tisdag 22 januari 2019

Hemlig/Restricted?

Den gångna helgen tillbringade jag med utbildning i IS HV.

Nytt informationssystem till Hemvärnet
Informationssystem Hemvärn (IS HV) är en ny förmåga och del av Ledningsstödsystem till hemvärnsförbanden (LSS HV). Projektet har till uppgift att utveckla informationssystemet, anskaffa materiel, utbilda personal och överlämna konfigurerade och driftsatta system till hemvärnets bataljonsstaber och kompanistaber. För en bataljonsstab består systemet av mikronätverk med ett antal klientdatorer anslutna till en server med olika nyttoapplikationer. I leveransen ingår även kringutrustning som skrivare och projektorer. Funktionalitet finns bland annat för att producera orderverk och följa upp verksamhet med tablåer. Vidare finns kartstöd och verktyg för att föra gemensam taktisk lägesbild i staben. Säkerhetsfunktioner i systemet är dimensionerade för att hantera information upp till H/R. Systemöverlämning påbörjades 2016 och slutfördes under 2017. Materielöverlämning av driftsatta system till 21 bataljoner med 75 underställda kompanier har genomförts under hösten 2017. 
(FMV)

Jag har fått en mycket positiv bild av IS HV, och av dess säkerhetsfunktioner. Jag blev dock lite tveksam när det gällde vad informationssäkerhetsklass H/R egentligen innebär. I dag var jag så, i mitt civila arbete, på en utbildning kring den nya Säkerhetsskyddslagen. Med denna lag, som träder i kraft 1 april 2019, införs följande säkerhetsskyddsklasser för uppgifter:

2:5 Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande: 
   1. kvalificerat hemlig vid en synnerligen allvarlig skada, 
   2. hemlig vid en allvarlig skada, 
   3. konfidentiell vid en inte obetydlig skada, eller 
   4. begränsat hemlig vid endast ringa skada.

Motsvarande beskrivning av informationssäkerhetsklasserna enligt Försvarsmaktens föreskrifter om säkerhetsskydd är:

HEMLIG/TOP SECRET
1. Hemliga uppgifter vars röjande kan medföra synnerligt men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet (kvalificerat hemliga uppgifter).
2. Hemlig handling som har åsatts beteckningen TOP SECRET eller motsvarande av en utländsk myndighet eller en mellanfolklig organisation.
HEMLIG/SECRET 
1. Hemliga uppgifter vars röjande kan medföra betydande men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet.
2. Hemlig handling som har åsatts beteckningen SECRET eller motsvarande av en utländsk myndighet eller en mellanfolklig organisation.
HEMLIG/CONFIDENTIAL
1. Hemliga uppgifter vars röjande kan medföra ett inte obetydligt men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet.
2. Hemlig handling som har åsatts beteckningen CONFIDENTIAL eller motsvarande av en utländsk  myndighet eller en mellanfolklig organisation.
HEMLIG/RESTRICTED
1. Hemliga uppgifter vars röjande kan medföra endast ringa men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet.
2. Hemlig handling som har åsatts beteckningen RESTRICTED eller motsvarande av en utländsk myndighet eller en mellanfolklig organisation.

Betydelserna är om inte identiska så åtminstone likartade och för nivån H/R handlar det om uppgifter vars röjande kan medföra endast ringa skada eller men. Regeringen skriver i propositionen:

rekvisitet ringa skada får anses väl etablerat i svensk lagstiftning i övrigt

Barnaga som orsakade ringa skada var inte straffbar innan 1957 osv. Ett exempel från den nu aktuella lagen på vad nivån H/R innebär är att nivån är så låg att de som i sin anställning hanterar sådana uppgifter inte behöver placeras i säkerhetsklass.

Hur tänker man sig då att Hemvärnet ska använda detta system för att "föra gemensam taktisk lägesbild i staben". Ifall denna taktiska lägesbild under pågående insats innehåller uppgifter om eget förbands grupperingar, bedömning av motståndarens styrka mm mm så har jag mycket svårt att se att ett röjande endast skulle medföra ringa skada eller men.

Jag tvivlar inte på systemets säkerhetsfunktioner men jag får känslan av att IT-leverantören vill vara på säkra sidan när det gäller dimensioneringen vilket innebär att man lämnar användaren med ett stort ansvar att inte lägga in uppgifter som har högre nivå än H/R. Min bedömning är att detta lämnar Hemvärnet med alternativen att endera sätta fel informationssäkerhetsklass på uppgifter (H/R istället för H/C / H/S) eller att endast använda IS HV vid stöd till det civila samhället.

3 kommentarer:

  1. Bra Analys!
    IT-leverantören kan leverera H/C, H/S system men FM har bara beställt ett H/R system.

    En som vet!

    SvaraRadera
    Svar
    1. Tack för din kommentar. Vad beror det på att FM bara beställt H/R-system? (Pengar?) Min lekmannabedömning är att systemet borde kunna hantera högre klassade uppgifter.

      Radera
  2. Högre särklass får andra konsekvenser, personalens säkerhetsklass, hur utrustningen ska förvaras, hur lokalen är utformad med insyn, skalskydd etc. I grunden kan man då säga att problemet är brist på resurser, läs pengar!

    SvaraRadera