Minou
Hej och välkommen till 4C Strategies live podcast. Jag heter Minou Sadeghpour, är principalkonsult och Head of Public Affairs här på 4C. Syftet med våran podd är flera.
Dels så vill vi dela kunskap från interna, såväl som externa experter. Men vi vill också väcka er nyfikenhet. Idag har jag förmånen att få sitta här tillsammans med min kollega Carolina Hassel, säkerhetsskyddsexpert till lika säkerhetsskyddschef hos oss här på 4C.
Varmt välkommen hit, Carolina.
Carolina
Tack så mycket.
Minou
Kul att vara här.
Kul att du har tagit dig tid att komma hit. Carolina, jag har ju jobbat med totalförsvarsfrågor de senaste 15 åren. Men säkerhetsskyddet är ju, som jag brukar säga, the backbone av svenskt totalförsvar.
Håller du med mig om det?
Carolina
Men absolut. Det skulle jag säga att det på flera sätt är.
Såklart är inte allting inom totalförsvaret ska inte skyddas med säkerhetsskydd. Nej, det finns delar som vi måste skydda med säkerhetsskydd. Och det handlar om det som skulle kunna få konsekvenser för Sveriges säkerhet om det skulle röjas, till exempel för främmande makt.
Så det är jätteviktigt att man i tidigt skede, när man börjar med sin totalförsvarsplanering, titta på vilka delar av det här kommer vi behöva skydda med säkerhetsskydd. Till exempel, vilka kommer vi behöva säkerhetspröva i vår organisation? Vilken information måste vi säkerhetsskyddsklassificera?
Och hur ska vi bygga upp vårt fysiska skydd runt de här sakerna?
Minou
Vad skulle du säga att vi på 4C Strategies kan bidra med, eller bistå med, till våra kunder och våra organisationer som vi samarbetar med när det kommer till säkerhetsskydd?
Carolina
Men egentligen hela spektrat.
Säkerhetsskyddet är ju både brett och smalt. Men det vi verkligen kan stötta med är att göra de här genomlysningarna och titta på nu när man då kanske ska börja med sin planering eller som vill utreda om man omfattas av säkerhetsskyddslagen eller inte. Då kan vi dels stötta med att göra säkerhetsskyddsanalyserna som är själva grunden för hela det här arbetet och där man kommer fram till vilken verksamhet man har som eventuellt då berörs och omfattas av säkerhetsskyddslagen.
Så det kan vi stötta med. Och sen då om man kommer fram till att man omfattas av lagen så kan vi även stötta med de bitarna som tillkommer efter säkerhetsskyddsplan. I den är det ju att man tittar på vad man ska göra, hur man ska göra det, vem som ska göra det och när det ska vara klart.
Vi kan hjälpa att ta fram så kallade befattningsanalyser där man analyserar vilka roller och tjänster i en organisation som är föremål för säkerhetsprövningar. Men även ta fram rutiner och annat dokumentation som behövs för att kunna ha ett bra säkerhetsskyddsarbete. Det kan ju röra sig om rutiner för hur man hanterar säkerhetsskyddsklassade handlingar.
Vi stöttar även med att genomföra säkerhetsprövningsintervjuer då för de individerna som ska säkerhetsprövas. Men även titta på övriga bitar i form av det som behöver vara på plats för att kunna ha ett bra säkerhetsskyddsarbete.
Minou
Vad är den vanligaste frågan vi får när en kund kontaktar oss?
Är det en säkerhetsskyddsanalys de vill ha? Jag förstår det som att säkerhetsskyddsanalysen är basplattan.
Carolina
Ja, absolut.
Minou
Är det alltid en säkerhetsskyddsanalys kunderna behöver?
Carolina
Oftast är det det. Det har varit så.
Nu tror jag att de flesta har gjort de första säkerhetsskyddsanalyserna givet de nya kraven som kom i december 2021. Däremot så ska analysen göras om, minst vartannat år eller om man har större organisationsförändringar. Så det har de ofta av sig och vill ha stöttning med.
Men det kan även vara att man vill ha stöttning i revideringen för att titta på om man har landat rätt. För det som fortfarande är väldigt svårt och omdiskuterat är just vart går gränsen för vad som är Sveriges säkerhet? Och det är något varje verksamhetsutövare själva ska komma fram till.
Och här, till skillnad från många andra regelverk, så finns det inga gränsvärden. Det finns inget riktigt stöden att titta på. När tycker jag att min verksamhet får en påverkan på Sveriges säkerhet?
