Riksrevisionens granskning visar att flera myndigheter är sårbara för infiltration
I februari rapporterade Riksrevisionen, genom granskningsrapporten ”Infiltration i staten”, att tre myndigheter som ligger i riskzonen för att utsättas för infiltration uppvisar allvarliga brister kopplat till deras säkerhetsskyddsarbete. De myndigheter som granskats är Försvarets materielverk, Kriminalvården och Kammarkollegiet.
Främst rör kritiken deras förmåga att förebygga, förhindra och upptäcka infiltration. Den bild som målas upp tyder på en svag säkerhetskultur där styrningen inte omsätts i praktiken.
I Wilhelm Agrells bok Moskvas spioner, utgiven 2024, kan man läsa ett uttalande från överste Stig Wennerström, en av Sveriges mest välkända spioner, gällande anledningen till att han valde att läcka hemlig information till Sovjet. I boken kan man även läsa, citat:
”I hans erkännande sakades enligt utredarna det avgörande elementet, hållhaken som fått den lojale nitiske flygvapenofficeren att svika sina kamrater, sin försvarsgren och sitt land. Om det gick så lätt borde det vimla av förrädare inom försvaret och statsapparaten.”
”Hur kunde en person med Wennerströms intelligens och kunskapsnivå gå så rakt i armarna på den sovjetiska underrättelsetjänsten?”
Wennerström förklarade att han ”var helt enkelt tvungen”. Anledningen till detta var att Flygvapenchefen Nordenskiöld uttryckligen hade sagt att Wennerström inte dög till att bli flottiljchef. Den fortsatta karriären var därmed stängd.
Forskning visar att besvikelse är en vanligt förekommande anledning till att medarbetare väljer att begå illojala handlingar mot sin arbetsgivare. I SRI:s årsböcker – där hundratals globala närtida insiderfall har analyserats – kan man även läsa att insidern oftast är en person som har arbetat i en verksamhet i över 12 månader och ofta har mandat och access i sin befattning.
”På SRI välkomnar vi Riksrevisionen granskning av de tre myndigheterna. Det har så klart inte undgått någon att omvärldsläget är idag mycket allvarligt och både myndigheter, offentlig sektor och privata företag behöver göra allt vi kan för att skydda oss. Det är ett gemensamt ansvar.
Just nu släpper svenska och utländska säkerhetstjänster sina årsböcker, och även där beskrivs säkerhetsläget i skarpa ordalag – i många fall också betydligt mer tydligt och transparent än tidigare års beskrivningar.
I Musts årsrapport skriver man exempelvis både om det allvarliga säkerhetsläget och man benämner specifikt Ryssland som den dimensionerande hotaktören och man trycker särskilt på personalsäkerhetens betydelse,” säger Anders Selvehed, VD på SRI.
Bland den kritik som listas i rapporten återfinns brister inom följande områden:
- Riskidentifiering
- Säkerhetsskydd
- Uppföljning
- Riskmedvetenhet
- Uppföljande säkerhetsprövningar
Detta leder till att effektiviteten i att motverka infiltration är begränsat. Den myndighet som kommit längst i sitt säkerhetsarbete är FMV.
Enligt Riksrevisionen har de ett relativt väl utvecklat arbete med en tydligt utformad plan för säkerhetsskyddsanalys, riskhantering och uppföljning. Kammarkollegiet å andra sidan uppges sakna ett systematiskt säkerhetsarbete. De saknar även stöd och strukturerade rutiner för att genomföra ett effektivt arbete mot infiltration i praktiken.
Det faktum att Kammarkollegiet är den organisation som uppvisar flest brister av de granskade myndigheterna är sannolikt ett resultat av att de har lägst andel säkerhetsklassad personal.
Det framgår av rapporten att personalsäkerhetsarbetet behöver bli en integrerad del av verksamheten, från hur ledningen styr organisationen till rutiner i det vardagliga arbetet. För närvarande framgår att säkerhetsarbetet får begränsat med genomslagskraft i myndigheten.
