Bakom vägledningen står Teknikföretagen, Säkerhets- och försvarsföretagen (SOFF) och Sveriges universitets- och högskoleförbund (SUHF). Den ger först en genomgång av hotbilden och det nya säkerhetspolitiska läget med Rysslands anfallskrig mot Ukraina, svenskt medlemskap i Nato och situationen i USA.
Enligt Säkerhetspolisen bedriver omkring 15 länder, bland annat Ryssland, Kina och Iran, i ökande utsträckning systematisk underrättelseverksamhet med svenska lärosäten och forskare som primära mål.
I vägledningen finns många exempel på hur forskningsspionage kan gå till. Det kan handla om att skapa kontakt via sociala medier eller vid konferenser. Andra aktiviteter kan ske i en gråzon med exempelvis erbjudanden om forskningssamarbeten under falska förespeglingar eller att någon etablerar närvaro i forskningsmiljöer på tveksamma grunder.
I vissa fall sker det genom direkt kriminella metoder, som stöld av forskningsresultat, sabotage av projekt eller cyberangrepp.
– Vi ser ett stort intresse från vissa länder när gäller teknisk utveckling vid de medicinska, tekniska och naturvetenskapliga fakulteterna. Det är inte lika vanligt att vi har intressenter att koppla mot humaniora och samhällsvetenskap, säger Fredrik Blomqvist, säkerhetschef vid Uppsala universitet.
– Vägledningen är relevant för alla forskare men i högre utsträckning för forskare inom de medicinska, tekniska och naturvetenskapliga områdena, lägger han till.
Fredrik Blomqvist
Säkerhetschef vid Uppsala universitet
Fredrik Blomqvist menar att vägledningen också är ett sätt att skapa en trovärdighet för att universitets- och högskolesektorn kan hantera svåra säkerhetsfrågor.
– Den här vägledningen skapar och etablerar en plattform för teknikföretagen och lärosätena att tillsammans hantera säkerhetsfrågor inför gemensamma forskningssamarbeten. Vi hoppas att det ska leda till ökad forskning mellan parterna.
Är lärosätena den svaga länken när det gäller att hantera känslig information i innovationskedjan?
– Säkerhetsfrågor har tidigare inte legat så högt på agendan men med en orolig omvärld tillsammans med ett allt större fokus på totalförsvaret har detta ändrats. Sedan ett antal år tillbaka jobbar alla lärosäten väldigt intensivt med den här frågan och har tagit enorma steg framåt. Det har sitt ursprung i säkerhetsskyddslagstiftningen, att vi måste identifiera den verksamhet och den forskning vi har som är särskilt känslig.
Han lägger till att man inom sektorn har förstått allvaret och har vidtagit adekvata åtgärder.
– Det bidrar också till att vi kan vara väldigt öppna och transparenta med majoriteten av vår forskning. Det är bara en liten del av all forskning som vi måste skydda, den resterande delen av forskningen kan vara öppen mot i princip alla nationer, säger Fredrik Blomqvist.
SOFF:s generalsekreterare Robert Limmergård trycker på att skydd mot forskningsspionage främst är en fråga om säkerhetskultur.
– Det ligger såklart ett ansvar att samlas på central nivå, arbeta med de här frågorna och ge vägledningar som kan vara relevanta för respektive aktör. Men jag tror att forskningssäkerhet inte är att se som ett kontor som man inrättar centralt på lärosätet, utan det här är en kultur som samtliga medarbetare behöver ha med sig.
Robert Limmergård
SOFF:s generalsekreterare
Robert Limmergård anser att säkerhet i första hand är en kulturfråga.
– Jag skulle säga att den nog mer är en mänsklig fråga än en teknisk fråga, som skydd mot dataintrång. Det handlar tyvärr om det här tråkiga med medvetenhet och rutiner. Företag, lärosäten, forskare – alla behöver göra en riskinventering. Man behöver bedöma och värdera risker, man behöver fundera på vilken information man delar, och så vidare. Så det är en kulturfråga och en fråga om säkerhetsmedvetenhet, säger han.
Hans råd är att stärka den kollektiva medvetenheten.
– Om vi vågar prata om problemet så kan vi dela erfarenheter och då kan vi dela exempel. Och det kan vi göra mellan oss, företag, forskare och myndigheter. Då höjer vi kunskapsnivån. Men sedan tror jag också att man tyvärr behöver lägga mera resurser på sådana här frågor. Någon måste arbeta med dem och det tar tid, och tid kostar.
Robert Limmergård menar att mycket handlar om att hitta samarbetsformer mellan olika aktörer och myndigheter.
– En sådan sak är hur man samverkar mellan lärosäten och migrationsverk och underrättelsemyndigheter när det gäller vissa visumansökningar och liknande, som man behöver hantera för att tidigt fånga upp säkerhetsrisker. Exempelvis är det en hel del forskare som medvetet planteras in i våra forskningsmiljöer i unga år. Alltså, de kommer inte som doktorander, utan de kommer redan som studenter, säger han.
Det sättet att tänka är något som Robert Limmergård anser att man behöver få in i diskussionen även mellan kollegor.
Ska man hela tiden ha en liten misstanke om att min internationella kollega nog inte är riktigt pålitlig?
– Nej, men vi måste kunna hantera två tankar i huvudet samtidigt. Det vill säga vi ska inte misstänkliggöra någon, men vi ska våga se att det finns aktörer som är ute efter att sabotera eller påverka eller stjäla information. Jag tror att säkerhetsmedvetenheten innebär att vi måste förstå att det finns även onda aktörer i våra miljöer, säger Robert Limmergård.
Men det här måste avvägas mot en öppenhet mot det internationella forskarsamfundet.
– Det är en balans där öppenheten är viktig för vår konkurrenskraft, för våra innovationer och för att hitta på nya lösningar som gör samhället bättre. Men tyvärr så är det just behovet av att hantera det här hotet mot forskning som gör att vi inte bara kan vara öppna, utan vi måste balansera öppenheten mot säkerhet på ett annat sätt i dag än vad vi gjorde för bara fem år sedan, säger Robert Limmergård.
Tänk på säkerheten
Kommunicera kontinuerligt om hotbilden. Ju högre medvetenheten är, desto mer stärks säkerhetskulturen.
Genomför riskanalys. Vid ett nytt forskningssamarbete, se till att granska risker för spionage och hur de kan hanteras.
Ordning och reda. Ha tydliga processer för informationsdelning och vem som har tillgång till vad. Skydda information med tekniska hjälpmedel.
Rapportera incidenter. Det som verkar misstänkt och ger en dålig känsla, ska rapporteras. Att anmäla är bättre än att låta bli.
Källa: Patrik Sandgren, expert inom digitalisering och cybersäkerhet, Teknikföretagen.
