Kontakta oss direkt på telefon 08-600 62 00

Företagsuniversitetet blogg inom säkerhet

Forum Säkerhetsskydd med praktiska exempel

2022-12-06 Lotta Eriksson

Måndagen den 5 december var det dags igen, Forum Säkerhetsskydd intog Palmsalen i Posthuset för andra gången 2022 och över 100 deltagare trotsade julstressen och kom för att ta del av en högintensiv dag – med fullt fokus på säkerhetsskydd. Ett nyckelord för dagen tillsammansarbete!
 
Charlie Söderberg inledde konferensen Forum Säkerhetsskydd och refererade bland annat till ett citat i Patrik Oksanens bok ”Skarpa skärvor”; ”om information är vapnet, är infrastrukturen skölden”.

Därefter var det dags för just samhällsdebattören Patrik Oksanen att ge en övergripande bild över aktuella hot, han nämnde såväl cyberattacker, som kinesiska polisstationer, energisektorn, kriget i Ukraina, klimatförändringarna, migrationspolitik, övergången från industri- till informationssamhälle och den explosiva utvecklingen inom teknik med AI och deep fake som exempel.

– Det sker en massa händelser i dag och vi befinner oss i en ”kronisk kristid” med en lång rad kriser som löser av varandra, konstaterade han.
Utöver det påpekade han att revanschistiska stater som Ryssland och Kina vill ha en annan ordning än den vi har i dag, vilket är ett hot mot den svenska demokratin.

– Alla våra demokratiska värden står på spel, sade han.

Patrik Oksanen påpekade också att det är omöjligt att säga hur utvecklingen kommer att fortsätta, det går helt enkelt inte att överblicka följderna.

– Vi har en skörhet i vår samtid, en fortsatt stormig kristid under lång tid framöver. Ni representerar handen som håller skölden men vi kommer vara steget efter när det gäller att försvara sig i hybridfrågor, summerade han.

– Sverige lägger just nu pussel och det är svårt för var och en att se helheten. Därför är det viktigt att skapa en kultur där vi vågar dela våra pusselbitar och berätta vad vi ser eller vad vi utsätts för. Då får alla en helt annan möjlighet att lägga pusslet för att hantera den hotbild vi är inne i och lever med, förmodligen resten av era karriärer, avslutade han.

Eftersatt säkerhetsskydd inom energiförsörjningen

Därefter var det dags för Mikael Toll, senior rådgivare på Ramboll, att kort ge en bild över säkerhetspolitiska hot mot energiförsörjningen. Han konstaterade bland annat att energi är mer än el och att el är mer än elnät och kärnkraft.

Därefter var det dags för Mikael Toll, senior rådgivare på Ramboll, att kort ge en bild över säkerhetspolitiska hot mot energiförsörjningen. Han konstaterade bland annat att energi är mer än el och att el är mer än elnät och kärnkraft.

– Energiförsörjningen består även av bland annat värme, drivmedel och biobränslen. Utan värme en kall vinterdag kan samhället snabbt drabbas av en större samhällskris! Det är behoven – och inte infrastrukturen i sig -  som egentligen är det viktiga! sade han.

– Acceptansen för elavbrott är låg, man förväntar sig att det ska fungera. Samtidigt har den säkerhetspolitiska förändringen förvärrat hotbilden mot energiförsörjningen under lång tid. Energi är både mål och medel inom säkerhetspolitiken, fortsatte han.

– Energisystemen går igenom flera stora samhällsförändringar parallellt. Energiomställningen och den försämrade säkerhetspolitiska situationen påverkar varandra.

– Hoten förändras och blir mer akuta samtidigt som nya risker byggs in i energiförsörjningen, bland annat i takt med ökad elektrifiering och digitalisering. Rysslands anfallskrig i Ukraina och vinterns energikris innebär att tidigare policybeslut omprövas snabbt. De långsiktiga trenderna och den kortsiktiga krishanteringen påverkar varandra samtidigt som utfallsrummet för vad som kan hända är större än på länge. 

Ett stort antal aktörer inom energiförsörjningen behöver utveckla och förbättra sitt säkerhetsskydd, enligt Mikael Toll;

– Några utmaningar i arbetet är ovana organisationer där säkerhetsskydd inte varit så prioriterat under många år. Att bredda och utveckla säkerhetsskyddet parallellt med stora investeringsbehov i infrastruktur i en snabbt förändrad omvärld, kommer att bli utmanande för många.

