Underrättelshoten mot lärosäten ökar – "Måste ta Säpos bedömningar på allvar"

2021-05-31 08:59  

Främmande makt är på jakt efter svensk forskning och försöker även rekrytera anställda på universitet och högskolor. Säkerhetspolisen ser en ökad hotbild från utländsk underrättelsetjänst mot universitet och högskolor. Flera lärosäten växlar nu upp för att möta en ny verklighet. ”Vi ser att kunskap som konkurrensmedel mellan länder har ökat”, säger Ida Rosengren, enhetschef på Chalmers tekniska högskola.

"Den fria forskningen och utbytet mellan lärosäten världen över är avgörande för en livskraftig forskning. Samtidigt har Säkerhetspolisen noterat att underrättelseverksamhet riktad mot universitet och högskolor intensifierats och att säkerhetsskyddsarbetet behöver tas på större allvar".

Så beskriver Säpo hotbilden från främmande makt mot svenska lärosäten i sin årsrapport för 2020.

– Hotet från andra länder har blivit både djupare och mer komplext, det skadar Sverige på en mängd olika sätt, säger Kennet Alexandersson, senior analytiker på Säpo.

Frågan om säkerhetsskydd är knappast ny för lärosätena, men det senaste året har många lagt in en ny växel för att stärka skyddet mot intrång utifrån.

Från Sveriges universitets- och högskoleförbund (SUHF), som arbetar för att tillvarata de svenska lärosätenas intressen, togs initiativ under 2020 till en säkerhetsskyddsutbildning för personal på lärosätena.

– Det var efter återkommande möten med regeringen där vi upptäckte att det pratades säkerhetsfrågor varje gång. Då sade vi att vi behöver nog öka medvetandet inom sektorn för det, säger Lars Alberius, utredare på SUHF.

Läs mer: Säpo: Därför är Huawei en risk för Sverige

Förutom rena cyberintrång, som kan ske genom exempelvis spear-fishing – en form av nätfiske där man efter ett grundligt förarbete riktar in sig på särskilt intressanta personer inom en organisation – kan det även handla om att man försöker rekrytera personer inom lärosäten för att agera som spioner.

Kennet Alexandersson beskriver hur det kan gå till.

– Det kan handla om att en underrättelseofficer träffar det tilltänkta offret till synes slumpmässigt, på tunnelbanan, utanför jobbet eller vid barnens fotbollsträning. Utifrån den igenkänningsprocessen börjar man bygga en relation med offret, där man hamnar mer och mer i samtal med varandra. Efter ett tag ber man kanske om att få helt öppna, ohemliga uppgifter utskrivna till exempel, så får offret en gåva som belöning för det.

På det sättet försöker man "träna" måltavlan i att lämna över information mot belöningar, säger han.

– Efter ett tag eskalerar det till att offret vill ge hemlig information och fortsätta få presenter och gåvor.

Anställer personal

Stora delar av utbildningen, som genomfördes av Centrum för totalförsvar och samhällets säkerhet (CTSS) vid Försvarshögskolan och i samverkan med Säpo, ägde rum under fjolåret, men fortsätter även under 2021.

Det görs även enskilda satsningar.

Flera har anställt ny personal för att stärka säkerhetsskyddsarbetet och för att möta den intensifierade underrättelseverksamhet som Säpo varnar om.

– Vi bör självklart ta deras bedömningar på allvar, eftersom de är bäst i Sverige på detta, säger Per Nordén, säkerhetschef vid Lunds universitet.

Läs mer: Säpo oroas för säkerhetsläget i Sverige

Han berättar att universitetet tillsatt en ny tjänst som bland annat fokuserar på säkerhetsskyddsfrågor. Men det är bara en liten del, arbetet med säkerhetsfrågor generellt har tagit enorma kliv de senaste åren, säger Nordén.

På Lunds universitet har man nu snart sex centralt placerade personer som arbetar med "security", som han benämner det.

– Det är en enorm utveckling, och intresset och kraven från ledningar och andra håll har ökat, likaså från lagstiftningen, säger Nordén.

Samarbete mellan lärosäten

På Högskolan Väst lägger man stor vikt vid det sektorsövergripande arbetet, i vilket man utbyter kunskaper med de andra lärosätena i frågorna om säkerhetsskydd, berättar it-chefen Rickard Norén.

– De senaste åren har samarbetet intensifierats. Det handlar inte bara om it- och informationssäkerhet, utom om hela perspektivet med digitaliseringen, men där är givetvis de här frågorna en viktig aspekt, säger han.

– Det ökade införandet och användandet av it-system, som inneburit att vår digitala miljö blir allt mer verksamhetskritisk, gör att informationen som vi hanterar i våra system måste hanteras med ökad säkerhet, säger han.

Nyligen har högskolan tillsatt mer resurser för att säkra en trygg infrastruktur, men framför allt handlar det om att öka medvetandet hos användarna, säger Rickard Norén.

– Man ska ha förståelse för hur man hanterar information på ett säkert sätt.

Ida Rosengren, enhetschef på Chalmers tekniska högskola, delar bilden av att ökad förståelse hos personalen är en prioritet.

– Vi behöver öka medvetandet internt och anpassa arbetssättet utifrån vilka tillgångar vi sitter på.

Nya hot

Vad anser du om Säpos bild av att arbetet med de här frågorna har varit eftersatt på svenska lärosäten?

Säkerhetsarbetet har varit organiserat utifrån de hot man sett. Universitet som sådana är öppna miljöer där det sker mycket kunskapsdelning, både nationellt och internationellt. Så jag tänker att det kan vara därför hotbilden har förändrats och det finns, med digitaliseringen, andra möjligheter nu för människor med ont uppsåt att komma åt information.

Vid Högskolan i Borås har man lagt större fokus på frågorna framför allt sedan säkerhetsskyddslagen kom på plats 2019, berättar säkerhetssamordnare Henrik Werner.

– Vi har bland annat rekryterat en säkerhetssamordnare som ska titta på de här frågorna.

Han välkomnar de utbildningssatsningar som gjorts centralt från SUHF tillsammans med Försvarshögskolan och Säpo.

– Det är bra att det kommer utbildningspaket nu, och att vi får det här stödet så vi blir bättre också. Det är de som är experter och vi behöver deras hjälp.

Fakta: Säkerhetsskydd

Arbetet med säkerhetsskydd ska utgå från en säkerhetsskyddsanalys. Där utreder verksamheten vad som ska skyddas, mot vilka hot och på vilket sätt. Analysen ska visa vilka säkerhetsskyddsåtgärder som behövs.

Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet är skyddet mot att säkerhetsskyddsklassificerade uppgifter röjs, ändras, görs otillgängliga eller förstörs av obehöriga. Informationssäkerhet ska även förebygga annan skadlig inverkan på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Fysisk säkerhet ska skydda mot att obehöriga får tillträde till platser där säkerhetskänslig verksamhet bedrivs, samt mot skadlig inverkan på säkerhetskänslig verksamhet. Hur den fysiska säkerheten utformas beror på vad som ska skyddas och mot vilken typ av hot.

Personalsäkerhet ska skydda mot att personer som inte är pålitliga från säkerhetssynpunkt arbetar i säkerhetskänslig verksamhet. Personalsäkerhet består av säkerhetsprövning och utbildning i säkerhetsskydd. En anställning i säkerhetskänslig verksamhet placeras vanligen i säkerhetsklass.

Källa: Säkerhetspolisen

Marc Skogelin/TT

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt