Artikel
Thomas Palfelt
Vad gör en säkerhetschef på en av Sveriges försvarsmyndigheter? Det vet Thomas Pafelt, säkerhetschef på FMV, berätta om sitt jobb.
Följa upp säkerhetsarbete, förhandla internationella säkerhetsavtal och ett ständigt närvarande underrättelsehot från främmande makt. Det är vardag för en säkerhetschef i försvarssektorn.
– Det finns underrättelsetjänster därute som är finansierade för att bedriva industrispionage, säger Thomas Palfelt, som är informationssäkerhetschef på FMV.
Försvarets materielverk, FMV, har ansvar för att upphandla och köpa in materiel och tjänster till det svenska försvaret. I praktiken innebär det att myndigheten hanterar mängder av säkerhetskänslig information som är av stor vikt för Sveriges säkerhet. Det handlar om allt från stridsflygplan, ubåtar, radarsystem och bandvagnar till kängor för den enskilda soldaten. Mitt i detta arbetar alltså Palfelt.
– När det uppstår incidenter behöver jag fundera på, dels hur man hanterar incidenten som sådan men också hur vi åtgärdar och följer upp den. Varför inträffade incidenten?, säger Thomas Palfelt, som förutom att vara informationssäkerhetschef på FMV också är biträdande säkerhetsskyddschef på myndigheten.
Han beskriver att mycket av arbetsuppgifterna handlar om kravställning när det gäller informationssäkerhet och annat inom säkerhetsskyddsområdet. I det sammanhanget har FMV flera regelverk att förhålla sig till. Exempelvis lagstiftning, förordningar och interna samt Försvarsmaktens föreskrifter.
– En del av arbetet innebär att se över och tolka regelverket och se hur det efterlevs. Det blir en hel del frågor från verksamheten och även från industrin som vi lägger ut uppdrag på. Vi kravställer säkerhetsskyddet gentemot industrin.
Om vi återgår till inledningen och situationen då en eventuell säkerhetsincident inträffar. Det är vid dessa tillfällen som Palfelt i sin roll som biträdande säkerhetsskyddschef behöver skärpa till sig lite extra och helt enkelt snabbt försöka få grepp om vad som hänt och hur det ska hanteras.
– Det kan vara en individ som gjort fel. Men det kan också vara externa faktorer. Då handlar det om att en göra en relevant analys i orsak och verkan och komma med förebyggande åtgärder så att vi inte råkar ut för samma sak igen.
Ständigt närvarande hotbild
En annan viktig uppgift för Palfelt sker vid bedömning av vilken hotbild som finns mot myndigheten. Hans uppgift är att ställning till underlag i form av underrättelserapporter från bland annat Försvarsmakten samt den årliga hotbildsbedömningen från samma myndighet.
– Vi gör en bedömning hur det påverkar vår verksamhet som uppdragstagare och där är det viktigt att vi lägger pusselbitarna så att vi får en så bra bild som möjligt för att komma fram till vilka krav på åtgärder som ställs på den egna myndigheten, säger Palfelt och fortsätter:
– Hur förankrar vi det internt och behöver vi förankra det i de företag som vi lägger ut uppdrag på? Hur träffar den här hotbilden deras verksamhet? De deltar ju i vår säkerhetskänsliga verksamhet när vi lägger ut uppdraget och hur påverkar hotbilden dem?, säger Palfelt.
Intervjun med Thomas Palfelt sker under början av 2022 då spänningen mellan Ryssland, USA, EU och Nato är stor, innan Ryssland slutligen invaderade Ukraina den 24 februari. Frågan är då om FMV ser något ökat intresse från främmande makt när det gäller exempelvis underrättelseinhämtning mot myndigheten?
– Det kan jag inte gå in på. Men den grundläggande hotbilden har inte legat och slumrat innan heller. Och det intressanta är inte bara vår information. Vi lägger uppdrag på industrin så när det handlar om att bygga försvarsförmåga så är det i industrin som informationen finns och det handlar också om information som är skyddsvärd ur ett industriperspektiv. Så industrispionageaspekten är minst lika viktig, säger Palfelt.
Upphandling och IT-säkerhet
Andra frågor som tar en del av Palfelts tid handlar om upphandlingar. Han beskriver att vissa saker som FMV upphandlar är så pass skyddsvärda att det krävs samråd med tillsynsmyndigheten Försvarsmakten innan det ens är möjligt att dra igång en upphandling. Det är nya regler som en följd av det som hände då Transportstyrelsen outsourcade driften av vissa IT-lösningar med känslig information.
– Jag bistår med att tolka vad vi behöver göra innan vi får gå ut och upphandla, säger Palfelt.
Andra frågor som ligger på Palfelts bord handlar om att försvarsmaterielområdet förutsätter mycket internationell samverkan. Det innebär att FMV behöver förhandla internationella säkerhetsskyddsöverenskommelser.
– Dels förhandlar vi med utländska motparter och när projekten väl drar igång så handlar det också om att träffa de utländska motparterna och företagen för att förstå hur vi rent praktiskt ska tolka de internationella säkerhetsskyddskraven i projekten. Det är en spännande del av arbetet, säger Palfelt.
En ytterligare arbetsuppgift är när FMV utvecklar och inför egna IT-system. Då är det Palfelt som övergripande kravställer säkerheten i systemen. Palfelt företräder också FMV i den strategiska ledningsgruppen i myndighetssamverkan inom ramen för det Nationella centret för cybersäkerhet.
Vad är roligt med jobbet?
– Det är komplext och varierande och en rolig utmaning. Det är sällan som en dag är den andra lik. Det ställs höga krav på en god analytisk förmåga och man verkar både nationellt och internationellt och det är oerhört stimulerande, säger Palfelt.
Formellt har han en bakgrund som systemvetare och vid mitten på 90-talet arbetade Palfelt med IT-säkerhet på utrikesdepartementets IT-enhet inom ramen för EU-samarbetet. Därefter har han bland annat arbetat med it- och informationssäkerhet inom regeringskansliet innan jobbet på FMV.
Vad krävs för att klara av arbetet?
– En god egenskap är att inte hetsa upp sig i onödan. Pragmatism tycker jag är viktigt och att ta det lugnt och analysera läget. Det är klart att det är viktigt att ibland arbeta snabbt men jag tror det är viktigt att ta sig tid till analys och bedömning när något inträffar, avslutar Thomas Palfelt.