Nyhet
5 oktober 2017 kl 00:10

Denna artikel publicerades för 3 år sedan

Dålig koll på känsliga uppgifter i kommuner

118 av 165 kommuner har inte undersökt om de har uppgifter som ska hållas hemliga med hänsyn till rikets säkerhet eller anläggningar som behöver säkerhetsskydd. Detta trots de är skyldiga att göra sådana säkerhetsanalyser, visar DS granskning. 

Skandalen i Transportstyrelsen – då hemlig information befaras ha läckt utomlands – har riktat strålkastarna mot hur svenska myndigheter hanterar information av betydelse för rikets säkerhet.

Även i landets kommuner finns sådana säkerhetsskyddsklassade uppgifter. 

Det kan exempelvis gälla beredskapsinformation eller uppgifter kring hamnar, flygplatser, broar, dricksvattenförsörjning, kärnkraftverk, militära skyddsobjekt, fibernät eller knutpunkterna för Sveriges internettrafik.

Enligt säkerhetsskyddsförordningen måste offentliga verksamheter och vissa samhällsviktiga privata verksamheter göra säkerhetsanalyser. 

De ska dels kartlägga om de har eller äger information av betydelse för rikets säkerhet, dels hur den skyddas. Dessutom ska det framgå vilka anläggningar som behöver säkerhetsskydd eller skydd mot terrorism. 

Men Dagens Samhälles enkät visar att kommunerna inte lever upp till förordningen. 118 av de 165 kommuner som svarat uppger att de inte gjort någon säkerhetsanalys.

Enkät

Bristerna beskrivs av en säkerhetschef i en kommun i södra Sverige:

– Några kommuner är vassa på området. Men i många kommuner är frågorna om säkerhetsskydd över huvud taget inte något prioriterat. Dels finns det inga resurser, dels har politiker och tjänstemän ingen kunskap eller förståelse kring vad det handlar om.

En av de kommuner som saknar säkerhetsanalys är Katrineholm i Sörmland, med 34 000 invånare. Kommunen har i dag outsourcat all sin it-hantering till ett privat it-företag: Solid Park. 

Under försvarsövningen Aurora blev Björkviks flygfält ett tillfälligt kommunalt skyddsobjekt, när svenska och amerikanska helikopterpiloter tränade. 

Dessutom bygger molnföretaget Amazon en stor serverhall i Katrineholm, och nästa år flyttar en del av Strålsäkerhetsmyndigheten hit. 

– Att göra en säkerhetsanalys har inte varit på tapeten tidigare, säger Göran Dahlström (S), kommunalråd sedan tolv år tillbaka och ordförande i kommunstyrelsen.

Han regerar tillsammans med Lars Härnström (M), förste vice ordförande i kommunstyrelsen. Kommunen kan inte ha fokus på allt, försvarar de sig.

– Det finns mycket annat att lägga energi på, som vård, skola och omsorg, säger Lars Härnström.

Ett problem har varit att man inte haft någon organisation för säkerhetsskyddsarbetet. Men för knappt två år sedan anställdes före detta polisen Peter Henriksson som säkerhetschef i Katrineholm. 

– Nu har vi tagit in en offert från en säkerhetsskyddsklassad konsult, 2Secure, som kan göra säkerhetsanalysen. Men bolaget är fullbokat fram till våren 2018, säger han.

Säkerhetspolisen är tillsynsmyndighet på området, men de vet inte vilka kommuner som har säkerhetsanalyser eller inte. Enligt Sofia Hellqvist, pressekreterare på Säpo, förs ingen sådan statistik. 

– Men Säkerhetspolisen har vid flera tillfällen uppmärksammat att det finns stora brister i myndigheters och andra verksamheters säkerhetsskydd och avsaknad av säkerhetsanalyser, säger Sofia Hellqvist.

I dag finns ingen möjlighet för Säpo att utdela viten. Men en statlig utredning, ledd av förre rikspolischefen Stefan Strömberg, ser nu över om sanktioner ska införas när säkerhetsskyddsreglerna inte följs. Den blir klar i vår.

Enligt Albin Zuccato, doktor i informationssäkerhet och affärsområdeschef på it-företaget Atea, kan bristen på analyser runt om i Sverige få allvarliga konsekvenser. Risken att hemlig information ska läcka ökar. 

– Men mer allvarligt, som jag ser det, är kopplingen till krisberedskap. Har man inte gjort sin säkerhetsanalys vet man inte hur hotbilderna ser ut, och man har inte koll på var informationen om kritisk infrastruktur finns i händelse av kris eller krig, säger han.

Många kommuner (136 stycken) uppger i granskningen att de planerar att göra säkerhetsanalyser under det närmaste året, före nästa val. En är kärnkraftskommunen Oskarshamn, där Lars Blomgren är säkerhetschef:

– Vi har sedan 2015 jobbat mycket med att få anställda i organisationen att förstå vad det innebär och tänka
i informationssäkerhetsbanor, men vi har inte gjort någon säkerhetsskyddsanalys. Där är vi inte ännu, säger han.

Endast 28 procent av de svarande kommunerna uppger att de har genomfört säkerhetsanalyser. Längst har man kommit i storstäderna. I Stockholm och Göteborg, exempelvis, uppdateras de årligen.

Men i Malmö är säkerhetsanalysen 14 år gammal. Nu gör man om den med hjälp av 2Secure.

– Det är upp till varje kommun att till stora delar själv avgöra vad som ska klassificeras som säkerhetsskydd. Det är inte helt enkelt och vi har därför anlitat en säkerhetskonsult med erfarenhet på området, säger Bo-Göran Andersson, informationssäkerhetssamordnare i Malmö.

Snart kommer regeringens lagrådsremiss om en ny säkerhetsskyddslag, vilket medför att nya krav på kommunerna kommer att ställas.

Fakta
Säkerhetsskyddsklassade uppgifter

Uppgifter som av hänsyn till rikets säkerhet bör hållas hemliga. Det kan bland annat handla om att minska risken för sabotage, terrorism och spioneri.

 Vad som är skyddsvärda uppgifter kan variera beroende på vilka skyddsobjekt som finns i kommunerna. Det som är skyddsvärt kan också förändras över tid.

 I förslaget till en ny säkerhetsskyddslag föreslås att begreppet vidgas och kompletteras med termen säkerhetskänslig information. Den kan till exempel omfatta hela register, där enskilda uppgifter är offentliga men som sammanställda kan hota Sveriges säkerhet.

Det här är en nyhetstext från Dagens Samhälle. Dagens Samhälle står oberoende från organisationer, partier, religioner och särintressen. Vi värnar pressetikens regler, det kritiska tänkandet och konsekvensneutraliteten. Det vi publicerar ska vara sant, bekräftat och präglas av kvalitet och trovärdighet.

Publicerad: 5 oktober 2017 kl 00:10
Uppdaterad: 13 oktober 2017 kl 09:38