Bättre säkerhetsskydd bakom okunnighetens slöja?
Det har knappast undgått någon att det säkerhetspolitiska omvärldsläget har försämrats radikalt de senaste decennierna och att vi nu rustar för fullt för att stärka samhällets säkerhet. Nato-inträdet och en delvis lånefinansierad välbehövlig upprustning av militärt och civilt försvar är de mest synliga åtgärderna. En mindre känd, men ack så viktig, komponent i detta är förstärkt säkerhetsskydd – de lagar och förordningar som ska skydda Sverige mot spioneri, sabotage och terrorism. Efter att ha utretts sedan 2015 trädde den nya Säkerhetsskyddslagen (SFS 2018:585) i kraft i april 2019 och skärptes ytterligare 2021 med bestämmelser om överlåtelse av säkerhetskänslig verksamhet, rapporteringsplikt samt sanktionsavgifter.
Säkerhetsskyddslagen gäller all verksamhet som har betydelse för Sveriges säkerhet (det gamla begreppet ”rikets säkerhet” försvann vid lagändringen) och det som står på spel är alltså inget mindre än landets frihet, oberoende och fortbestånd. Alla verksamheter, i såväl offentlig som privat sektor, måste bedöma om de omfattas av bestämmelserna och i den mån de gör det vidta skyddsåtgärder samt rapportera till sektorsvisa tillsynsmyndigheter. Som stöd tillhandahåller Säkerhetspolisen på sin hemsida övergripande information och vägledningar.1
Likt mycket annat säkerhetsarbete kräver ett gott säkerhetsskydd flera delar: personalsäkerhet (exempelvis att personal är pålitlig och rätt utbildad), fysisk säkerhet (exempelvis att lås, larm och insynsskydd fungerar) och informationssäkerhet (att information är tillgänglig för den som ska läsa och ändra i den, men inte för någon annan). Men principerna för säkerhetsskyddet skiljer sig på en avgörande och ur ett nationalekonomiskt perspektiv spännande punkt från många andra sorters riskhantering (vilket rent praktiskt kan vara en utmaning; se Franke 2024a, avsnitt 4.2). Så här beskriver Säkerhetspolisen (2023, s 5) hur säkerhetsskyddsanalysen – en av de mest centrala aktiviteterna – ska göras:
I säkerhetsskyddsanalysen ligger fokus på att identifiera och bedöma skyddsvärden utifrån ett konsekvensperspektiv, det vill säga utifrån vilken skada en händelse kan medföra för Sveriges säkerhet. Detta skiljer sig exempelvis från många andra typer av analyser som även tar hänsyn till hur sannolikt det är att en händelse inträffar och får negativa konsekvenser.
Endast konsekvenserna av säkerhetshotande händelser får alltså beaktas. I den mån vi vet något om sannolikheterna så ska vi bortse från den kunskapen. Kan det verkligen vara rationellt? Det är den frågeställningen vi nu ska belysa.
Beslut under risk respektive osäkerhet
Frank Knight gjorde i Risk, Uncertainty and Profit 1921 den sedermera klassiska distinktionen mellan beslut under risk respektive beslut under osäkerhet. I båda fallen går beslutsfattaren en okänd framtid till mötes, men i ett beslut under risk går det okända ändå att kvantifiera med hjälp av historisk data eller teoretiskt vederhäftiga sannolikhetsfördelningar. Försäkringsbolag är paradexemplet, dels på att analysen går att göra, dels på hur andra i sin tur därmed kan riskhantera genom att köpa försäkringar eller för den delen finansiella instrument. I ett beslut under osäkerhet, däremot, är sannolikheterna inte kända och inte heller möjliga att uppskatta. Besluten måste dock fattas ändå och Knights poäng är att det är just sådana beslut som ger möjlighet till vinster, medan vinsten tenderar att gå mot noll på mognare marknader där sannolikheterna går att kvantifiera. Beskrivet på det viset utgör beslut under risk ett högre stadium, där vi vet mer och därför kan agera klokare.
