som tidigare gånger. Deltagarna sågs i pampiga Wallenbergsalen i IVA Konferenscenter i Stockholm och hälsades välkomna av Charlie Söderberg, tidigare programledare för Lyxfällan.
"Bäst var valet av föreläsare och teman på föreläsningar. Bra variation på aktörer, många olika perspektiv som presenterades. Oerhört intressanta och lärorika moment." Så beskrev en deltagare på Forum Säkerhetsskydd konferensen i utvärderingen.
Dagens första föreläsare var Oscar Jonsson, forskare på Försvarshögskolan och författare till boken ”Hotet från Ryssland”, som han även fick tillfälle att sälja och signera för intresserade deltagare. Han beskrev varför och hur Ryssland är ett hot men också skillnaderna mellan Ryssland och EU/Sverige.
EU kännetecknas exempelvis av folkstyre, fria marknader och ”rule of law” medan Ryssland kännetecknas av inskränkningar i folkstyret, elitstyrd ekonomi och ”rule by law”.
– Ryssland upplever sig i det närmaste vara i en existentiell konflikt med väst numera, underströk han och poängterade att hotet från Ryssland både är att betrakta som långvarigt och underrättelsetungt.
– Ryssland är också argare men svagare nu och det kompenseras av kärnvapensignalering och annat. MEN – hotet är inte övermäktigt, vi kan om vi vågar, avslutade han.
Därefter föreläste kammaråklagare Mats Ljungqvist och chefsåklagare Per Lindqvist om spionage och insiderproblematik. De arbetar på Riksenheten för Säkerhetsmål vid Åklagarmyndigheten och kunde även ge en bild av utredningen och domarna för bröderna Kia.
Säkerhetsprövningsintervjun
Därefter blev det handfasta råd kring säkerhetsprövningsintervjun från Per Fjellman, säkerhetsskyddsexpert vid Phenox Group. Finns det ens en perfekt säkerhetsprövningsintervju, undrade han retoriskt – och konstaterade att säkerhetsprövningar tar mycket resurser och är komplext.
– Det finns ett generellt mått att handläggningstiden tar fem-sex timmar per individ för den initiala säkerhetsprovning men då måste allt gå perfekt och det gör det sällan.
Enligt Per Fjellman ska man se säkerhetsprövningen som en samling av komponenter som tillsammans och överlappande ger ett så bra skydd som möjligt.
– En ruta löser ingenting utan man måste få en överlappande struktur! konstaterade han och gav exempel på åtgärder som kompletterar varandra;
- Säkerhetsprövningsintervjun
- Kontroll av betyg och cv
- Referenstagning
- Registerkontroll
- Särskild spersonutredning
- Återkommande/löpande säkerhetsprövningar
- Hantering av tillkomna uppgifter
– Framför allt är personlig kännedom viktigt. Vi letar efter saker som indikerar att personen inte är pålitlig, betonade han.
– Man letar efter ett antal okända faktorer och man får inte sluta leta när man hittar en första faktor. Vi måste jobba systematiskt och leta och förutsättningslöst ur alla vinklar.
Ytterligare råd från Per Fjellman löd:
- Inhämta överlappande information från flera källor
- Verifiering ska inte bara ske via register
- Skänk inte bort er referenstagning i onödan
- Frågeställningar behöver inte alltid repeteras för att få fram ett verifierbart resultat
- Register bygger i hög grad på mänskliga källor och uppfattningen att de skulle vara mer tillförlitliga kan därför ifrågasättas
Enligt Per Fjellman är framgångsfaktorerna en trivsam och hjälpsam kontext för att få folk att öppna sig, öppenhet och tydlighet ger resultat. Det är även viktigt att öva säkerhetsprövningsintervjuer och säkerställa att det finns möjligheter att diskutera med andra, alltså att genomföra intervjun tillsammans med en kollega.
– Säkerhetsprövningsintervjuer är svårt så det är viktigt med erfarenhet och att testa, träna och öva, sade han.
Personlig integritet
Efter lunch i IVAs festvåning var det dags för en spännande dragning om avvägningen mellan den personliga integriteten och Sveriges säkerhet vid registerkontroller. Jan Öhman, ordförande för Registerkontrolldelegationen, RKD, vid Säkerhets- och integritetsskyddsnämnden fanns på plats för att belysa detta.
Säkerhets- och integritetsskyddsnämnden är en statlig myndighet som består av tre beslutsorgan: Nämnden, Registerkontrolldelegationen och Skyddsregistreringsdelegationen. Registerkontrolldelegationen beslutar om vilka uppgifter från bland annat Säkerhetspolisens och Polismyndighetens register som får lämnas ut till arbetsgivaren vid en registerkontroll för säkerhetsprövning. Delegationen bedömer om uppgifterna har någon betydelse för säkerhetsprövningen.
– Människor har rätt till en rimligt skyddad zon till sitt privatliv och det är viktigt att skyddet upprätthålls, konstaterade Jan Öhman i sin uppskattade föredragning.
Han beskrev sedan processen från grundutredning till registerkontroll och vilka ärenden som dras i Registerkontrolldelegationen, som i sin tur beslutar vilka uppgifter som får lämnas ut.
– Säpo kan bara besluta om uppgifter inte får lämnas ut, då blir det inte en fråga för oss, sade han.
Registerkontrolldelegationen arbetar med två typer av ärenden; enklare ärenden när det blivit utfall i belastningsregistret, misstankeregistret eller kronofogdens register. Dessa ärenden hamnar hos ordförande eller vice ordförande och hanteras en gång per vecka.
Blir det mer komplicerat får hela delegationen träda in och det sker var tredje vecka.
Relevansprövningen som RKD gör är att det ska vara sådana uppgifter som kan antas ha betydelse för säkerhetsprövningen som faktiskt får lämnas ut. Man tittar på pålitlighet, lojalitet och sårbarhet. Det är sedan verksamhetsutövaren som beslutar om personen ska få anställning.
– Ju tydligare verksamhetsutövaren beskriver kontrollorsaken, desto lättare har RKD att göra en bra relevansutredning, poängterade han.
Jan Öhman berättade också att svenskar är ett väldigt skuldsatt folk och att den sammanlagda skulden är 100 miljarder kronor. Antalet ärenden ökar dessutom hela tiden.
– Ju högre skuldbelopp, desto större sårbarhet och då är det ännu viktigare för er att få reda på det.
Nätverk Säkerhetsprövning
Nästa föreläsare var Helena Rozi, biträdande säkerhetsskyddschef vid Åklagarmyndigheten. Den 1 januari 2021 startade hon Nätverk Säkerhetsprövning, med 35 verksamhetsutövare som deltar med två representanter vardera. Här delas kunskap och erfarenheter myndigheter och bolag emellan.
Medlemmar är bland annat Regeringskansliet, Arbetsförmedlingen, FMV, EBM, FHS, Länsstyrelser, Polismyndigheten, PTS, Region Stockholm, SIDA, SEB, Skatteverket, Svk, FOI, Vattenfall med flera.
Nätverket ses fysiskt och de som deltar ska vara anställda och arbeta med säkerhetsprövning operativt eller strategiskt. De ska vara placerade i skyddsklass.
– Nätverket hanterar inga säkerhetsskyddsklassificerade uppgifter, underströk hon.
Svenska kraftnät om tillsynen
Tillsyn är ett hett ämne och alltid efterfrågat på Forum Säkerhetsskydd. Det finns 13 tillsynsmyndigheter och denna gång deltog Emelie Juter från Svenska kraftnät. Hon gav en bild av hur tillsynen fungerar och hur Svenska kraftnät ser på sitt tillsynsuppdrag.
– Förväntan på oss som tillsynsmyndighet är att det ska vara en effektiv och likvärdig tillsyn, inledde hon – och betonade att varje tillsynsmyndighet tar egna beslut men att hela förfarandet inte har satt sig riktigt ännu.
Emelie Juter gick igenom hur tillsynen går till från initiering och förberedelser till genomförande, rapportering, beslut om ingripande – till överklagande och slutligt beslut samt avslut.
– Tillsynen kan vara placerad eller händelsestyrd, den kan vara smal eller bred och den kan vara grund eller djup, beskrev hon.
