Den senaste tidens förändrade omvärldsläge innebär ett ökat hot mot svenska myndigheter och företag. Men att skydda verksamheter på rätt sätt kräver ett helhetsperspektiv och en grundlig analys.
Säkerhetsskydd utgör en mycket viktig del i det svenska totalförsvaret. Våra grundläggande samhällsfunktioner behöver skydd mot sabotage, terrorism, spionage och andra hot, som exempelvis organiserad brottslighet. Och det på flera sätt. Utöver det uppenbara fysiska skyddet av anläggningar och fastigheter så kräver förstås även IT-systemen skydd. Och de personer som finns i samhällskritiska organisationer behöver genomgå en säkerhetsprövning.
– Det är en utmaning som kräver ett helhetsperspektiv. Det är lätt att det blir stuprörstänkande om man bara ser till cybersäkerhet fysisk säkerhet. Skyddet måste vara heltäckande. En sak som många missar är ledarskapet. Det spelar ingen roll om man har svart bälte i informationssäkerhet, om man inte vet hur arbetet ska styras och ledas, säger Elias Tapper som är vd för företaget Fortify Security.
Foto: Privat
En grundlig analys är avgörande
Fortify jobbar med att genomföra säkerhetsskyddsanalyser av kunder vars verksamheter är samhällsviktiga, och ibland även kan klassas som samhällskritisk verksamhet. Det handlar om grundliga genomgångar av både verksamheten och det eventuella skydd den redan har. Analysen är central för att en organisation ska kunna vidta rätt säkerhetsskyddsåtgärder. Det handlar om att göra rätt saker på rätt sätt, att hitta rätt nivå.
– Det händer ofta att våra uppdragsgivare har vidtagit mängder av åtgärder, men att de inte hänger ihop och att det saknas en röd tråd. Man har tagit i både för mycket och för lite. Vi tittar på vad som är det skyddsvärda och vilka behov som finns. Vi bedömer vilka konsekvenser det skulle få för Sverige om till exempel IT-systemen komprometteras. Om vi anser att det skulle leda till minst en ringa skada för Sveriges säkerhet så går vi vidare med att se över hotbilden, förklarar Elias Tapper.
En närmare analys av sårbarheten är nästa steg. Här tittar Fortify på vilka säkerhetsskyddsåtgärder som finns redan idag, och vad som saknas.
– Kanske finns redan lås, larm, kameror och cybersäkerhetsåtgärder, men personalen är däremot inte kontrollerad. Då måste det ske en säkerhetsprövning.
Bedriver du samhällskritisk verksamhet?
Elias Tapper menar att det finns både företag och myndigheter som under flera år inte riktigt har förstått sin roll inom totalförsvaret och därmed inte vidtagit tillräckliga säkerhetsskyddsåtgärder, men att dagens hotbild är så påtaglig att det nu är oundvikligt.
– Om man bedriver en säkerhetskänslig verksamhet måste man idag ställa sig frågan om man vill riskera Sveriges säkerhet. Då blir det plötsligt väldigt stort. Är man en bricka i totalförsvaret och sårbarheten är hög så ser det inte heller bra ut för varumärket.
Det händer även ibland att Fortify gör en säkerhetsskyddsanalys som visar att det inte handlar om samhällskritisk verksamhet.
– Då är det ett skönt kvitto att få. Att man vet att en extern part har gått igenom och analyserat hela verksamheten. Vi är en liten aktör, men pålitliga och lojala och sätter kvalitet främst.
Fortifys primära nisch är stora samhällskritiska verksamheter. Men företaget hjälper även mindre kunder, och samarbetar gärna med andra företag. Till exempel cybersäkerhetsföretag och andra aktörer på säkerhetsområdet. Fortify är även ISO 9001-certifierade.
Om vi anser att det skulle leda till minst en ringa skada för Sveriges säkerhet så går vi vidare med att se över hotbilden.
Elias Tapper.