En ny säkerhetsskyddslag har föreslagits, vad innebär den och hur har den tagits emot?
En utredning av regeringen [1] föreslår att säkerhetsskyddslagen ersätts av en ny lag. Lagen ska bemöta förändrade krav på säkerhetsskyddet, exempelvis avseende sårbarhet hos samhällsfunktioner och att säkerhetskänslig verksamhet i högre grad bedrivs i enskild regi. Denna veckas blogg går igenom vad betänkandet beskriver samt hur det mottagits hos myndigheter och andra aktörer.
Vad innebar den ursprungliga säkerhetsskyddslagen?
Lagen (1996:627) trädde i kraft 1996 och omfattar skydd mot spioneri, sabotage, av uppgifter som omfattas av sekretess och som rör rikets säkerhet, samt mot terroristbrott. Säkerhetsskyddet reglerar verksamhet som är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Skyddet består i förmåga att förebygga, identifiera, försvåra samt agera vid angrepp och hanteras med åtgärder inom informationssäkerhet (avseende sekretess), samt tillträdesbegränsning och säkerhetsprövning.
Varför behöver säkerhetsskyddslagen förändras?
Bedömningen är att säkerhetsskyddslagen behöver moderniseras, förtydligas och utvecklas. Flertalet faktorer har påverkat. De senaste 15 årens utveckling inom IT samt internationellt samarbete har ökat fokus på säkerhetsskyddsfrågor. Hotbilder mot rikets säkerhet ser avsevärt annorlunda ut idag, med inte sällan icke-militära och icke-statliga aktörer, breddning av främmande staters underrättelseverksamhet till exempelvis information om samhällsviktiga system, samt utflyttning av verksamheter till utlandet, t.ex. inom energiförsörjning. Betydande informationsmängder av både öppen samt hemlig karaktär hanteras idag i IT-system hos verksamheter där ett starkt beroende finns av dessa för styrning, reglering samt övervakning exempelvis.
IT-system innehållande information som trots att de inte omfattas av sekretess utan snarare utifrån perspektivet tillgänglighet och riktighet har fått allt större betydelse för rikets säkerhet. Detta omfattar exempelvis konsekvenser vid avbrott i övervakningssystem i ett kärnkraftverk samt felfunktion i styrkommandon för dammluckor i ett vattenkraftverk. Elektroniska angrepp mot samhällsviktiga system är ett av de mest allvarligaste hoten mot rikets säkerhet som existerar idag. Dock har lagen inneburit små möjligheter att exempelvis skydda IT-systemen själva.
Avgränsningar för säkerhetsskyddslagens bestämmelser för åtgärder för att skydda uppgifter som omfattas av sekretess har således bedömts för snäva. Lagen har kunnat tolkas att enbart gälla myndigheter för att skydda hemliga uppgifter samt skydd mot terrorism för skyddsobjekt som t.ex. flygplatser och byggnader. Detta medför exempelvis att verksamheter med betydelse för att upprätthålla samhällsfunktion riskerar att inte omfattas. Lagen behöver således förtydligas avseende tillämpningsområden, exempelvis så att även privata verksamheter omfattas, utvecklas avseende internationella åtaganden, samt för aspekterna tillgänglighet och riktighet avseende informationssäkerheten.
Vad säger den nya säkerhetsskyddslagen?
Indelningen i tre säkerhetsskyddsåtgärder består och benämns nu informationssäkerhet, fysisk säkerhet samt personalsäkerhet. Betänkandet innebär dock en bredare ansats för lagen. Beskrivningen av säkerhetsskydd sker i två inriktningar:
- verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter samt,
- i övrigt säkerhetskänslig verksamhet (i.e. inte enbart skyddsobjekt utan exempelvis hantering av IT-system eller uppgifter av betydelse för samhällsfunktion).
Den som är ansvarig för säkerhetskänslig verksamhet ska tillse att
- behov av säkerhetsskydd utreds i en säkerhetsskyddsanalys där därtill hot, möjliga konsekvenser, samt sårbarheter ingår
- vidta säkerhetsskyddsåtgärder, samt kontrollera att bestämmelser följs
- lämna uppgifter enligt rapporteringsskyldighet till utsedda tillsynsmyndigheten
Säkerhetsskyddsklassificerade uppgifter ska delas in fyra klassningsnivåer av internationell modell (kvalificerat hemlig, hemlig, konfidentiell, begränsad) utifrån skada som kan uppstå då uppgifter röjs.
Informationssäkerheten delas upp i två moment och syftar nu inte enbart till att ge skydd ur ett konfidentialitetsperspektiv. Dessa omfattar krav på åtgärder som:
- ger skydd av säkerhetskyddsklassificerade uppgifter anpassat efter klassningsnivå för att förhindra att de röjs, ändras, görs otillgängliga eller förstörs. Dessa uppgifter är sådana som i regel omfattas av sekretess eller skulle ha omfattats av sekretess om lagen gällt gör verksamheten. Det senare innebär att även privata aktörer måste göra en bedömning av om det borde föreligga sekretess eller inte.
- förebygger skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet, dvs riktighet och tillgänglighet hos exempelvis tekniska system som kommunicerar eller på annat sätt behandlar uppgifter oavsett form.
För exempelvis IT-system som behandlar säkerhetsskyddsklassificerade uppgifter ska säkerhetsskyddet omfatta funktioner för behörighetskontroll, registrering av händelser i systemet som är av betydelse för säkerheten, skydd mot obehörig avlyssning, intrångsskydd, skydd mot skadlig kod samt skydd mot röjande signaler.
Fysisk säkerhet ersätter benämningen tillträdesbegränsning och innebär åtgärder mot obehörigt tillträde till exempelvis område där säkerhetskänslig verksamhet bedrivs, dels skadlig inverkan på dessa områden, anläggningar eller objekt. Inom ramarna för säkerhetsprövning som syftar till att förhindra att personer ej pålitliga ur säkerhetssynpunkt deltar i säkerhetskänslig verksamhet, föreslår betänkandet att kravet på svenskt medborgarskap tas bort.
Vad säger remissinstanser om den nya säkerhetsskyddslagen med avseende på åtgärder inom informationssäkerhet?
Lejonparten av de instanser som yttrat sig är positiva till moderniseringen som helhet. Som exempel på synpunkter som inkommit kan nämnas att Säkerhetspolisen [2] saknar krav på periodicitet i säkerhetsskyddsanalys under IT-systems livslängd. Försvarsmakten, Skatteverket, Svenska kraftnät, Ekobrottsmyndigheten samt Riksgäldskontoret [3-6] bedömer kravet på skydd mot röjande signaler för IT-system som endast innehåller klassificeringsnivån Begränsad oproportionerligt, kostnadsdrivande och att det skulle innebära högre krav på civila myndigheter än befintliga inom Försvarsmakten. Dock ger lagen handlingsfrihet genom möjlighet att föreskriva om generella undantag vilket förmodligen innebär kostnadskrävande uppgifter för exempelvis Säkerhetspolisen om bedömning av säkerhetsnivåer för enskilda system krävs. Stockholms läns landsting [7] saknar krav på IT-system som behandlar säkerhetskänslig verksamhet men inte är säkerhetsskyddsklassificerad, t.ex. SCADA-system.
Referenser
[1] SOU 2015:25
[3] http://www.svk.se/siteassets/om-oss/remissvar/en-ny-sakerhetsskyddslag-sou-2015.25.pdf