Matematiskt återspeglas det i vilka beslutsregler som är möjliga. Med bara konsekvenserna kända kan vi exempelvis sansat välja det handlingsalternativ som har det största värdet på det sämsta utfallet eller våghalsigt välja det handlingsalternativ som har det största värdet på det bästa utfallet. Vad vi inte kan göra är att välja det alternativ som maximerar den förväntade nyttan, eller någon riskavers version av detsamma. Sådana beslutsregler är bara möjliga när vi har kännedom om sannolikheterna. (För vidare läsning om beslut under risk respektive osäkerhet, se Resnik (1987) eller någon annan lärobok i beslutsteori.)
Okunnighetens slöja
Säkerhetspolisen föreskriver att säkerhetsskyddsarbete ska vara beslut under osäkerhet snarare än beslut under risk. I situationer när vi saknar kunskap om sannolikheter, vilket naturligtvis ofta är fallet, så spelar den regeln ingen roll. Men om vi faktiskt har sådan kunskap så förväntas vi alltså bortse från den och därmed avstå från möjligheten att maximera förväntad nytta. Avsiktligt eller ej så liknar upplägget John Rawls (1999) berömda ursprungsposition, tankeexperimentet där ett antal rationella individer träffas för att fatta beslut om principerna för ett rättvist samhälle. Man kan säga mycket om Rawls politiska teori, men det intressanta här är dess beslutsteoretiska rötter. I ursprungspositionen känner ingen till sina egna personligheter och preferenser, fysiska och mentala förmågor eller sannolikheterna för olika utfall. Tanken med denna s k okunnighetens slöja är att opartiskheten ska ge utfallet en särskilt tyngd.
Rawls menar att tre omständigheter talar för att man i ursprungspositionen rimligen bör följa en maximin-princip och försöka välja det handlingsalternativ som har det bästa värdet på det sämsta utfallet: Uppsidan är ganska liten, nedsidan är mycket stor och vi saknar kunskap om sannolikheterna för olika utfall (Rawls 1999, s 133–135).
När Säkerhetspolisen placerar oss bakom okunnighetens slöja görs det troligen utifrån en tankegång som liknar Rawls: Uppsidan är ganska liten – lite bekvämlighet och mindre ekonomiska besparingar. Nedsidan är mycket stor – förlust av Sveriges frihet, oberoende och fortbestånd. Om man ska fatta ett beslut av den sorten framstår det som helt rimligt att vara mycket försiktig och följa en Rawlsiansk maximin-princip. Ursprungspositionen – både Rawls och Säkerhetspolisens – tycks vara konstruerad för att vi ska tvingas ta hänsyn till svåra konsekvenser även om de framstår som osannolika. Låg sannolikhet är ingen ursäkt för att bagatellisera en allvarlig händelse.
Hur många beslut?
Argumentet ovan framstår vid första påseende som rimligt. Vid närmare granskning är det dock mindre övertygande, även om vi för resonemangets skull accepterar Rawls argument för att välja maximin-principen i ursprungspositionen.2 Skälet är att medan Rawls ursprungsposition används för att fatta ett enda för all framtid bindande beslut så är Säkerhetspolisens ursprungspositions tänkt att användas många gånger; dels i olika företag, kommuner och myndigheter runtom i Sverige, dels om och om igen minst vartannat år.
Om man ska fatta ett enda avgörande beslut med stor nedsida är det fullt rimligt att vara riskavers. Därför är det vid stora principbeslut om exempelvis försvarsanslag helt rätt att inte fästa sig för mycket vid sannolikheter (se även Brännström m fl 2018 och Ingelstam 2018). Om man exempelvis en gång för alla får besluta att sätta hela sin förmögenhet antingen på ett sparkonto eller i en enskild aktie så är det klokt att fokusera på det värsta tänkbara utfallet av aktieinvesteringen, inse att alla sannolikhetsestimat är skakiga och välja sparkontot. Men om en sådan regel tillämpas på en massa små beslut som aggregeras så blir avvikelsen från att maximera förväntat värde i längden mycket besvärande. Om man exempelvis varje månad får besluta att sätta ett belopp antingen på ett sparkonto eller i en aktiefond så är det ofta direkt oklokt att fokusera på det värsta tänkbara utfallet av aktieinvesteringen och därmed avskräckas till att hålla fast vid sparkontot. Att i det fallet kasta bort den – låt vara ofullständiga – sannolikhetsinformation som man har för att omvandla problemet till ett beslut under osäkerhet och sedan välja en konservativ Rawlsiansk maximin-strategi framstår som helt fel metod.
