Jag har under ett decennium skrivit om risken för att det går inflation i användningen av säkerhetsskydd, nedan en handfull av de många texter så att jag inte behöver upprepa alla synpunkter och argument ytterligare en gång.
Fia Ewald
Fia Ewald
Fia Ewald
Fia Ewald
Fia Ewald
Tyvärr tyder många tecken på att tendensen gått åt det håll jag förutspådde och efter att vi spelade in en podd om hur det gått sedan lagen infördes har jag fått ett antal mejl och samtal som stärkt denna uppfattning. Även bland de som till skillnad mot mig dagligen arbetar med säkerhetsskydd är bekymrade över otydligheten i lagen och hur den tillämpas på ett överdrivet sätt.
Ett par mycket sansade personer har tagit upp vad jag skulle säga ett praktexempel på företeelsen, jag skulle vilja kalla det ett exempel på när det gått hyperinflation i säkerhetsskydd. Dessutom med vad jag skulle kalla direkt felaktiga tolkningar av lagen.
Det handlar om Statens servicecenter (SSC) som under ett antal år på ett mer eller mindre lyckat sätt skött uppdraget att "tillhandahålla administrativa tjänster till myndigheter, och lokal statlig service till medborgare och företagare". Jag ska inte här gå in på hur man lyckats skyffla över uppdraget att tillhandahålla lokal statlig service till folkbiblioteken utan i stället koncentrera mig på den första delen, att serva de statliga myndigheterna med administrativa tjänster. Eller serva och serva, de statliga myndigheterna är i praktiken ålagda att använda SSC:s tjänster för ekonomi och lön bland annat. Detta alldeles oavsett om den enskilda myndigheterna anser att det är ekonomiskt, kvalitativt eller säkerhetsmässigt förmånligt. SSC sitter alltså på ett de facto-monopol gentemot flertalet statliga myndigheter. Med en sådan position följer ett enormt ansvar i förhållande myndigheterna och i förhållande till hur våra skattekronor ska förvaltas på bästa möjliga sätt.
Kanske är det den här maktpositionen som stigit SSC åt huvudet när man nu gått ut i informationsmöten angående sin HR- och lönestjänst Primula till sina "kundmyndigheter". Citationstecknen eftersom de knappast behandlas som kunder utan som undersåtar. Under informationsmöten har SSC meddelat att man kommit fram till att Primula används inom "säkerhetskänslig" verksamhet och därmed ska kunderna skriva på säkerhetsskyddsöverenskommelser (motsvarande säkerhetsskyddsavtal för privata aktörer). Man beskriver också i sin presentation ett antal tvingande säkerhetsskyddsåtgärder som ska tillämpas i tjänsten.
Samtidigt skriver man i ett Frågor- och svar-dokument som distribuerats:
Vi känner inte till någon kundmyndighet som vid anslutningen har bedömt att lönehanteringen utgör säkerhetskänslig verksamhet och därmed är verksamhetsutövare enligt säkerhetsskyddslagstiftningen. Statens servicecenter är däremot en beredskapsmyndighet och därmed skyldiga att leverera våra tjänster även vid kris och krig.
SSC menar alltså på ett något dunkelt sätt att i och med att man utpekats som beredskapsmyndighet gör att man helt plötsligt inte är leverantör utan att kundmyndigheterna deltar i SSC:s verksamhet:
Statens servicecenter är däremot en beredskapsmyndighet och därmed skyldiga att leverera våra tjänster även vid kris och krig. Vi är därför verksamhetsutövare enligt säkerhetsskyddslagen och behöver teckna en säkerhetsskyddsöverenskommelse med er, eftersom ni deltar i vår säkerhetskänsliga verksamhet.
Konsekvenserna av SSC:s ensidiga beslut (man tycks inte ha haft något samråd med kundmyndigheterna) är att man går in i andra myndigheters verksamhet och påtvingar dem ett för dem omotiverade säkerhetsåtgärder. Omotiverade eftersom det INTE är kundmyndigheterna som är en säkerhetskänslig verksamhet utan SSC själva (även detta tveksamt i fallet Primula). Observera att det är kundmyndigheternas ansvar att betala ut lön m.m., inte SSC:s. Alla som arbetat med kontinuitetshantering vet att löneutbetalningar är en process som kommer upp tidigt som viktig att kunna upprätthålla men att man lika snabbt kommer fram till alternativa lösningar för att klara detta. Till exempel genom att be aktuell bank betala ut samma löner som förra månaden. I detta spelar SSC mycket liten roll liksom vid den krigsplacering som omnämns som en viktig faktor, den sköts av Plikt- och prövningsverket tillsammans med Försvarsmakten alternativt bemanningsansvariga myndigheter.
Resultatet av förvirringen är att vips har SSC på egen hand gjort att en stor del av den statliga förvaltnings administration ska behandlas som säkerhetskänslig verksamhet enligt säkerhetsskyddslagens definition.
Det är litet som om svansen skulle vifta med hunden när en tjänsteleverantör går in och styr över kundernas verksamhet. Förutom att effektivitetsmässiga och demokratiska aspekter starkt kommer att påverkas genom att man är tvungen att använda säkerhetslösningar man inte bett om så berättar SSC att man dessutom kommer att höja priset på tjänsten:
Fråga 20: De tekniska säkerhetsskyddsåtgärderna som ni beskriver som kommer börja gälla i och med förlängningsavtalet är väldigt dyra åtgärder. Hur påverkar det oss som kunder?
Svar: Vi har tidigare informerat om en generell ökning av avgifterna på 5%. Vi håller samtidigt på med ett stort arbete med ompaktering av våra tjänster och i samband med det tittar vi även på en ny avgiftsmodell och nya avgifter. Mer information om det här arbetet kommer.
Löftet om minskade kostnader och ökad effektivitet som fanns i den ursprungliga utredningen när SSC bildades har hittills aldrig uppfyllts. Nu tycker man sig uppenbarligen vara i en situation där man inte ens behöver diskutera leverans och pris med sina kunder, man bara meddelar vad som gäller.
Vad står näst på tur för SSC? Varför skulle inte samma vingliga resonemang som man presenterat gällande Primula gälla för övriga tjänster som SSC tillhandahåller? Om myndigheten fortsätter på det här sättet är snart att den statliga förvaltningen tvungen att implemetera säkerhetsskydd på sin hela administration. Med SSC:s synsätt går säkerhetsskydd från att vara undantaget som ska tillgripas när Sveriges säkerhet står på spel (alltså ett mycket högt krav) till att bli normalläget. Det tror jag knappast någon vettig människa ser som önsvärt om man betänker vad det innebär i praktiken.
Är det inte här någonstans SSC:s idoga säkerhetsmänniskor börjat få sig en liten tankeställare? Har man överhuvudtaget utrett att se Primula som ett samhällsviktigt system istället för ett säkerhetskänsligt och använda cybersäkerhetslagen som stöd för sitt säkerhetsarbete? Då skulle man ju dessutom kunna börja med annat än enbart antagonistista hot vilket väl är en ganska rimlig utgångspunkt.
Jag hoppas ett antal generaldirektörer på kundmyndigheterna sätter sig ner och noggrant funderar över vad det här betyder innan man skriver på den utskickade säkerhetsskyddsöverenskommelse. När man får ständiga propåer om att hyvla ner kostnaderna för kärnverksamheten är det en mycket dålig deal satt samtidigt få starkt ökade kostnader för säkerhetsåtgärder man inte har behov av.