– Samtidigt är det viktigt att inte låta osäkerhet leda till handlingsförlamning. Det finns mycket råd och konkreta verktyg att ta till för att i närtid utveckla säkerhetsskyddsarbetet inom energiförsörjningen!

Teracom – från kommersiell verksamhet till rikets säkerhet

Därefter var det dags för två praktiska exempel på föredömligt säkerhetsskyddsarbete. Först ut; Johan Petersson, vice vd och säkerhetsskyddschef på Teracom.
Teracom är ett statligt bolag och en del av totalförsvaret. Bolaget har en samhällsstöttande roll vad gäller yttäckande säkra och robusta nät för radio, TV och samhällsviktiga uppkopplade system.

Enligt Johan Petersson ska säkerhet genomsyra allt Teracom gör och bolaget beskriver det så här ”Säkerhet innebär säkerhetsskydd, fysisk säkerhet såväl som informations- och cybersäkerhet. Vår förmåga ska vara robust såväl under normala driftförhållanden som under extraordinära omständigheter, såväl i freds- som i krigstid.”

Johan Petersson beskrev även bolaget robusthet.

– Vi har dimensionerat vår robusthet för extrema ansträngningar, genom att exempelvis ha multipla nät och energikällor, reservdelslager, beredskapslagret och reservplatser och mobila enheter för att stärka upp nätet vid hög belastning.

Teracom arbetar nu utifrån hotbilden kriget i Ukraina och mobil- och elnätens betydelse för viktiga samhällsfunktioner.
 

Säkerhetsskydd i Regeringskansliet

Nästa praktiska exempel kom från Regeringskansliet och dess säkerhets- och säkerhetskyddschef Fredrik Agemark. Han inledde med att ge en bild av terrordådet i Oslo och angreppet mot regeringsbyggnaden 2011 och beskrev sedan hur man bygger säkerhet i Regeringskansliet i Sverige, ”en central symbol för demokratin”.

– När det värsta händer påverkas vårt arbete på några sekunder, kommenterade han.

Hans uppdrag omfattar 4 800 anställda och 160 000 kvadratmeter i 11 fastigheter och allt från ”öppen information till kvalificerat hemligt”. Allt ska vara tillgängligt, riktigt och spårbart.

Hotbilden är bred, påpekade Fredrik Agemark och beskrev allt från spionage och terrorism till aktivister.
– Varje extrem händelse innebär att vi gör förändringar i vårt arbete för att alltid kunna möta nästa händelse, sade han – och beskrev därefter hur man jobbar i stora projekt.

– Det är viktigt att analysera problemen, lyssna på andra, våga utmana sig själv och hur vi tänker kring säkerhet och våga ta medvetna risker. Dessutom är samarbete och samspel viktigt – det har varit nyckelfaktorer till framgång i vårt arbete.

– Risker ska vara kända, hanterbara och dokumenterade, konkluderade han.
 

Säkerhetschefs- och säkerhetsskyddschefsrollen

Efter lunch var det Ari Stenmans tur att äntra scenen. Han är säkerhets- och säkerhetsskyddschef inom Polisen och skulle beskriva säkerhetschefs- och säkerhetsskyddschefens roll och förändring.

– Det änder mycket i säkerhetsorganisationen och för säkerhetsskyddschefer inte minst, inledde han.

Det som hänt senare år är bland annat:

  • Fler hotområden samtidigt
  • Bristande säkerhet får större konsekvenser
  • Säkerhetsskyddslagen och sanktioner
  • Fler sektorer omfattas av den nya lagstiftningen
  • Säkerhetsskydd har fått ökat fokus
  • Säkerhetskulturen behöver höjas och kunskapen höjas

– I dag ser många organisationer över sitt säkerhetsarbete och förändrar organisationen och vi ser på många håll att mer resurser förs över till säkerhetsverksamheten. Det innebär också att säkerhetschefen och säkerhetsskyddschefen får en mer framträdande roll i sin organisation, sade Ari Stenman.

Han tyckte sig också se att säkerhetschefen och säkerhetsskyddschefen går från en operativ roll till en mer strategisk roll där det i dag mer handlar om ledning av system.
– Säkerhetschefen och säkerhetsskyddschefen har ett större helhetsperspektiv och jobbar mer med förändringsledning än tidigare.