I Rawls-kontexten går det formellt att visa att om man följer en maximin-strategi i en serie beslutssituationer var för sig så garanterar det inte att även det aggregerade utfallet motsvarar maximin (Franke 2024b). Detta specifika resultat är i sin tur inte alls förvånande, utan svarar mot den grundläggande insikten i finansiell ekonomi att risk inte bäst hanteras genom att stirra på riskfyllda tillgångar var för sig, utan genom att studera deras kovarians med andra tillgångar (se t ex Varian 1992, s 370). Daniel Kahneman (2013, kapitel 31) ger en utmärkt populärvetenskaplig beskrivning av samma företeelse i bästsäljaren Tänka, snabbt och långsamt, där han pedagogiskt förklarar fördelarna med att välja en bred inramning (alla riskfyllda beslut betraktade som en helhet) snarare än en snäv inramning (varje riskfyllt beslut för sig).
Säkerhetsskydd med bred inramning
Ur detta perspektiv framstår idén att bara ta hänsyn till konsekvens och bortse från sannolikhet inte alls som oklok i sig, men däremot malplacerad och felanvänd. Den borde rätteligen finnas som en portalparagraf i Säkerhetsskyddslagen, som vägledning i den breda beslutsramen. Där finns den dock inte. Där den faktiskt finns, i den snäva inramning som utgörs av varje enskild säkerhetsskyddsanalys, passar den mycket sämre.
Ett klokare sätt att bedriva säkerhetsskyddet är att ge det en bred inramning. Knäckfrågan i den breda inramningen är hur de olika utfallen aggregeras och det är viktigt att förstå att detta kan ske på olika sätt. Varian (2004) illustrerar det med en skyddsmur som byggs gemensamt av många. Om det är murens lägsta punkt som är avgörande för skyddsnivån sker så aggregeringen enligt principen att den svagaste länken bestämmer utfallet. Ett sätt att tolka Säkerhetspolisens instruktioner som tycks vara i linje med säkerhetstjänstens etos är att den svagaste länken-aggregering alltid antas gälla. Men det gör den inte. Varian påpekar att man mycket väl kan tänka sig andra principer för aggregeringen, t ex att det är den totala ansträngningen som avgör – om muren blir säkrare och säkrare ju mer vi bygger – eller den starkaste länken – om vi har flera murar och den högsta bestämmer skyddsnivån. I verkligheten kan man också tänka sig mer komplicerade kombinationer av dessa tre typfall.
Först när vi har en välgrundad idé om vilken aggregering av utfall som gäller på ett visst område kan vi ta ställning till om vi ska bortse från sannolikheter och tillämpa maximin (svagaste länken), om vi ska ta hänsyn till vad vi vet om sannolikheter och försöka maximera förväntat värde (total ansträngning) eller om vi rentav av ska bortse från sannolikheter och tillämpa maximax (starkaste länken). Många verksamheter med relevans för Sveriges säkerhet aggregeras rimligen enligt svagaste länken. Då är det helt rätt att bortse från sannolikheter och tillämpa maximin. Typexemplen är sådant som Säkerhetspolisen alltid har haft ansvar för, exempelvis personskydd för statsledningen där skyddsobjekten är få och unikt viktiga. Men det är inte svårt att tänka sig verksamheter där det snarare är total ansträngning som räknas. Så blir det om det är många personer eller verksamheter som ska skyddas oberoende av varandra, exempelvis genom ett stort antal skyddsrum eller separata förnödenhetsflöden. Då bör vi snarare försöka maximera förväntat värde. Här är oberoendet avgörande – är instanserna beroende får vi en annan slags aggregering. Minns kovarianserna från finansiell ekonomi! Till och med starkaste länken är ibland tänkbar. Ett exempel kan vara teknisk utveckling och försvarsinnovation, där kreativiteten hos personer som Wernher von Braun kan tänkas övertrumfa deras opålitlighet (en von Braun kanske kan vara mer värdefull än hundra mer pålitliga men mindre kunniga personer). Ett annat exempel kan vara behovet av att gå från need to know till need to share i analys av underrättelseinformation (att en analytiker råkar få se rätt information i rättan tid kanske kan vara mer värdefullt än att hundra andra tittar på samma information utan att förstå den). I sådana fall kan det rentav vara klokt att tillämpa maximax, även om det annars ofta är en dålig idé.
