Är du kanske ganska ny som signalskyddschef? Tycker du att det är svårt att tolka Försvarsmaktens föreskrifter om signalskyddstjänsten (FFS 2019:9)? Vad är det egentligen som gäller kring signalskyddsystem? Hur vet jag vad som gäller för min organisation?
Vi har sammanställt lite fakta kring signalskydd och signalskyddsystem. Vi har stor kompetens inom detta ämne och vi hjälper dig gärna.
Vad är signalskydd?
Definitionen av signalskydd är ”åtgärder som används för att skydda information från obehörig insyn och påverkan med hjälp av säkra kryptografiska funktioner och tillhörande signalskyddsåtgärder”.
Enligt 3 kap 5 § i Säkerhetsskyddsförordningen (2018:658) måste numera alla verksamheter, offentliga och privata, som hanterar säkerhetsskydds-klassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll, skydda uppgifterna med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten. Viktigt är att det gäller både den som sänder och den som tar emot hemlig information.
Vilken information ska skyddas med signalskydd?
Information som berör samhällets infrastruktur, information i verksamheter som omfattas av begreppet samhällsviktig verksamhet och information om beredskap, kris eller krigsplanläggning är alla exempel på information som behöver skyddas med signalskydd. Dessutom såklart information som i sig själv klassas som skyddsvärd eller hemlig och som berör Sveriges säkerhet.
Signalskyddssystem – vad är det och vem behöver det?
Signalskyddssystem är kryptosystem som är nationellt godkända av Försvarsmakten och som tillsammans med regelverk och utbildning ger skydd åt information som rör rikets säkerhet. Ett signalskyddssystem består av signalskyddsmateriel, kryptonycklar och/eller aktiva kort samt en instruktion för hur systemet ska hanteras.
Myndigheter, landsting, länsstyrelser, kommuner, företag och organisationer som har behov av att på ett säkert och tillförlitligt sätt kunna samverka genom att kommunicera information kan bli tilldelade signalskyddssystem. Ordet tilldelade är viktigt då försvarsklassade signalskyddssystem är en nyttjanderätt som tilldelas.
Hur går processen kring signalskyddsystem till?
Det är flera olika aktörer som är inblandade i processen kring signalskydd.
Försvarsmakten kravställer, upphandlar, utvecklar, granskar och godkänner signalskyddssystem utifrån specifika krav. Genom nationellt godkännande säkerställs skyddsnivån och kvaliteten på teknik, regelverk, rutiner och behörighetsutbildning. Idag finns det flera olika varianter av dessa nationellt godkända kryptosystem. Det är dessa system som ska användas, för enligt Försvarsmakten är det inte möjligt att få andra system man redan köpt granskade av dem.
MSB (Myndigheten för samhällsskydd och beredskap) är de som beslutar om vilka civila myndigheter och andra samhällsviktiga verksamheter som kan tilldelas signalskyddssystem. De samordnar även civila myndigheters signalskyddsverksamhet och arbetet med säkra kryptografiska funktioner.
Det är alltså MSB som kan svara på om just er verksamhet kan tilldelas signalskyddssystem för att ni har ett behov av att samverka på ett säkert och tillförlitligt sätt. Det är även från MSB som ni kan få information om vilka system som är godkända för de behov som just ni har.
Försvarets radioanstalt (FRA) är de man ska vända sig till när man har sitt signalskyddsystem och behöver support, tex vid fel på utrustning eller vid frågor.
Totalförsvarets signalskyddsskola, TSS, är de som utbildar personal i hantering av olika kryptosystem. Genom att gå en sådan utbildning kan man bli behörig signalskyddschef. Behörighet vidmakthålls sedan genom deltagande i signalskyddskonferenser.
Höga krav på leverantörerna av signalskyddssystemen
Det finns olika typer av lösningar för att skydda text, tal och data. De system som främst finns tillgängliga är inom datakommunikationskrypton och så kallade meddelandekrypton. Dessa finns med olika ”styrkor”, vilket system som ska användas beror på klassificeringen av den information som ska skyddas.
För att systemen skall kunna ge ett effektivt skydd krävs att hela processen, allt från generering av kryptonycklar till slutanvändarnas hantering av systemet, håller en nivå som är anpassad för den information som systemet avser skydda. Därför ställs det oerhört höga krav på de som levererar dessa system och genom nationellt godkännande säkerställs skyddsnivån och kvaliteten på teknik, regelverk, rutiner och behörighetsutbildning.
Höga krav på leverantörerna av signalskyddssystemen
Det finns olika typer av lösningar för att skydda text, tal och data. De system som främst finns tillgängliga är inom datakommunikationskrypton och så kallade meddelandekrypton. Dessa finns med olika ”styrkor”, vilket system som ska användas beror på klassificeringen av den information som ska skyddas.
För att systemen skall kunna ge ett effektivt skydd krävs att hela processen, allt från generering av kryptonycklar till slutanvändarnas hantering av systemet, håller en nivå som är anpassad för den information som systemet avser skydda. Därför ställs det oerhört höga krav på de som levererar dessa system och genom nationellt godkännande säkerställs skyddsnivån och kvaliteten på teknik, regelverk, rutiner och behörighetsutbildning.
Kunskap och behörighet viktigt för säkerheten
En grundläggande förutsättning för att säkert och effektivt kunna implementera och använda signalskyddssystem är att de som använder systemen har kunskap och behörighet att göra detta.
Behörighet för signalskydd och säkra kryptografiska funktioner ges, som tidigare nämnt, genom utbildning vid Totalförsvarets signalskyddsskola, TSS, eller av TSS godkända signalskyddslärare.
Försvarsmaktens föreskrifter sammanfattar allt
27 november 2019 togs det beslut om FFS 2019:9 – Försvarsmaktens föreskrifter om signalskyddstjänsten. Denna författning gäller för en verksamhetsutövare som bedriver säkerhetskänslig verksamhet enligt 1 § i Säkerhetsskyddslagen (2018:585).
I denna författning kan man läsa om olika bestämmelser kring användning av signalskyddsystem, ledning och samordning av signalskyddstjänsten, krav på utbildning och behörighet samt information om tillsyn och kontroll. Det finns även information om signalskyddsnycklar och signalskyddsmateriel.
Behöver du hjälp med råd kring signalskydd?
För att tolka författningen på rätt sätt behöver många organisationer hjälp av någon som är mer insatt.
På Advenica har vi stor kompetens kring allt som rör signalskydd och vi hjälper er gärna. Kontakta oss så guidar vi er genom hela processen och ser till att ni väljer rätt signalskyddsåtgärder för era informationstillgångar.