– Säkerhetschefen ska inte bara befinna sig i säkerhetsbubblan utan ta mer ansvar och fatta en del obekväma beslut, fortsatte han.

Ari Stenman framhöll också Företagsuniversitetets rapport ”Säkerhetschefsrollen 2022-2030” som finns här

Säkerhetsskyddsanalysen – rolig att göra

Så var det dags för säkerhetsskyddsexperten Per Fjellman från Phenox Group och kursledare för Diplomerad säkerhetsskyddschef på Företagsuniversitetet att ge nyckeln till framgång i säkerhetsskyddsarbetet; en väl genomförd säkerhetsskyddsanalys.

Han ville framför allt framhålla att det inte är besvärligt att göra en bra analys utan att det faktiskt kan vara stimulerande och roligt!

Målet med säkerhetsskyddsanalysen är enligt Per Fjellman:

  • Analysera
  • Planera
  • Reglera (detta missar en del)
  • Implementera
  • Hantera
  • Utvärdera
  • Optimera

–  Säkerhetsskyddsanalysen är säkerhetsskyddsarbetets hjärta, pulsen in i arbetet, poängterade han.

–  Analysarbetet ska göras löpande och kontinuerligt över tid, däremellan ska man göra planer och bedömningar.

Per Fjellman uttryckte förvåning över att fler inte kommit längre i arbetet och att många hela tiden startar om arbetet i stället för att arbeta långsiktigt och skruva till arbetet hela tiden.

–  För att göra en bra säkerhetsskyddsanalys behöver man kompetens om regelverket, säkerheten och verksamheten, underströk han.

– De flesta har inte allt det utan det här är en gruppövning som vi ska göra tillsammans med andra. Vi som jobbar med säkerhetsskydd behöver ha med oss fastighetschefen, registratorn och en massa andra i verksamheten.

–  Är man lite nyfiken är säkerhetsskyddsanalysen jätteintressant och rolig att jobba med, man får träffa så många andra människor och får in deras kunskap så att vi sedan kan ge kvalitativa råd.

En del uppger att det är svårt att få andra att engagera sig medan Pers uppfattning är att det inte brukar vara några problem att få medarbetare i verksamheten att ställa upp.

–  Vi vill ju prata om vad som kan riktigt illa och alla vill berätta om sin verksamhet och om katastrofer – det handlar bara om hur vi paketerar det. Var mer lyhörda mot de vi pratar med!

Per Fjellmans tips var:
–  Fokusera på det viktiga inhämtningsarbetet och se till at få in rätt personer och verksamheter i arbetet.

Han gav också en bild av säkerhetsskyddsanalysen i teorin, som inte bara omfattar verksamhetsbeskrivningen utan kanske framför allt analysen av tillämpliga krav och förekomsten av säkerhetskänslig verksamhet och befintligt skydd.

– Om vi inte ens kan definiera verksamheten kan vi inte heller klassificera den. Därför att det viktigt att analysera det befintliga skyddet för att kunna identifiera sårbarheterna.

Per Fjellman menade även att man i högg rad kan ha nytta av andra, redan gjorda, analyser i verksamheten i arbetet.
–  Man kan inte använda bedömningarna men det finns mycket information att dra nytta av, det handlar bara om att förstå verksamheten och sätta det i en kontext som handlar om Sveriges säkerhet!

Ta del av Pers framgångsfaktorer i presentationen här!

 

Tillsynen - så jobbar PTS

Efter eftermiddagskaffe med lussebulle var det dags för ett högintressant ämne till; tillsynen. På plats för att ge en bild av det fanns Henrik Christiansson från Post- och telestyrelsen.

Han gav en bild av tillsynsmyndighetens uppdrag (det finns 13 tillsynsmyndigheter) och hur PTS arbetar med tillsynsverksamheten.

– Tillsyn är ett viktigt verktyg för kartläggning och för att bedöma skicket på skyddet. Det ger också underlag för normering, betonade han.

Enligt Henrik Christiansson är tillsynen framför allt planmässig men ibland också händelsestyrd.

– 2022 avslutade vi på PTS 10 tillsyner och de har inriktats på två typer av verksamhetsutövare, som traditionella teleoperatörer och tillhandahållande av tjänster, berättade han.

