Numera haglar spionfallen som spön i backen och de ärenden som kommer i offentlighetens ljus är troligtvis inte de enda heller. Att vi ser detta nu skulle kunna förklaras på lite olika sätt.
1. Spioneriet har ökat markant den senaste tiden.
2. Säpo har blivit mycket bättre på att avslöja spioner.
3. Spionerna har blivit sämre och slarvigare och det är därför de avslöjas.
Hur det ligger till har jag ingen aning om, men om jag får gissa, eller snarare hoppas så är ett skäl till att dessa ärenden blir offentliga ett medvetet val från myndigheterna. Ett sätt att visa att hotbilden är reell och vilka stora brister det finns gällande säkerhetsskydd.
Brister finns det och det känns som att det räcker nu!
Förarbetet till nuvarande lagstiftning var klar och presenterades 2015, lagen implementerades 2019 och nu är det snart 2023! Om man skriver ut lagen och förordningen som en vanlig PDF blir det 8 respektive 16 sidor. Är inte åtta år tillräckligt för att läsa igenom 24 sidor och sätta sig in i vad det betyder? Hur många år ska annars behövas?
När det gäller dessa brister handlar det heller inte om enbart oerfarna enskilda verksamhetsutövare. Det gäller även myndigheter, tom tillsynsmyndigheter, låt mig ta några exempel.
Säkerhetsprövning
Jag har tidigare på bloggen skrivit om bristerna i exempelvis säkerhetsprövning. Skillnaden idag är att det talas mer om det men den problematik och de brister jag tog upp i det tidigare inlägget har inte på något sätt har upphört.
Det talas en hel del om behovet av ”egenkontroll” och vikten av egenkontroll men som jag ser det är det just egenkontrollen som idag är det stora problemet, att då i tal förlita sig till det förändrar eller löser ingenting.
Vi tar ett exempel med en myndighet som avser att teckna ett säkerhetsskyddsavtal med en leverantör. En del i ett sådant avtal är kravet på att de personer som ska delta i projektet ska säkerhetsprövas. Tyvärr läggs ansvaret för säkerhetsprövningen alltför ofta på leverantören själv.
Vad är då problemet med detta?
För det första görs det ofta ingen som helst kontroll om leverantören faktiskt har kompetens att genomföra en säkerhetsprövning, speciellt en säkerhetsprövningsintervju. Att genomföra en sådan intervju handlar inte om att lägga huvudet på sned och be personen som ska prövas att berätta lite om sig själv.
För det andra finns det betydande beroendesituationer i en helt internt genomförd säkerhetsprövning som starkt kan påverka validiteten, speciellt på mindre verksamheter. Kommer den prövade att vara helt ärlig mot sin chef som han eller hon träffar dagligen och kanske tom umgås med privat? Kommer den bedömningen vara objektiv? Det gäller också åt andra hållet, kommer den som genomför intervjun och gör bedömningen att ledningen eller chefen inte är lämpliga ur säkerhetsskyddssynpunkt våga påtala det? Speciellt om det rör sig om en stor och viktig affär för verksamheten.
Extern kompetens
Det finns en väldigt enkel lösning, låt säkerhetsprövningen göras av extern personal. Ja jag är konsult och talar i egen sak här men eftersom jag har rätt så det är inget motargument. Det finns två starka skäl till detta.
- Extern personal har säkerställd kompetens inom området.
- Extern personal har inte några beroenden mot de som ska prövas.
Detta skulle påtagligt öka kvaliteten i säkerhetsprövningarna och därmed också höja Sveriges säkerhet.
Förutom att de flesta myndigheter lämnar ansvaret för säkerhetsprövningen till leverantören förekommer det ibland dessutom att de uttryckligen förbjuder användandet av externa personal för säkerhetsprövning eller exempelvis utbildning. Detta är enligt min mening helt ofattbart och direkt kontraproduktivt.
Varför göra det enkelt för fienden?
Säkerhetsprövning är bara en bland många brister när det gäller säkerhetsskydd, tyvärr hittas dessa överallt.
Låt mig bara ta ytterligare ett exempel. Tidningen Hemvärnet, en i övrigt mycket bra tidning som skickas ut till de drygt 20 000 verksamma i Hemvärnet. Tidningen distribueras med vanlig snigelpost helt öppet och utan något omslutande kuvert. Fullständigt namn samt hemadress är istället tryckt på tidningens baksida. Även om inga hemligheter publiceras i tidningen så är det ju ur ett kartläggningsperspektiv utmärkt för att kartlägga vilka som är med i Hemvärnet och var de bor. Är jag paranoid? Ja kanske, men det stör mig. Dessutom är det faktiskt ännu värre. Det är inte bara namn och hemadress som är publicerat helt öppet utan även vilken exakt befattning personen i fråga har! Troligtvis har man bara plockat ut uppgifterna ur Försvarsmaktens HR system utan att tänka. Vi talar alltså här om Försvarsmakten.
Det måste bli en bättring, det har gått åtta år, ta vara på den kompetens som faktiskt finns istället för att hålla tummarna och hoppas på att det nog löser sig, det tjänar vi alla på.
