Sverige får den 1 april 2019 en ny och uppdaterad säkerhetsskyddslagstiftning, SFS 2018:585 (lag) och SFS 2018:658 (förordning). Den nya lagstiftningen har utformats för att omhänderta de senaste 20 åren av omvärldsutveckling. Detta innebär bland annat ett avsevärt högre fokus på informationsteknologi, internationell samverkan, ökad sårbarhet i samhällsviktiga funktioner och att säkerhetskänslig verksamhet i allt större omfattning bedrivs i enskild regi (fysiska och juridiska personer).

För information och informationsteknologi ger lagstiftningen ett ökat fokus på tillgänglighets- och riktighetsaspekterna. Det handlar alltså inte längre endast om att skydda informationstillgångar ur ett konfidentialitetsperspektiv utan även i ett bredare perspektiv. Det handlar inte heller endast om informationstillgångar utan även IT-system där funktion är den viktigaste egenskapen. Och så antar Sverige fyra internationella klassificeringar av information.

Om denna artikel

Min målsättning med denna artikel är att ge dig en övergripande introduktion till den nya lagstiftningen men kanske framförallt hur jag avser utreda och ge vägledning inom dess tillämpning inom cyberdomänen. Observera att detta alltså är en avgränsning då lagstiftningens tillämpningsområde är bredare än cyberdomänen.

Det är dock inom detta område som jag menar att det är särskilt angeläget med vägledning om dels definitioner och dels tolkning och tillämpning. Jag hoppas således kunna ge er förutsättningarna och verktygen att skapa en god grund att bygga ert säkerhetsskyddsarbete på så som det förhåller sig till cyberdomänen.

Med cyber avser jag en tämligen bred tolkning av information och informationsteknologi. Jag menar att cyber utgörs av interaktionen mellan information, kommunikation, teknik och människa samt de kontroll- och styrfunktioner samt sensor som möjliggör denna interaktion.

Jag har valt att dela upp artikeln i två övergripande delar; en introduktion till lagstiftningen samt en del som förklarar vilka typer av artiklar jag har för avsikt att publicera inom ramen för lagstiftningen och dess förhållande till cyberdomänen.

Del 1 – Introduktion

Centrala begrepp i lagstiftningen

Den nya lagstiftningen förändrar några tidigare centrala begrepp för att tydliggöra lagstiftningens huvudsakliga inriktning och syfte. Dels så ska vi använda Sveriges säkerhet istället för rikets säkerhet och dels används säkerhetskänslig verksamhet som ett samlingsbegrepp för 1) verksamheter som är av betydelse för Sveriges säkerhet och 2) överenskommelser Sverige har med andra stater och mellanfolkliga organisationer, internationella säkerhetsskyddsåtaganden.

Vidare kommer vi nu också behöva använda begreppet säkerhetsskyddsklassificerade uppgifter istället för hemliga uppgifter och handlingar. Det är en onekligen fler konsonanter och vokaler i detta begrepp men ett i mitt tycke mycket välkommet begrepp som gör det otvetydigt vilka typer av uppgifter som avses.

Säkerhetskänslig verksamhet används i den föregående lagstiftningen men då mycket sparsamt. I den nya lagstiftningen får begreppet istället en central betydelse och är således av vikt att känna till.

Sist, men absolut inte minst, är säkerhetsskyddsanalysen. Denna lyfts nu fram och in i lagen (2 kap 1 §) som central för att uppnå ett ändamålsenligt säkerhetsskydd. Tidigare kunde vi läsa om säkerhetsanalysen först i förordningen, men detta förändras alltså nu då den placeras i lagen.

Målsättningen med lagstiftningen

Likt föregående lag är det fortsättningsvis så att lagen i huvudsak är ämnad att skydda det mest skyddsvärda men vad som anses vara det mest skyddsvärda har förändrats och framförallt blivit mer omfattande. Bland annat har den informationsteknologiska utvecklingen gjort Sverige mer sårbart för elektroniska hot som riktas mot centrala och samhällsviktiga funktioner.

Genom användandet av säkerhetskänslig verksamhet avser lagstiftningen skydda dessa verksamheter mot antagonistiska hot som spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Det är framförallt genom sista punkten, andra brott, som lagstiftningen förändras där vi nu även ska skydda hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamheter som behöver skyddas på grund av att den kan utnyttjas för att skada nationen.

Lagstiftningens tillämpningsområde breddas och omfattar i allt större utsträckning även delar av det civila samhället.

För vilka gäller lagstiftningen?

Det är onekligen många som ställer sig frågan om de kommer att omfattas av lagstiftningen och fler kommer ofrånkomligen att påverkas. Kanske främst därför att lagen gäller alla som till någon del bedriver säkerhetskänslig verksamhet. Detta leder till den nödvändiga frågan om vad som omfattas av säkerhetskänslig verksamhet.