Så det måste man själv bedöma om man befinner sig inom någon av de här sektorerna som ska göra en säkerhetsskyddsanalys.
Minou
Men det ställer ganska stora krav på kunskap, förmåga och tid, tänker jag.
Carolina
Det ställer jättehöga krav.
Och man kanske också behöver förstå det vidare perspektivet av Sveriges säkerhet. Dels vad är min del i det här? Men också hur kan jag påverka kanske andra organisationer som kanske ska kunna leda till att man är av betydelse för Sveriges säkerhet?
Minou
Du nämnde de nya kraven från 2021.
Carolina
Ja.
Minou
Utan att jag ska pressa dig att analysera lagtext.
Vad betyder de?
Carolina
Det största som hände var att det tillkom det här med sanktionsavgifter och föreläggande viten. Så tillsynsmyndigheterna fick lite mer verktyg för att kunna undersöka hurvida en verksamhetsutövare omfattas eller inte, och om de har gjort rätt.
Vilket har gjort att väldigt många har börjat jobba på ett helt annat sätt med sitt säkerhetsskydd nu, för att det kan få konsekvenser för organisationerna nu. Det har det inte kunnat få förut. Och sen har man till exempel utökat vid vilka tillfällen man behöver teckna ett säkerhetsskyddsavtal.
Det är inte riktigt lika snävt som det var tidigare. Man har även flyttat fram säkerhetsskyddschefens roll. Det låg tidigare i förordningen, nu ligger det i lagen istället.
Så den har fått en större betydelse i organisationen, kan man säga.
Minou
Det säger också någonting om aktualiteten i frågorna, tänker jag. Att den rollen höjs.
Skulle du säga att det är skillnad i en offentlig verksamhet kontra en privat i vad vi, eller du, får för frågor kopplat till säkerhetsskydd?
Carolina
Nej, det skulle jag faktiskt inte vilja säga. Man brottas med ungefär samma frågor oavsett om man är en liten kommun eller om man är en stor statlig myndighet eller om man är en större privat aktör så är det ungefär samma frågeställningar man står inför.
Och det är mycket just det här. Vart går gränsen? Hur ska jag tänka runt det här?
Hur vet jag om just min verksamhet kan få en konsekvens på Sveriges säkerhet? Och det som är väldigt bra nu är att många har börjat diskutera det här i sektorerna så man pratar mycket med varandra också om man tror att vi ska landa in någonstans.
Minou
Och då får de också kunskapsutbytet.
För min nästa fråga var nämligen, men om det är svårt för dem som är i organisationen att göra bedömningen vart går gränsen för de här frågorna för oss, så behöver det ju också vara svårt för dig som expert som går in. Eller är det enklare?
Carolina
Jag tror att man kanske har sån fördel när man har jobbat med det här ett tag och även varit inne i väldigt många olika organisationer och stöttat dem.
Det är ju att man får en mycket bredare bild av, man kan dra helt andra slutsatser och göra helt andra analyser när man har den helhetsbilden som man har privilegier att få som konsult. Och att man kan använda sig av det väldigt mycket när man gör analyserna.
Minou
Okej, så du kommer egentligen in i en bredare palett.
It makes sense, tänker jag. Det känns logiskt. Vad skulle du säga att du möts av när du kommer in i en organisation som besitter med de här ganska komplexa utmaningarna?
Vart börjar du någonstans? Jag förstår att komponentens säkerhetsskyddsanalys är en del, men hur för man dialogen för att få folk med på bollen?
Carolina
Börja med ledningen.
Det måste alltid ha med sig cheferna. De måste förstå att det är de som är ytterst ansvariga för säkerhetsskyddet. Även om du har en utsatt säkerhetsskyddschef, så är det fortfarande den högsta ledningen som är ansvarig för säkerhetsskyddet.
Så det måste alltid finnas en förankring hos dem. Sen skulle jag säga att man också reder ut roller, mandat och ansvar. Så att det är tydligt vem som får fatta beslut i de här frågorna.
Vem har mandat, till exempel, om man behöver besluta om kostnader kopplade till den åtgärd vi kommer fram till. Och att man förankrar i organisationen att man påbörjar det här arbetet och att det kan komma att påverka även medarbetarna i form av kanske att de behöver säkerhetsprövas eller att vi låser vissa utrymmen som man inte kommer att ha tillgång till längre. Så att det inte blir det här ifrågasättandet sen när arbetet väl sätter igång utan man kanske börjar med, som sagt, förankring i ledning men också utbildning för dem som kommer att bli berörda så att de förstår varför det här är viktigt, varför vi gör det och på vilket sätt det kommer beröra dem i deras arbete framåt.
