Bilaga 1: Aktörsexempel

Kretslopp och Vatten i Göteborg har arbetat med sin säkerhetsskyddsanalys genom ett antal workshops tillsammans med en konsult inom säkerhetsfrågor. Man kommenterar att det upplevts bra med en extern part som inte är kopplad till verksamheten och kan ställa ”rätt typ av frågor”. Endast säkerhetsklassade personer har deltagit och datorer som använts för dokumentationen har inte varit anslutna till något nätverk. Inga andra datorer eller mobiler fick finnas i lokalen. Man kommenterar att det är bra att ge utrymme för en öppen och bred diskussion, även om det mesta av verksam- heten inte omfattas av säkerhetsskyddslagen. Det behöver inte finnas något krav på att skilja mellan risk och sårbarhet. Centralt i diskussionerna har varit att identifiera sårbarheter inom verksamheten som kan innebära allvarlig skada för människors liv och hälsa och samhällets funktionalitet samt information vars röjande kan innebära skada för Sveriges säkerhet. Diskussionerna och alla risker för den egna verksamheten dokumenterades. Saker som inte är relevanta för Sveriges säkerhet enligt säkerhetsskyddslagen sorterades bort senare. 

Förutsättningen att lyckas är att man har kunskap om regelverket, verksamheten och konsekvenser av olika sårbarheter samt säkerhetsfrågan. Kompetensen behöver vara bred och djup och täcka hela verksamheten. Man behöver även ha en god förståelse för aktuella hotbilder och fokus på Sveriges säkerhet. 

Upplägget för arbetet var följande:

• Planeringsgrupp; extern moderator + säkerhetsskyddschef m fl.
• Projektplan – ca 4 månader.
• Identifierade berörda från verksamheten; 6 grupper, max 8 pers/grupp.
• Genomförde 6 workshops.
• Sammanställde och strukturerade; extern konsult + säkerhetsskyddschef.
• Avstämning med vissa berörda.
• Övergripande information till Förvaltningsledning.
• Fastställande av analys plus plan; Förvaltningschef.
• Övergripande information till Nämnden.
• Leverans av underlag till budget/driftsplaner. 

I workshop-grupperna behandlades följande teman:

• Strategiska risker.
• Cyber risker.
• Produktion dricksvatten.
• Distribution vatten och avledning avlopp.
• Avfall.
• Dokumentation/information. 

Dessa ämnen valdes då de täcker upp för organisationens huvudprocesser. Processen ger en kunskapshöjning hos de medverkande och indirekt ute i organisationen via de medverkande. 

Upplägget för workshoppen var följande:

• Introduktion till säkerhetsskyddslagstiftning och målsättning/syfte.
• Information om hotbilder (syften och metoder).
• Identifikation av följande utifrån ett konskevensperspektiv (”brainstorming”):
  
  - Skyddsvärd verksamhet och klassning av denna.
  - Skyddsvärda uppgifter och klassning av dessa.
  - Hot, risker och sårbarheter kopplade till identifierade skyddsvärden.
  - Säkerhetsskyddsåtgärder för att minska risker och sårbarheter. 

Viktigt att det är ”högt i tak” i diskussionerna. Post-it lappar med olika färger användes för olika kategorier av information. Sorteringsarbetet av Post-it lapparna utfördes säkerhetsskyddschefen och moderatorn efteråt, vilket krävde mycket tid. 

När dimensionerande hotbild identifieras är det ett tips att utgå från öppna källor såsom SÄPO:s, MUST:s och FRA:s årsrapporter. Vid workshoparna diskuterades bland annat följande potentiella hot mot verksamheten: 

Främmande makt

• Syften: Politisk/ekonomisk påtryckning. Få Sverige att framstå som svagt. Skapa slagläge för eventuell konflikt. Skapa orolighet. Gynna egna ekonomiska intressen.
• Metoder: Cyberattacker. Leverantörskedjeattacker. Underrättelseverksamhet. Sabotageförband. Subversion. Påverkansoperationer. Gråzonsproblematik. Hybridkrigföring. Väpnat angrepp. CBRN.
• CBRN-hot: Kemiska, biologiska, radiologiska och nukleära ämnen. Kan användas som det är (småskaligt) eller i vapensystem (massförstörelsevapen). 

Terrorism

• Syften: Skapa otrygghet. Rekrytera och övertyga anhängare. Politiskt, ideologiskt eller religiöst motiverade.
• Metoder: Sabotage. Hot om sabotage. Cyberangrepp. Attentat (giftattacker, bomb- dåd, etc.). 