En allvarlig brist hos samtliga myndigheter rör de uppföljande säkerhetsprövningssamtalen. Enligt Riksrevisionens bedömning ställs få eller inga frågor kopplat till kritiska områden, vars svar hjälper oss att bedöma sårbarheter hos den anställde.
Resultatet framgår av deras enkätundersökning, där flera anställda uppgett att de inte fått frågor kopplat till deras privatekonomi, hållhakar, beroenderelationer, social exponering och karriärbesvikelser. Det leder till en förhöjd risk för att sårbarheter inte identifieras och illojalt beteende inte upptäcks i tid.
Bristande kunskap om uppföljande säkerhetsprövning skapar förutsättningar för personalrelaterade incidenter
Chefer som genomför säkerhetssamtalen saknar generellt kunskap om hur dessa samtal ska genomföras. Resultatet innebär att det finns ett behov av att strukturera den uppföljande säkerhetsprövningsprocessen på ett sätt som möjliggör identifieringen av potentiella säkerhetsrisker.
Såsom samtalen ser ut i dagsläget bidrar de inte nämnvärt till att förebygga och förhindra infiltration. I och med att flera fall av infiltration under senare år drabbat offentlig verksamhet, behövs det en strukturerad plan som också efterföljs. Det är ledningens ansvar att se till att säkerhetsarbetet blir en naturlig del av verksamheten.
”Det är särskilt viktigt att understryka att säkerhetsrisker inte är statiska. En medarbetare som vid anställningstillfället bedöms vara lojal och pålitlig kan över tid utveckla sårbarheter.
Dessa kan uppstå till följd av exempelvis ekonomiska svårigheter, personliga kriser, missnöje, beroendeställningar, social exponering eller otillbörlig påverkan. Sådana sårbarheter kan utnyttjas av antagonistiska aktörer och leda till att en tidigare betrodd medarbetare utvecklas till en insider. Det är inte anmärkningsvärt att myndigheterna får denna kritik, utan det var nog helt väntat.
Det som är anmärkningsvärt är att de tillsynsmyndigheter som ansvarar för efterlevnaden av den svenska säkerhetsskyddslagen inte utövat mer tillsyn, då jag tror det är det som behövs för att arbetsgivare som lyder under lagen faktiskt ska veta vad som förväntas av dem,” säger Pierre Gudmundson, senior rådgivare inom personalsäkerhet på SRI.
Bristande grundkunskap om säkerhetsskyddsfrågor och hotaktörer skapar grogrund för insiders och infiltration
Ytterligare en brist som tas upp i granskningsrapporten rör kunskapsnivån hos personal. Det framkommer att flertalet medarbetare i samtliga myndigheter brister i kunskap vad gäller påföljder vid regelavvikelse och åtgärder för att motverka infiltration.
Personalen tillfrågades om de har vetskap om att det finns en visselblåsarfunktion på arbetsplatsen. Resultatet visade att främst Kriminalvården, men även FMV uppvisade brister i rapporteringsvägar. Det riskerar leda till attviktig information inte kommer till chefers kännedom.
Sammanvägt kan bristerna som identifierats hos vissa myndigheter leda till att kritiska säkerhetsluckor skapas och därmed ökar riskerna för konsekvenser på individuell, organisatorisk och nationell nivå.
Konsekvenserna kan innebära att röjda uppgifter röjs för såväl kriminella som främmande makt. Information kan som resultat även förstöras eller förvanskas, samt orsaka störningar i säkerhetskänslig verksamhet. Utöver omfattande kostnader för samhället riskerar det även att skada säkerhetsskyddet.
Omvärldsläget medför att personalsäkerhet måste ges högre prioritet
Omvärldsläget präglas av hög osäkerhet och hotet från främmande makt är påtagligt. Bristerna hos dessa myndigheter öppnar upp för säkerhetsluckor som antagonistiska aktörer kan utnyttja. Underrättelsehotet mot Sverige är betydande och vi vet med oss att främmande makt arbetar hårt för att infiltrera kritiska verksamheter.
