­Tomas Devenyi: ”Det krävs ett uppvaknande och det är det vi ser nu”

SÄKERHETSSKYDD Kriget i Ukraina och det ryska kärnvapenskramlet lämnar ingen oberörd. I kombination med cyberattacker, oidentifierade drönare och misstankar om utländskt spionage har säkerhetsskyddsfrågorna flyttat högst upp på samhällsagendan. För att skydda Sverige krävs strategi, handlingskraft – och rätt kunskaper. 

Syret är slut. 

Den öppna dörren rår inte på värmen som alstras från både surrande datorer och dagens adepter som gör sig redo inför utbildningspasset. Tomas Devenyi, mångårig kursledare för SSF Stöldskyddsföreningen, greppar eftermiddagens sista kaffekopp och kör igång.

Deltagarna i rummet befinner sig på andra utbildningsdagen. 

Om allt går enligt plan kommer de snart titulera sig diplomerade säkerhetssamordnare; redo att greppa tag i de viktigaste säkerhetsfrågorna på sina arbetsplatser. Det är en onsdag i april och runt de svenska fikaborden de senaste veckorna har det säkerhetspolitiska läget dominerat de flesta samtal. Och det råder ingen tvekan om att diskussionen behövs. 

– Det har varit en enorm naivitet i samhället, på alla plan. Det kan man inte beskylla något parti för utan det har funnits bred konsensus om vart vi ska gå. Det krävs – och det är det som har hänt nu också – ett uppvaknande,

konstaterar Tomas Devenyi. 

Högre kompetens A och O för att konkretisera säkerhetsskyddet

Den 1 april 2019 trädde den nuvarande säkerhetsskyddslagen i kraft och i december 2021, det vill säga innan Rysslands attack mot Ukraina, skärptes lagen ytterligare.

– Det räcker inte att bara lagstifta och skärpa kraven, säkerhetsskyddsarbetet måste ske på riktigt. Utöver att vissa moment måste övas praktiskt måste även den allmänna säkerhetsmedvetenheten öka. Utbildning är ett viktigt steg på vägen mot det. Hos de säkerhetsskyddsansvariga måste den konkreta kompetensen öka i ännu högre grad: man behöver förstå inte bara hur lagar ska tolkas, utan även hur de praktiskt ska tillämpas. Vilka krav är det som ställs på mig, hur ska detta praktiskt genomföras? På de här områdena finns en stor kompetensbrist. 

Mot bakgrund av de senaste månadernas intensiva diskussioner är det paradoxalt nog också lätt att invaggas i falsk trygghet. Känslan av att någon högre upp förstår. Politiker som tar frågan på allvar och gör vad som krävs. Säkerhetsskyddet börjar och slutar dock med oss alla, på individnivå. Vem släpper du egentligen in på kontoret? Vem sa du lite för mycket till om ditt senaste projekt? Och var det verkligen så bråttom att få igång konsulterna att det var nödvändigt att ge dem fullständig access till servern?

Seriös säkerhetsprövning – inte alltid en självklarhet

Transportstyrelsen. 1177. Svenska kraftnät. Historiskt saknas det inte exempel på allvarliga säkerhetshaverier och incidenter i Sverige. När till exempel Transportstyrelsen presenterade sin utredning över säkerhetshaveriet var slutsatserna dessutom värre än vad många befarat: säkerhetsklassad information rörande rikets säkerhet och försvaret mot terrorism var att betrakta som röjd. 

Ur rapporten framgick bland annat att drygt 80 it-tekniker utan svensk säkerhetsklassning haft tillgång till Transportstyrelsens system i 29 månader. Enligt tidigare uppgifter skulle enbart cirka 20 personer haft tillgång till registren. I fallet med Svenska kraftnät bröt man mot regeringsbeslut. Höga chefer gavs tillgång till hemliga uppgifter och känsliga it-system utan att de var ordentligt säkerhetsprövade. 

Tomas, som på fredag ska iväg för att hålla en utbildning i säkerhetsskyddad upphandling, är inte förvånad. 

– Som säkerhetsskyddschef gäller det att implementera säkerhetsskyddet fullt ut. Incidenter och skador som uppstår har dels med brist på kompetens att göra, men också att man inte har tagit frågan på fullt allvar. Ytterligare en faktor är sådant som faktiskt inte fullt ut regleras i lagen

Han exemplifierar med hur det går till när myndigheter upphandlar från privata aktörer. 

Vid ett förfarande kring en säkerhetsskyddad upphandling ska leverantörens personal som ska delta i uppdraget säkerhetsprövas. Ofta läggs ansvaret för genomförandet av säkerhetsprövning på leverantören själv.

Uppdragen rör sig ofta i miljonklassen vilket väcker frågor om hur tillförlitlig en sådan säkerhetsprövning egentligen är. 

Kommer företag X verkligen att diskvalificera sig själva från affären ifall det framkommer att berörd personal inte uppfyller kraven på pålitlig lojalitet eller sårbarhet? 

Med många års erfarenhet av säkerhetsskydd har Tomas vid det här laget sett och hört det mesta. En del erfarenheter lämnar dock en del övrigt att önska. 

– Kopplat till säkerhetsprövning är det inte ovanligt att man lämnat fram frågeformuläret till intervjupersonen så att han själv får fylla i det: ”Har du druckit, umgås du med kriminella? Nej. Hur ser din ekonomi ut? Jamen, den är bra”. Det är ju inte en säkerhetsprövning. 

Han poängterar att i de flesta fall rör det sig inte om ren illvilja eller ont uppsåt. Resurs- och kompetensbrist är oftast de bakomliggande faktorerna. I det säkerhetspolitiska läge som råder finns dock inte utrymme för vare sig naivitet eller ursäkter. 

– Säkerhetsskydd är byråkratiskt. Det innebär att det kanske tar lite längre tid att genomföra ett besök, utföra en upphandling eller bara förse en konsult med ett dokument. Och ja: säkerhetsskydd kostar, men om vi tycker att Sveriges säkerhet är viktig så måste vi också betala för den. 

Faktaruta

Aktuell: Som kursledare för flera av SSF Stöldskyddsföreningens utbildningar inom säkerhet och säkerhetsskydd: SSF Säkerhetschef, SSF Säkerhetssamordnare, Säkerhetsskyddsavtal i praktiken, Säkerhetsskydd – fördjupning, Kamerabevakning, Säkerhetsprövningsintervju. Säkerhetskonsult på Ancoris Security. 

Bor: Stockholm
Fritid: Segling, sjöliv, resa, konserter
Lyssnar på: Rammstein
Ett säkerhetstips: Var sunt paranoid men glöm inte att vara sund.