Minou
Det känns som att pedagogiken kopplat till säkerhetsskyddet är verkligen så centralt.
Carolina
Absolut, det är jätteviktigt.
Minou
För det har jag tänkt på, problemet med säkerhetsskyddet är ju att det är säkerhetsskydd, det rör hemliga saker.
Det har jag också tänkt på när det kommer till den offentliga debatten om säkerhetsskydd, att den kan vara lite svår att följa för att det är svårt att förstå vad det är vi ska ta fasta på här. Håller du med mig om det?
Carolina
Ja, men det tror jag.
Det vi har märkt också de senaste åren är att nu har det ju fått ganska mycket uppmärksamhet i media runt de här sakerna. Nu tycker jag att media har blivit bättre de senaste åren på hur de formulerar sig och hur de uttrycker sig och de har börjat förstå innebörden av det här. Så jag tror vi ser en förskjutning i samhället men också där vi kanske får en bredare kunskapslyft runt de här frågorna rent generellt.
Minou
Och det är ju positivt.
Carolina
Det är jättepositivt och det är också mycket lättare nu att prata med olika ledningar i de här frågorna för de har också förstått hur viktigt det är givet att det har fått lite mer medial uppmärksamhet. Vi har haft några sanktionsavgifter så det är mycket enklare att prata och förankra det här nu.
Minou
Kanske också ge lite exempel som ändå finns i offentligheten som är öppna källor. Du, apropå exempel. Finns det någonting av allt som inträffar i omvärlden och i Sverige idag som du tycker är ett typexempel på där samtalet om säkerhetsskydd har gått fel?
Det vill säga en stor händelse där man i debatten har lagt fokus på fel saker.
Carolina
Det skulle jag nog vilja säga. Jag tror att vi hade en förflyttning för några år sedan där man tyckte att allting omfattades av säkerhetsskydd helt plötsligt.
Där vi kanske landade lite för att helt plötsligt ville man säkerhetspröva all sin personal för att man inte hade gjort sin säkerhetsskyddsanalys och kanske inte tittat just på sina egna skyddsvärden och kanske inte riktigt förstått när är säkerhetsskyddsåtgärderna rätt åtgärder för att skydda det vi vill skydda. Vi kan ta exempel med elförsörjning till exempel. Där behöver man ju titta på om elen är det viktiga för er? Är säkerhetsskydd rätt åtgärder eller behöver ni också titta på kontinuitetshantering?
Om det händer någonting i Östersjön, östersjökablarna. Kan man som liten kommun skydda östersjökablarna med säkerhetsskydd eller behöver man då titta på kanske mer reservkraft för egen del och kanske säkerhetspröva de som har med reservkraften att göra? Det behöver man titta på lite.
Var är det rätt åtgärder? Återigen, jätteviktigt att man gör sin säkerhetsskyddsanalys och hittar rätt åtgärder för rätt verksamhet.
Minou
Jag tänker att det verkligen kommer tillbaka till det det blir i basplattan.
För det du säger om kan en liten kommun vidta åtgärder som skyddar östersjökablarna det känns ju väldigt oproportionerligt, ologiskt. Och då blir ju någonstans fokus på vad gör då en liten kommun i sammanhanget för att då stärka själva om exemplet med östersjökablarna upprepar sig?
Carolina
Exakt.
Minou
Eller hur?
Carolina
Ja, men precis. Och det är väl det här gifter ihop sig lite med just totalförsvarsarbetet att man tittar på hur säkerställer vi vår verksamhet och vilka olika åtgärder behöver vi vidta för att säkerställa den.
Till exempel säkerhetsskyddet det slår ju inte ut några andra åtgärder utan det är en kompletterande åtgärd du gör. Så du måste ju fortfarande jobba med ditt verksamhetsskydd du måste ju fortfarande ha en driftsäker organisation men sen kan du ovanpå det behöva vidta säkerhetsskyddsåtgärder. Men det innebär ju inte att du ska sluta med de andra åtgärderna du har gjort utan de kan samverka.
Minou
Jag tänker också att man ska se säkerhetsskyddet som ett verktyg och kanske inte ett hinder. Ibland, som lekman på området uppfattar jag att säkerhetsskyddet är stort och svårt och känns som ett hinder i dialog de dialoger jag möter. Men jag försöker tänka att lagstadgade delar som säkerhetsskydd är ju ett verktyg för organisationer.
Håller du med mig?
Carolina
Ja, dels är det kul måste jag ju säga, hade inte gjort det här i drygt ett decennium annars. Men sen, det jag möts mycket av när jag till exempel stöttar med säkerhetsskyddsanalyser det är ju att man får en sån total genomlysning av sin verksamhet.
Så även om vi kommer fram till att det inte är säkerhetsskydd här så kommer man fortfarande att upptäcka jättemycket åtgärder man behöver vidta i sin verksamhet. Så man kommer att ha jättemycket stöd av den här analysen i sitt vidare arbete, även om det inte omfattas av säkerhetsskydd. Och i de delar det omfattas så kommer vi vidta åtgärder.
Men jag tror inte man ska vara så rädd för det.
Minou
Nej. Sänka tröskeln.
Carolina
Sänka tröskeln för att faktiskt börja med arbetet.
Minou
Verkligen, jag håller verkligen med dig. Men om du skulle få göra du sa ju, jag har jobbat med det här nästan ett decennium om du skulle få göra en framtidsspaning om vi skulle ha det här samtalet om ett och ett halvt år, var tror du att frågorna kopplat till säkerhetsskydd befinner sig då?
Och vad önskar du också?
Carolina
Jag tror att vi kommer att ha hittat bättre, som du säger det här, proportionerna och vart gränserna faktiskt går. Vad är säkerhetsskydd och vad är inte säkerhetsskydd?
Jag tror att vi kommer att bli bättre på att våga göra bedömningar. Så jag tror att vi kommer att ha hittat en mer balanserad säkerhetsskydd om några år. För nu har frågorna fått fart, vi är flera experter som jobbar med de här frågorna.
Det finns en bra dialog i de här olika sektorerna, så jag tror att vi är på bra väg att hitta balansen nu.
Minou
Jag tycker det låter positivt.
Carolina
Ja, men det tycker jag också.
Det är riktigt kul att jobba med det här nu.
Minou
Det är verkligen en uppsving, tänker jag. Vad skönt att få skratta lite när man pratar om säkerhetsskydd.
Det känns ändå bra.
Carolina
Man orkar inte annars.
Minou
Nej, man orkar inte annars.
Om du skulle få avrunda med att ge tre generella tips som kan träffa alla verksamhetsområden som vi på 4C jobbar med, både offentlig och privat sektor, kopplat till säkerhetsskydd. Vad skulle det vara? Om man står på bar backe, om man behöver börja från scratch.
Carolina
Men dels kanske börjar med att titta på, befinner jag mig inom någon av de sektorerna som bör göra en analys? Och de är ju utpekade i förarbetet, till exempel. Och gör man det, då kan det vara bra i det att göra en analys.
Man kanske kommer fram till att man inte omfattas, men då har man i alla fall motiverat och gjort den bedömningen. Så det skulle jag säga, absolut. Börja med att göra analysen och titta på, omfattas jag eller inte?
Var inte rädd för att våga göra bedömningar, utan det är okej att bedöma att man inte omfattas. Det är okej att bedöma att man omfattas. Men det viktigaste är att man vågar motivera varför man gör den bedömningen.
Det är väl kanske de två viktigaste tipsen jag skulle vilja skicka med.
Minou
Jag tycker det är ett jättebra tips. Jag tänker också att de tipsen verkligen ramar in att vi alla verksamma i svenskt totalförsvar behöver släppa prestigen kopplat till frågorna och våga be om hjälp.
Tänker du också så?
Carolina
Absolut. Och våga prata med varandra om det som känns svårt.
Det är inte ett ensamarbete, utan det här är ett arbete man behöver göra som organisation tillsammans. Det här är inte ett jobb som en säkerhetschef kan göra ensam, utan den behöver ta med sig sina verksamhetsspecialister också som faktiskt vet vad konsekvensen är om elen slås ut eller att vi inte får något vatten, eller om den här leveransen av någonting viktigt inte kommer fram. Så det här är verkligen ett arbete man behöver göra tillsammans i en organisation.
Minou
Om du får avsluta med att önska någonting utav framtiden förutom att vi har kommit längre fram i, vad skulle det vara?
Carolina
Oj, vilken svår fråga.
Minou
Den bjuder jag på.
Carolina
Jag får nog fundera lite på den.
Minou
Ja, vi kanske återkommer till den under hösten.
Carolina
Ja, det får vi nog göra.
Minou
Men du Carolina, tack så jättemycket för att du har tagit dig tid att komma hit med ditt hektiska schema och delat din kunskap. Det betyder jättemycket och tack så jättemycket till er som har lyssnat.