Säkerhetsläget har under flera år varit allvarligt, vilket medför att personalsäkerheten måste ges en betydligt högre prioritet.
”Jag tycker att rapporten till stora delar missar den vanligaste formen av hur risker utvecklas under anställning. Det är inte infiltration som är den mest förekommande risken, utan den största sårbarheten som hotaktörer utnyttjar är besvikna medarbetare eller medarbetare som omedvetet utgör ett säkerhetshot mot arbetsgivaren.
Jag tycker rapporten i mycket större utsträckning borde belysa att det uppföljande säkerhetsarbetet måste detektera förändrade eller uppkomna sårbarheter hos sina medarbetare. Detta ska ske genom organisationens ledare.
Rapporten borde verkligen ha en mer omfattande beskrivning av skillnaden mellan avsiktlig infiltration och hur organisationen själv, om rutiner, avsaknad av motivation, eller bara rent slarv, kan skapa insiders.
Det är därför viktigt att rent generellt tydliggöra att den vanligaste formen av infiltration inte sker genom att individer planerat söker anställning med illojala avsikter från början.
Den vanligaste formen av den här problematiken bör istället benämnas i rapporten som ”insiders” och inte som infiltration. Detta då den illojala handlingen sker under pågående anställning, genom att sårbarheter utvecklas och därefter exploateras.
Säkerhetsskyddet måste därför i högre grad fokusera på kontinuerlig uppföljning, riskbedömning och förebyggande arbete under hela anställningstiden – inte enbart vid rekryteringstillfället,” säger Stefan Kristiansson, senior rådgivare till SRI och tidigare chef för Must.
Personalsäkerheten är inte något som avslutas efter det att ett anställningsavtal tecknats, det är ett arbete som måste genomföras systematiskt under hela anställningen. Chefer måste våga ställa obekväma frågor och anställda behöver göras medvetna om orsaken till att de ställs.
Lojalitet är ett område som behöver utredas eftersom besvikelse kan utvecklas över tid. Sårbarheter behöver kartläggas och lämpligheten bedömas löpande, annars riskerar vi allvarliga konsekvenser för säkerheten.
Av de brister som tas upp i granskningsrapporten framkommer att riktlinjer för hur säkerhetsarbetet ska genomföras i praktiken varit otydliga. En slutsats som går att dra är att det funnits för lite stöd till chefer i verksamheten.
”Att värna personlig integritet och att upprätthålla ett effektivt säkerhetsskydd är inte motsatser. Tvärtom är ett väl avvägt och professionellt säkerhetsskyddsarbete en förutsättning för att skydda både individen, verksamheten och samhället i stort.
Men detta förutsätter att myndigheter fullt ut tar sitt ansvar för att identifiera och hantera risker som uppstår över tid – inte endast vid anställningens början.
Brister i säkerhetsskyddsarbetet på svenska myndigheter kan få katastrofala konsekvenser för Sverige både på kort och lång sikt.
Om dessa brister är kopplade till att myndigheter är oroade för hur ingrepp på de anställdas integritet skulle bedömas av Integritetsskyddsmyndigheten (IMY) eller om svenska myndigheter inte tycker att IMY förstår att säkerhetskänslig verksamhet kräver nära och sanningsenliga relationer mellan verksamhetens ledare och de anställda, är det verkligen av yttersta vikt att IMY tar en mer aktiv och tydlig roll och hjälper svenska arbetsgivare som sysslar med säkerhetskänslig verksamhet med detta,” avslutar Anders Selvehed.
Avslutningsvis
Det är ledningens ansvar att tydliggöra deras roll i säkerhetsarbetet och hur de förväntas arbeta med säkerhetsfrågor. Anställda behöver dessutom veta hur misskötsel rapporteras i syfte att säkerställa att inga varningstecken missas. Säkerhetsmedvetenheten måste genomsyra hela verksamheten.
I enlighet med Riksrevisionens rekommendationer behöver personalsäkerheten ges en högre prioritet och bli en integrerad del av verksamheten. Ett ineffektivt säkerhetsarbete med begränsad genomslagskraft medför betydande risker.