Hennes medskick till deltagarna var:
- Okunskap är inte en ursäkt
- Vi tillämpar författningarna som de är skrivna
- Det finns tolkningsutrymme och vi tolkar utifrån syftena i förarbetena
- Regelverket är inte nytt längre
- Det är viktigt att förstå och utgå från syftet
- Skriv fram analyser och bedömningar
- Tillsynsmyndigheten har tålamod – kompletteringar är ok tills beslutsunderlaget är tillräckligt
- Våga fråga
Säkerhetsskyddet i Stockholms stad
Att ställa om arbetet med säkerhetsskydd i en stor offentlig verksamhet har sina utmaningar – nästa programpunkt handlade om Stockholms stad och säkerhetsskyddsarbetet där. Föreläsare var Fredrik Alfredsson, säkerhetsdirektör och säkerhetsskyddschef, och Sebastian Tabrizzi, biträdande säkerhetsskyddschef och signalskyddschef.
De beskrev kort verksamheten i huvudstaden med lagstadgat ansvar om räddningstjänst, vatten, avlopp och liknande – men också övrig verksamhet, som telekommunikation, hamnverksamhet med mera. Huvudstaden omsätter 70,8 miljarder kronor och har 45 000 medarbetare samt 101 ledamöter i kommunfullmäktige. Det handlar bland annat också om 47 förvaltningar, där 20 procent träffas av säkerhetsskyddslagen.
– Vi försöker kraftsamla oss kring styrning av säkerhetsskyddet, förklarade de och nämnde tre särskilda utmaningar;
1. Det behövs säkerhetsskyddssavtal eller överenskommelser för att samverka i säkerhetsskyddsfrågor med en kommun
2. Registerkontrollers utfall är splittrat
3. Man får inte säkerhetspröva ledamöter i kommunfullmäktige
FAQ-panel om vanligaste frågorna
Det finns ett antal frågor inom säkerhetsskydd som ofta återkommer. Forum Säkerhetsskydd bjöd därför in en FAQ-panel, som skulle svara på de vanligaste frågorna. Panelen bestod av Per Fjellman, Emelie Juter, Dennis Lindberg från Ramboll och Fredrik Alfredsson.
Det blev ett spänstigt och intressant samtal kring de fem frågorna:
1) Vad är utmaningen med säkerhetsprövning av organisationens högsta ledning och hur hanterar man till exempel ett utfall vid en sådan prövning. Hur hanterar man utmaningen att säkerhetspröva överordnade?
2) Vad är de viktigaste lärdomarna från den första tiden med utökad tillsyn och sanktionsavgifter?
3) Hur går man från analyser och planer till effekt i sitt säkerhetsskyddsarbete. Vad är de tre viktigaste framgångsfaktorerna?
4) Hur gör man en referenstagning utan att läcka information om den prövade? ’
5) Hur påverkar framtida Natomedlemskap säkerhetsskyddet?
Forum Säkerhetsskydd avslutades med en föredragning om tekniska hot och hur vi ska tänka för att skapa ett ”säkert” rum. Det knöt ihop säcken kring spionage och personalsäkerhet. Föreläsare var André Catry, som har mångårig erfarenhet av IT- och informationssäkerhet och som numera arbetar som Chief Engineer på C Resiiens.
Han gick inledningsvis igenom röjande signaler, RÖS, och gav därefter exempel på rumsavlyssning och hur man kan placera in teknik i ett rum.
– Ett avlyssningssäkerhet rum bör inte ha någon elektronisk utrustning alls, rekommenderade han.
– Dessutom ska bruslådor placeras utanför rummet och möblerna vara gjorda av plexiglas.
Efter denna den sista föredragning var Forum Säkerhetsskydd i juni 2023 över och många gick hem för att fira fredag, medan andra stannade en stund på ”after conference” och nätverkande.
Tack alla föreläsare och experter för att ni delade med er av all er kompetens och erfarenhet, tack alla deltagare som trotsade junistressen och som med intresserade frågor förhöjde tempen på dagen! Och tack Phenox Group och Ramboll för bra inspel till programmet!
På återseende!