Gunnar Karlson var tidligere chef for Must (den svenske militære efterretningstjeneste). I dag arbejder han blandt andet som konsulent i efterretnings- og sikkerhedsspørgsmål. I FSN Perspektiv beskriver han den vedvarende efterretningstruslen mod forsvarsvirksomheder i Sverige og forklarer, hvorfor et aktivt sikkerhedsbeskyttelsesarbejde er så vigtigt.

Den seneste tid har der været meget tale om risikoen for krig i Sverige. Men krigen er stadig en risiko. Diskussionen om bedre krigsberedskab er nødvendig. Men den må ikke overskygge behovet for også at imødegå de trusler, der er en realitet i dag. Efterretningstruslen er en sådan trussel. Fremmed efterretningsvirksomhed skader os nu, men den øger også risiciene, hvis krigen skulle ramme os. Det er ikke muligt med sikkerhed at måle andre landes spionage mod os. Det vigtige er ikke, hvor meget risikoen stiger, men at den med bred margin er så stor, at den skal imødegås. At truslen eksisterer her og nu illustreres af flere retssager i de senere år.

Den fremmede efterretningsvirksomhed rammer mange. Forsvarsindustrien er naturligvis en sektor, der er af stor interesse for antagonister. De kan bruge informationen til selv hurtigt at udvikle bedre våben og til lavere omkostninger. Desuden kan stjålet information bruges til at finde svagheder i vores våbensystemer og dermed øge risikoen for os i krig. Den risiko rammer ikke kun Sverige, men også allierede og andre, der køber fra svensk forsvarsindustri. Af de aktører, som den svenske Sikkerhedspoliti (Säkerhetspolisen) normalt fremhæver, er det primært Rusland og Kina, der har interesse i forsvarsindustriens information.

Efterretningstruslen består frem for alt af to komponenter: de digitale trusler og truslen fra menneskelige kilder. En dygtig modstander lader dem supplere og forstærke hinanden. Gennem indtrængen i it-systemer og signalefterretning mod kommunikation kan en modstander i værste fald tilegne sig store mængder information. Er modstanderen dygtig (og offeret ikke særlig dygtigt) kan han desuden skaffe sig information, uden at den ramte opdager det. I en digitaliseret verden er det naturligt og nødvendigt, at "cybertruslerne" får stor opmærksomhed.

Rekruttering af menneskelige kilder ("agenter" med Sikkerhedspolisens terminologi) er ikke blevet mindre aktuelt, fordi de digitale trusler vokser. En forræder på indersiden kan give unik information og styres mod de vigtigste mål. På trods af at det er dyrt og vanskeligt at anvende menneskelige kilder, fortsætter fremmede magter med at gøre det. Størst opmærksomhed får ofte situationer, hvor en efterretningstjeneste rekrutterer en person, der fra begyndelsen ikke havde nogen tanke om at blive agent. Man taler om "rekrutteringstrappen" for at beskrive, hvordan efterretningstjenesten trin for trin nærmer sig et intetanende individ og til sidst får denne i sine kløer. Det kan tage mange år og sker efter grundige forberedelser. Ikke mindst kortlægges individets sårbarheder.

Lige så stor opmærksomhed bør vies risikoen for, at en person på eget initiativ bliver forræder, uden behov for rekruttering og overtalelse. Det drejer sig altså om mennesker, der selv tager initiativ til kontakten med en fremmed efterretningstjeneste. Faktum er, at mange af de kendte spionsager i moderne tid er af den slags. Individer, der er vrede og bitre over deres livssituation og deres arbejdsgiver, er en kategori, der ofte optræder blandt de frivillige agenter. Dårlig økonomi er en faktor, der forstærker motivationen.

Både hvad angår cybertrusler og menneskelige kilder leder efterretningstjenesterne efter de svage led i beskyttelsen. Snarere end at gå efter informationen der, hvor den er bedst beskyttet, søger man gerne sårbarheder, selv om det indebærer, at man ikke får direkte adgang til alt, man er ude efter. For en virksomhed betyder det, at man skal være årvågen ikke kun over for sin egen beskyttelse, men også over for sikkerheden hos samarbejdspartnere, leverandører, konsulenter og andre, der kan få adgang til informationen. Det betyder også, at den, der ikke opfatter sig selv som "forsvarsindustri", alligevel kan have den branches trusselsbillede.

Man taler om "overført trusselsbillede", når en aktør udsættes for en trussel, der egentlig er rettet mod en anden. Den, der leverer til forsvarsindustrien, såvel som den, der sælger tjenester til og udfører opgaver for forsvarsindustrien, bliver et tænkeligt mål for fremmede efterretningstjenester. Det indebærer, at man i mindst dele af sin virksomhed har brug for en sikkerhedsbeskyttelse, der ligger på samme niveau som i forsvarsindustrien. Har man ikke det, bliver man ikke en pålidelig partner.

Der kræves en god sikkerhedsbeskyttelse for at modstå efterretningstruslen. Hvordan man beskytter sig er ingen hemmelighed. Men det kræver engagement, udholdenhed, viden, god sikkerhedskultur og ressourcer. Sikkerhed koster tid og penge, men i dagens verden er det en nødvendig investering for den, der er udsat for fremmede efterretningstjenesters interesse. Beskyttelsen skal begynde med en god og aktuel sikkerhedsbeskyttelsesanalyse. For mange er det en selvfølge, men desværre ikke for alle. Med en god analyse som grundlag kan man udforme sikkerhedsbeskyttelsen ud fra sine egne behov. Virksomheder, der ikke har egen kapacitet og kompetence til at forstå og håndtere den komplekse efterretningstrussel, kan søge hjælp udefra. At mangle den rette sikkerhedsbeskyttelse er en stor risiko i dag. For forsvarsindustrien er det en risiko, der ikke er acceptabel.

Gunnar Karlson