Dessvärre måste jag hänvisa till ett framtida inlägg för denna diskussion. Att besvara denna fråga kräver en mer omfattande analys och diskussion än vad som är lämpligt i sammanhang av denna introduktion till lagstiftningen. Men det ni kan göra i avvaktan på den kommande artikeln är att kartlägga er organisation ur ett verksamhetsperspektiv. Vilka verksamheter har ni, hur förhåller sig dessa till samhället i stort och vilka konsekvenser kan störningar inom dessa verksamheter få för samhället och Sverige i stort?

Inga enkla frågeställningar på något sätt, men börja där så återbesöker vi denna fråga på nytt i ett framtida inlägg.

Del 2 – Cyberperspektivet

Inom ramen för den nya lagstiftningen är informationsteknologi något som lyfts fram som nytt avseende lagstiftningens tillämpningsområde. Detta tar sig uttryck som att vi kan läsa följande under 2 kap 2§ andra punkten:

2. förebygga skadlig inverkan i övrigt på uppgifter och informations-system som gäller säkerhetskänslig verksamhet.

Detta får långtgående konsekvenser för de analyser som ska ligga till grund för säkerhetsskyddet. Särskilt när det kombineras med informationssäkerhetsaspekterna tillgänglighet och riktighet (som även ska tillämpas på it-system). Det är således främst inom dessa nya och tillkommande områden som jag kommer fokusera den här vägledningen.

Säkerhetshot

En central del av säkerhetsskyddsanalysen är analysen som avser identifiering och bedömning av säkerhetshot. I de framtida artiklarna kommer jag försöka konkretisera hur sådana analyser kan genomföras och vad de rimligen bör innehålla.

Inom ramen för det här kommer jag avhandla begreppet dimensionerande hotbeskrivning. Denna beskriver mer konkret hur en aktör med vilka förmågor och vilka tillvägagångssätt kommer att genomföra ett cyberangrepp. Observera att det alltså inte endast handlar om att identifiera hoten utan även aktörerna bakom. Den kallas dimensionerad hotbeskrivning därför den är bakgrunden mot vilket skyddet ska dimensioneras, den ger omfattningen på säkerhetsskyddet.

Enligt lagstiftningen syftar säkerhetshotsanalysen till att identifiera på vilka sätt en antagonist kan komma att genomföra ett angrepp för att kunna realisera de icke-önskvärda konsekvenser vi avser skydda verksamhet från.

Sårbarhetsanalys

Sårbarhetsanalysen avser identifiera och bedöma vilka svagheter i det nuvarande skyddet som kan komma att utnyttjas av en antagonist för att förverkliga de identifierade hoten från analysen av säkerhetshot. I kommande artiklar tänker jag därför lämna vägledning om hur ni kan analysera dessa sårbarheter och hur de förhåller sig till identifierade säkerhetshot.

Säkerhetsskyddsåtgärder 

Efter att säkerhetshot har identifierats och sårbarheter som kan komma att utnyttjas av antagonister är det dags för att identifiera lämpliga och effektiva skyddsåtgärder. Jag avser i dessa artiklar beskriva lämpliga metoder för att identifiera effektiva säkerhetsåtgärder. Bland annat kommer ni få läsa om hur ni kan åtgärda klasser av hot, när ni ska välja åtgärder inom exempelvis upptäckande åtgärder eller förhindrande.

Målsättningen är ni ska kunna upprätta en dokumentation som tydligt illustrerar hur ni resonerat om val av skyddsåtgärder och på varför dessa anses vara effektiva och lämpliga i sammanhang av identifierade sårbarheter och säkerhetshot.

Säkerhetsplan

Slutligen sammanflätas allting i en säkerhetsplan. Detta dokument är handlingsplanen, vägen till ett säkerhetsskydd ni tror på och bedömt som rimligt. Planen beskriver vilka åtgärder ni avser införa var, när och på vilket sätt.

Målsättningen är att ni efter dessa artiklar ska dels kunna upprätta en säkerhetsplan för de egna verksamheterna men även dels kunna tillämpa den nyvunna kunskapen som verktyg för att upprätta kravställning mot andra organisationer till vilka ni har ett väsentligt och nödvändigt teknologiskt beroende.

Sammanfattning

I den här artikeln har du dels fått läsa på ett övergripande om den nya lagstiftningens syfte, tillämpningsområde och en del tillkommande och förändrade centrala begrepp. Utöver detta har jag i korthet beskrivit de framtida artiklar som kommer upprättas inom ramen för den här vägledningen och då med ett särskilt fokus på hur lagstiftningen förhåller sig till cyberdomänen.

Med ett avslutande ord skulle jag vilja uppmuntra er till att hjälpa mig prioritera nästa artikel. Vad anser ni är särskilt angeläget om att gräva djupare i? Vad ska jag prioritera till nästa artikel?