I Säpos årsbok för 2015 anges att ”Många länder bedriver underrättelseverksamhet i och mot Sverige eller svenska mål utomlands. Detta görs för att få tillgång till information och teknologi. Andra stater försöker också påverka Sveriges politiska beslutsfattande exempelvis genom att försöka vinna upphandlingar hos bland annat svenska myndigheter.”
Det kan vara svårt att täta de säkerhetshål som skapas när den digitala förändringstakten är hög. Ylva Söderlund arbetar med tillsyn och rådgivning på enheten för säkerhetsskydd hos Säpo. Hon berättade på SKL Kommentus årsstämma hur man kan förhålla oss till de säkerhetsrisker som uppstår och skydda sig mot illvilliga krafter.
Enligt henne kan dåliga säkerhetsrutiner få som konsekvens att obehöriga kan få del av information som inte angår dem.
– I fel händer kan sådan läckt information missbrukas och i förlängningen skada hela samhället.
Första steget för att komma igång med säkerhetsskyddsarbetet är att göra en ordentlig säkerhetsanalys. Där ska man kartlägger den egna verksamheten och identifiera möjliga säkerhetshål.
– Lär er sedan göra en sådan säkerhetsanalys för varje upphandling där ni också inkluderar leverantörer och underleverantörer. Det behöver inte vara så tidskrävande som det låter om man bara får in en fungerande rutin, säger Ylva Söderlund.
Hon säger att en ofta förekommande säkerhetsrisk är att inte notera att det finns känslig verksamhet inom ett område.
– Det som vid första anblicken kan verka som en banal produkt eller tjänst i ett ramavtal kan fortfarande vara känslig om kundens verksamhet är det. Exempel på information som kan bli känslig i vissa sammanhang är rent administrativa uppgifter eller ekonomiska transaktioner som skulle kunna utnyttjas på ett skadligt sätt, säger Ylva Söderlund.
En annan risk Ylva Söderlund lyfter fram är att bortse från gömda funktioner som till exempel IT-personal och backoffice som hanterar mycket information.
– Ligger IT-supporten inom verksamheten eller är den outsourcad till ett annat företag eller kanske till och med ett annat land? I så fall riskerar information att spridas i flera led utanför den egna organisationen utan att man kanske ens har reflekterat över det.
Till sist är det också vanligt att ha dålig koll på underleverantörerna.
– Även om du vet att den leverantör du tecknar avtal med uppfyller ställda säkerhetskrav är det inte säkert att dennes underleverantörer gör det, säger Ylva Söderlund.
Kommentatorerna ansvarar för sina egna kommentarer