Allt viktigare att skydda forskning mot spionage – ny vägledning ska stötta företagen

SOFF har tillsammans med Teknikföretagen, och i nära samarbete med Sveriges universitet- och högskoleförbund, SUHF, tagit fram guiden ”Skydda forskning och kunskap”. Vägledningen lanserades för första gången 2018 och har som syfte att hjälpa företag, lärosäten, inkubatorer och andra forskningsmiljöer att skydda sin information och forskning, så att dessa inte hamnar i händerna på obehöriga. Guiden har reviderats för tredje gången och finns nu i en senaste version för 2025.

Robert Limmergård, generalsekreterare på SOFF, säger att det finns många risker i dag som företag och lärosäten som bedriver forskning bör vara medvetna om.

– Dels handlar det om att någon kan vilja stjäla information, det vill säga klassiskt spionage, dels kan det finnas kriminella eller utländska aktörer som kan vilja påverka informationen eller resultatet av forskningen.

Det kan även förekomma sabotage, eller att någon medvetet försöker hämma eller försena forskningen.

Robert Limmergård förklarar att kunskap, teknik och forskning är hårdvaluta i dag, eftersom dessa faktorer bygger upp välfärden i ett land samt ger det ett försvarspolitiskt övertag. Det sistnämnda kan vara särskilt intressant för främmande makt.

– Vissa teknologier kan vara mer intressanta för antagonister än andra, som exempelvis AI, autonoma system, robotik, och medicinteknik – sådant som är kapitalintensivt eller har stor påverkan på teknikutveckling och marknad eller militära applikationer.

– I grunden skulle jag dock säga att all forskning är av intresse för främmande makt eftersom all teknik kan innebära en konkurrensfördel eller vara relevant för militär användning.

Riskerar trovärdigheten

Att skydda forskningsinformation är inte bara viktigt för att undvika obehörigas åtkomst till den, utan också för att bibehålla ett bra rykte som forskningsland internationellt, säger Robert Limmergård.

– I och med nya typen av geopolitik som vi nu ser finns det en ovilja mellan de demokratiska och de auktoritära länderna att hjälpa den andra sidan att bygga upp en viss typ av teknik och forskning.

– I exempelvis USA finns det begräsningar gällande forskning och utveckling av AI-chip, där länder hamnar i olika klassificeringar. Sverige är på den gröna listan och är ett av de länder som får importera och arbeta i forskningsmiljöer med AI-chip.

Men, tillägger Robert Limmergård, en förutsättning för att andra länder ska se Sverige som trovärdigt är att de vet att den forskning som vi arbetar med i sin tur inte hamnar i de länder som de har som gul- eller rödmarkerade. Kina är ett exempel på ett rödmarkerat land i USA.

– Därför är forskningssäkerheten i Sverige också viktig för att få tillgång till forskning och teknik från våra viktigaste partnerländer. För om vi läcker information blir vi den svagaste länken och då gör det att vi inte får jobba med de bästa, vilket påverkar vår konkurrenskraft.

– Bara bilden av att vi inte gör tillräckligt för att skydda vår forskning kan göra att vi förlorar vår tillgång till samarbeten, även om vi faktiskt inte har läckt information.

Robert Limmergård berättar att vissa länder är ett större hot mot den svenska forskningsmiljön än andra. Kina och Iran är två av dem.

– Enligt Säpo är Ryssland mer fokuserat på militär teknik, medan Nordkorea är mer fokuserat på ekonomiska brott i forskningsmiljö, som exempelvis utpressning. Kina och Iran har däremot pekats ut som farligast för Sverige i det här avseendet. Kina har en tydlig ambition om att vara världsledande på alla teknikområden. I Kina gör man inte heller skillnad på civil och militär forskning. För dem är det samma sak.

I vägledningen står det även att Iran, Ryssland och Kina enligt Säpo har börjat samarbeta och dela information med varandra.

Vara medveten om risker

Vad kan företag och lärosäten göra för att skydda sin forskning? En sak är att göra en analys om vilka risker man tar.

– För företagen ligger det mycket i det förberedande arbetet, angående till exempel vilken information man delar. Man behöver ha en riskmedvetenhet och fråga sig saker som man kanske inte behövde tidigare. Exempelvis: Ska de här forskningsartiklarna ligga i den här miljön? Vilka ska ha tillgång till miljön? Det är inte så att man inte ska ta risker men man ska göra det på ett medvetet sätt.

– Nästa steg är att ha rutiner, processer och verktyg på plats. Vägledningen som vi har tagit fram visar hur man kan tänka kring det. Till exempel att inte ha all viktiga data på samma plats, utan att tänka på att sprida det till flera platser.

Vad gäller myndigheter och lärosäten rekommenderar Robert Limmergård en ökad samverkan eftersom de personer som får tillgång till obehörig information ofta är utländska studenter.

– Det finns en säkerhetsskyddslagstiftning som måste följas i vissa situationer och som kräver att det görs en bakgrundskontroll av personen. Men det finns fortfarande fler möjligheter att förbättra samarbetet mellan Migrationsverket, Säpo och lärosätena. Mycket handlar om erfarenhetsutbyte. Resurserna på myndigheterna är tyvärr ganska begränsade och fokuserade på tillsynen.

Även företag gynnas av en ökad samverkan med myndigheter och akademin. Till exempel kan vissa myndigheter, som Nationellt cybersäkerhetscenter, som har kompetens inom informationssäkerhetsskydd, stötta med rådgivning.

– Även Säpo har vägledningar om hur man ska tänka kring riskerna med spionage, berättar Robert Limmergård.

En inbyggd konflikt

Det är en fin balansgång mellan att skydda forskningen i den egna verksamheten från utomstående och att värna om internationell öppenhet. Både att ha en säker forskningsmiljö och möjligheten att ta emot kompetens från utlandet är viktiga för att kunna ägna sig åt högkvalitativ forskning och utveckla innovationer.

– Det finns en inbyggd konflikt i det hela. Å ena sidan vill man ha öppenhet, å andra sidan, om ett företag utsätt för att någon stjäl dess information och data finns det en risk att det kan förlora sin affär eller teknologiutveckling, särskilt om det är en forskningsintensiv verksamhet. I förlängningen kan sådant drabba hela samhällen, säger Robert Limmergård och fortsätter:

– Samtidigt är själva poängen med samverkan i forskningsmiljöer att utbyta idéer och kunskap. Därför är det viktigt för företag och akademi att tänka långsiktigt, vara förberedda och analysera sina risker, utan att sluta sig från omvärlden, för det förlorar vi också på.

........................................

Om guiden ”Skydda forskning och kunskap”:

• Riktar sig mot företag, lärosäten, inkubatorer, teknikparker, institut och andra som bedriver forskningssamverkan i Sverige.
• Beskriver vilken forskning och vilka tekniker som är särskilt utsatta, vad antagonisterna är intresserade av och hur de arbetar, samt hur de som bedriver forskning kan göra för att skydda sin information före, under och efter ett samarbete. Även vilken lagstiftning som kan vara relevant i dessa sammanhang.