Han beskrev även hur PTS tillsyner har gått till:

  1. Uppstartsmöte
  2. Informationsinhämtning med fokus på säkerhetsskyddsanalys, personalsäkerhet och signalskydd
  3. Tillsynsmöten med relevanta personer hos verksamhetsutövarna
  4. En tillsynsrapport tas fram
  5. Ett avslutningsmöte hålls där resultaten presenteras
  6. Vidare aktiviteter tydliggörs

PTS har möjlighet att besluta om sanktioner om verksamhetsutövaren åsidosatt sina skyldigheter

Henrik Christiansson gav även en bild över de brister man sett i sina tillsynsärenden:
–  Det finns sällan resonemang kring nationella skadekonsekvenser men det är däremot vanligt att man spekulerar, framför allt kring skadekonsekvenserna hos kunderna.

–  Vi ser också att hotavsnitten inte är relevanta och att det är för litet eller inget fokus på hotförmågorna. Man tror att allmänna hot styr det egna skyddsvärdet.
–  Dessutom är inte sårbarheterna kopplade till skyddsvärdena.

PTS konstaterar också att det praktiska personalsäkerhetsarbetet inte hänger ihop med säkerhetsskyddsanalysen och att premisserna för användning av signalskydd är felaktiga.

–  Åtgärder måste avhjälpa sårbarheter som relevanta hotförmågor skulle kunna utnyttja för att åstadkomma nationella skadekonsekvenser, sammanfattade han.

Kompetensförsörjningen i tre delar

Efter Henrik Christianssons intressanta föreläsning om tillsyn var det dags för en kavalkad av föreläsare som belyste kompetensförsörjningen inom säkerhetsskydd.

Erik Biverot, programansvarig för säkerhetsskydd och tf chef för avdelningen för uppdragsutbildning på Försvarshögskolan, inledde och gav en kort bild av det myndighetsuppdrag som FHS, Säpo och Försvarsmakten fått av regeringen sommaren 2022.

Uppdraget handlar bland annat om att utreda och ta fram förslag på struktur för utbildningar inom säkerhetsskyddsområdet, både grundläggande och fördjupande utbildningar. I uppdraget ingår exempelvis att ta fram förslag på:

  • Vilka utbildningar som behövs för att möta kompetensbehovet inom området
  • Uppskattat behov av utbildningsplatser per år under de närmaste tre till fem åren
  • Eventuella särskilda tillträdesregler för utbildningarna

Uppdraget ska redovisas till regeringen senast den 28 februari 2023.

–  Kompetensförsörjningen är ett lagarbete för Sverige AB, summerade Erik Biverot.

Här finns Eriks presentation

Därefter var det dags för Karin Palmblad, säkerhetschef på Ramboll, att ge sin syn på rekrytering inom säkerhetsskydd.

– Behovet av att få in kompetenta medarbetare är enormt och vi diskuterar mycket hur vi ska få säkerhetsskyddsdammen att växa starkt, snabbt och säkert, inledde hon.

– Säkerhetsskydd är roligt och spännande och det är angeläget att träffa rätt. Därför prioriterar vi att lägg tid på nätverkande och mentorskap och handledning. Vi tycker att man måste våga utmana kraven på 10 eller 20 års erfarenhet hos enskilda till att hitta bra team med olika kompetenser. Dessutom är mångfald viktigt.

– Nya som kommer in kan faktiskt lära oss seniora mycket, så lär av varandra!

– Det är svårt att vara expert på alla delar och att göra allt på en gång. Det är viktigare att titta över vilka kompetenser ni redan har inom exempelvis GDPR, rekrytering, juridik och upphandling – ta stöd från verksamheten.

Därefter genomfördes ett kort samtal mellan Charlie Söderberg, Karin Palmblad och Vera Stocks om mentorskap. Karins ingång i arbetet är att hon älskar att lära av andra och att se andra att växa.

– Fördelen med mentorskap är dialog och att man lär sig i praktiken, man får resonera med praktikanten flera gånger i veckan, sade hon.

Ramboll samarbetar med olika högskolor och universitet för att hitta rätt ”adepter”. Det kan vara personer som Vera Stocks, som gick en akademisk utbildning hos Försvarshögskolan inom kris och säkerhet.