Missnöjda anställda

• Syften: Skada verksamheten. Skada enskilda medarbetare. Lätta mål för främmande makt.
• Metoder: Sabotage. Hot om sabotage. Hot och påverkan på personal. Missbruk av behörigheter och information. 

Kriminella

• Syften: Ekonomisk vinning
• Metoder: Cyberangrepp. Utpressning. Ransomware. Stöld. Hot om sabotage. Hot om våld. Kidnappning. 

Gällande vad som i organisationen behövs för att upprätthålla den säkerhetskänsliga verksamheten så kan följande exempel på frågor ställa för att komma igång i workshopen. Att identifiera skyddsvärden och sen vid behov styra lite i diskussionerna så att man täcker in alla olika områden. 

Exempel på kategorier för skyddsvärden:

• Personal.
• Kritiska leverantörer.
• Förtroende.
• System/processer.
• Anläggningar/egendom.
• Information (tillgång till riktig information).
• God ekonomi. 

Tänkbara konsekvenser diskuterades utifrån bland annat följande frågeställningar:

• Vad blir följderna om den säkerhetskänsliga verksamheten inte kan bedrivas?
• Skadans omfattning och varaktighet.
• Vilka konsekvenser kan uppstå om ett skyddsvärde inte längre är tillgängligt för verksamheten?
• Vilka konsekvenser kan uppstå om ett skyddsvärde görs tillgängligt för någon obehörig? 

Lagstiftningen kräver att man definierar var man finns avseende skyddsvärden kopplat till Sveriges säkerhet. Konsekvensklasser för säkerhetskänslig verksamhet:

• Skada för Sveriges yttre säkerhet – Sveriges förmåga att försvara sitt territorium
• Skada för Sveriges inre säkerhet – Handlar om skydd som rör Sveriges demokratiska statsskick, rättsväsende eller brottsbekämpande förmåga
• Skada på nationell samhällsviktig verksamhet – Skada eller störning på energi, vatten, transport, finans, osv.
• Skada på Sveriges ekonomi – Påverkan på nationell ekonomi.
• Skadegenererande verksamhet – Anläggningar som direkt eller uppenbart indirekt kan generera skadekonsekvenser på nationell nivå ( farlig verksamhet...). 

Den slutliga analysen innehåller följande rubriker:

• Allmänt.
• Verksamhetsbeskrivning.
• Identifierade skyddsvärden.
• Skyddsvärda informationstillgångar/IT-system.
• Skyddsvärda uppgifter.
• Nyckelpersoner/kompetenser.
• Säkerhetshot.
• Sårbarhetsbedömning.
• Säkerhetsskyddsåtgärder. 

Strukturen i bilagorna var följande: 

Under arbetet framkom även en del information som bedömdes ligga på konskvensnivå 1 (inte mätbar eller inte relevant konsekvens med bäring på Sveriges säkerhet) och som då inte omfattas av lagen men som ändå kan vara värdefullt att hantera vidare och det kan därmed bidra till en ökad säkerhet. 

Säkerhetsskyddsplanen tar upp identifierade säkerhetsskyddsåtgärder. Åtgärder kan handla om investeringar i fysiskt skydd, rutiner, utbildning, övning, rekrytering mm.:

• Prioriterade.
• Kategoriserade (D, I).
• Införda i budget och driftsplaner. 

Det är viktigt att arbetet med säkerhetsskydd är en prioriterad del av förvaltningens budget, personalplaner och driftsplaner och att säkerhetsskyddsanalysen och säkerhetsskyddsplanen används i samband med investeringar, driftkostnader, rekryteringar och att man har bra rutiner för detta. 

Vi gick igenom våra yttre anläggningar, det vill säga reservoarer och tryckstegringsstationer med mera. Vi tittade på hur många personer som fick sin försörjning direkt via anläggningen och om det fanns andra extra viktiga anslutningar till exempel sjukhus, andra kommuners anslutningspunkter för överföring med mera. Därefter klassade vi respektive anläggnings sårbarhet. 

I nästa steg beslutade vi vad en klass skulle ha för antal barriärer mot intrång, till exempel säkerhetsdörr, larm, kamera och automatstängande ventil vid inbrott. Detta låg sedan till grund för en åtgärdsplan och prioritering av investeringsmedel. 

Åtgärdsplan - Startår 20xx 

Röd 

Två barriärer 20xx+3
Direktlarm
Från larm till förstörelse motsvara insatstid på 15 min Utredning om kameraövervakning. 

Orange 

Direktlarm 20xx+2 En barriär 20xx+3 Två barriärer 20xx+7 

Gul 

Internt A-larm
Två barriärer 20xx+9 

Grön 

Internt B-larm
En barriär 20xx+12