Exemplen ovan är naturligtvis förenklade, men just därför förtjänar frågeställningen djupare analys. Först när vi har en bättre förståelse för hur olika utfall aggregeras kan vi ge säkerhetsskyddet den breda inramning som behövs för att det ska bli så bra som möjligt. Att dra en okunnighetens slöja över precis alla säkerhetsskyddsbeslut är inget bra alternativ.
1 https://www.sakerhetspolisen.se/sakerhetsskydd/om-sakerhetsskydd.html.
2 Till de mest namnkunniga kritikerna hör John Harsanyi (1975) som argumenterade för att det rationella i ursprungspositionen är att ansätta sannolikheter och försöka maximera förväntad nytta. Robert Nozick (1981, s 729) påpekar ur ett kunskapsteoretiskt perspektiv att ett argument som säger att ”du skulle hålla med om p om du visste mindre än du faktiskt vet” (t ex om du inte visste något om sannolikheter) framstår som oerhört mycket mindre övertygande än ett argument som säger att ”du skulle hålla med om p om du visste mer än du faktiskt vet”.
Brännström, A, B Hugemark och J Mörtberg (2018), ”Farligt att basera försvaret på vad vi tror är sannolikt”, Svenska Dagbladet, 23 januari 2018, s 4.
Franke, U (2024a), ”Att utveckla och implementera cybersäkerhetspolicy – lärdomar från den finansiella sektorn”, Statsvetenskaplig tidskrift, årg 126, s 251–272.
Franke, U (2024b), ”Rawlsian Algorithmic Fairness and a Missing Aggregation Property of the Difference Principle”, Philosophy & Technology, vol 37, artikel nr 87.
Harsanyi, J C (1975), ”Can the Maximin Principle Serve as a Basis for Morality? A Critique of John Rawls’s Theory”, American Political Science Review, vol 69, s 594–606.
Ingelstam, L (2018), ”Därför har sparkade generalen rätt”, Svenska Dagbladet, 29 januari 2018, s 4.
Kahneman, D (2013), Tänka, snabbt och långsamt, Volante, Stockholm.
Knight, F H (1921), Risk, Uncertainty and Profit, Houghton Mifflin, Boston och New York.
Nozick, R (1981), Philosophical Explanations, The Belknap Press of Harvard University Press, Cambridge MA.
Rawls, J (1999), A Theory of Justice, revised edition, Oxford University Press, Oxford.
Resnik M D (1987), Choices: An Introduction to Decision Theory, University of Minnesota Press, Minneapolis. Kapitel 2 handlar om beslut under osäkerhet, kapitel 3 om beslut under risk.
Säkerhetspolisen (2023), Säkerhetskyddsanalys – vägledning i säkerhetsskydd, https://www.sakerhetspolisen.se/download/18.3baf70bf187108c7cf04b7/1681802201089/Sa%CC%88kerhetskyddsanalys_anpassad.pdf [version från januari 2023].
Varian, H R (1992), Microeconomic Analysis, tredje upplagan, WW Norton, New York.
Varian, H (2004), ”System Reliability and Free Riding”, i Camp, L J och S Lewis (red), Economics of Information Security. Advances in Information Security, vol 12, Springer, Boston.