– Jag fick en fantastisk handledare när jag skulle göra praktik och kom då i kontakt med säkerhetsskydd för första gången, berättade hon.

– Det blev lite learning by doing. För mig var det otroligt viktigt med mentorskap och handledning. Jag fick möjlighet att testa och lära mig regelverk och teori för att successivt komma in i arbetet. Det blev en djupdykning i teorin för att sedan direkt omsätta det i praktiken.

I ett gemensamt samtal fick de tre sedan ge ett par slutord som är viktigast per person;
Vera: handledarskapet är viktigast
Erik: investera i utbildning
Karin: Teamet och teamwork!

Hur hanterar vi personerna vi inte vill ha med att göra?

Det blev en kort paus innan Forum Säkerhetsskydds sista föreläsare tog till orda. Det var Susanne Strand, docent i kriminologi och forskningsledare. Hon gav en bild av personerna vi inte vill ha att göra med; framför allt olika former av stalkare.

– I Sverige uppger en av tio att de har utsatts för stalkning medan det internationellt ligger på 15-20 procent. I 80-88 procent av fallen är det män som stalkar.

En vedertagen definition av stalkning är: En oönskad och upprepad kommunikation, kontakt, eller annat uppförande med avsikt att, eller utan bekymmer om, orsaka fruktan för offrets egen, eller offrets närståendes, säkerhet.

- Framför allt handlar det om att det skapar oro hos den utsatta, underströk Susanne Strand och gav även en bild av olika stalkningsbeteenden:

  • Oönskad kommunikation, som SMS, telefonsamtal, e-post, sociala medier, blommor
  • Oönskad kontakt, som att vänta utanför t.ex. hemmet eller jobbet
  • Fysiskt våld, som knuffar och fasthållande och misshandel

Susanne beskrev också skillnaderna mellan ”rättshaverister” som ofta blir värre med åren, som biter sig fast och lutar sig mot paragrafer, och psykopater som är mer manipulativa, grandiosa, spontana och kortsiktiga. Psykopater är oftast inte stalkare.

– När ni får in stalkare eller stalkningsproblematik på arbetsplatsen måste ni hantera det, rådde hon och rekommenderade att alltid göra en polisanmälan (i år har det kommit in 600 anmälningar om olaga förföljelse i Sverige och 100 personer ha dömts).

– Att stalka någon är brottsligt även om alla handlingar kanske inte är det.

Stalkare kan vara en före detta partner, en bekant eller en obekant men det kan även ske stalkning mot en myndighet eller ett företag. Stalkning bottnar ofta i en besatthet och en fixering som kan bli allt mer permanent. Det finns en oförmåga att släppa taget.

Är någon utsatt i sin yrkesroll är det, enligt Susanne Strand, viktigt att hjälpa medarbetaren att ändra sina rutiner, byta telefonnummer och omdirigera mejl. Det kan också handla om att minska möjligheter till besök.

– Framför allt är det viktigt att ni ger stöd och hjälp.

Hur identifierar man då personer som risker att utveckla ett stalkningsbeteende; det finns fyra steg, sade Susanne Strand;
1.     Triage (enkla frågor kring om det finns hot)
2.     Screening
3.     Riskbedömning
4.     Fördjupad riskbedömning (ofta med hjälp av utomstående expert)

Hon beskrev även en screeningmetod, SASH, som är en 16-punktslista som ska identifiera risken för stalkning och trakasserier – och gav även tips på lämpliga frågor vid en intervju:

  • Händer det att du hamnar i en konflikt med andra?
  • Hur hanterar du en konflikt?

Viktiga följdfrågor:

  • Hur viktigt är det för dig att få rätt i en konflikt?
  • Hur bidrar du till att avsluta en konflikt som du är part i?
  • Hur uppträder du mot en person du har haft en större konflikt med efter en längre tid?

Slutligen delade Susanne Strand med sig av tips på vad man själv som utsatt kan göra och vad man som arbetsgivare kan göra.

Susannes presentation finns här

Därmed kunde Charlie Söderberg och Lotta Eriksson från Företagsuniversitetet avsluta konferensen och bjuda in till "after conference" för ytterligare nätverkande och erfarenhetsutbyte deltagarna emellan. Tack alla fantastiska föreläsare och tack alla ni som kom! Vi ses igen 2023!