2020-03-23 14:10

Hemarbete inom säkerhetsområdet kan ge konfidentialitetsproblem i Coronatider

Fler och fler väljer, eller blir beordrade, att arbeta hemifrån och att inte fysiskt delta i möten och andra sammankomster. Detta är ofta problematiskt i säkerhetsbranschen då förtroende och interaktion mellan olika parter är grundläggande för ett gott säkerhetsarbete, inte minst då tänkta möten inkluderar människor som man inte tidigare träffat eller bara träffat i begränsad omfattning.

Tekniker som anges av olika arbetsgivare som alternativ till fysiska möten inbegriper bland annat Teams, Skype, olika former av webinar och andra onlinetjänster för att dela information under mötesliknande former i onlinemiljöer. Detta kan vara en väl fungerande lösning för hantering av proprietär information, vardagliga ärenden m.m.

När det gäller säkerhetsskydd så finns det andra saker att ta hänsyn till än bara hur verkningsfull den valda tekniken är. I säkerhetspolisens föreskrifter om säkerhetsskydd PMFS 2019:2 kan man i 4 kap. 20-21 §§ utläsa följande:

20 § Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller konfidentiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.

21 § Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
Informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, ska tillåta endast envägskommunikation vid import respektive export av data. 

Vidare kan man i säkerhetsskyddsförordningen (2018:658) 3 kap. 5 § utläsa:

5 § Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

Mot bakgrund av ovan nämnda reglering står det klart att man inte kan utnyttja Teams, Skype, olika former av webinar och andra onlinetjänster för att dela information som faller inom säkerhetsskyddet. Detta gäller oavsett om informationen delas textuellt, exempelvis i form av dokument, eller om det rör sig om talad information.

Det får i detta sammanhang även anses klarlagt att i dessa tider av ökad aktivitet vad gäller informationsdelning med stöd av onlinetjänster så är hotbilden mot sådan informationsförmedling större än någonsin. En antagonistisk aktör har nu mycket stora möjligheter att tekniskt inhämta information genom spionage på sådana tjänster och sannolikheten att därigenom få tag på skyddsvärd information ökar naturligtvis eftersom det inte finns gångbara alternativ till sådan kommunikation tillgänglig för den stora massan av verksamhetsutövare.

Sammanfattningsvis kan följande konstateras. Information som utgör säkerhetsskyddsklassificerade uppgifter, oavsett säkerhetsskyddsklass, får inte kommuniceras via onlinetjänster. För all övrig information så är det verksamhetsutövaren själv som beslutar om vad som får eller inte får kommuniceras via sådana tjänster. Det är härvid starkt rekommenderat att göra en riskbedömning kopplat till sådan informationsdelning sett mot vilken skada verksamhetsutövaren eller övriga delar av samhället kan lida vid ett otillbörligt röjande.

Arkiv