Efter att jag tweetade om specifika stycken kring mobilanvändning, sociala medier och appar ur remissen för säkerhetsprövningshandboken uppstod flera diskussioner som på olika sätt berörda användandet av tjänstetelefon. Det fick mig att tänka på att instruktionerna som just nu är gällande för ”mobila enheter” skrevs 2013 och har inte, mig veterligen, reviderats sedan dess. Samtidigt som tilldelningen av tjänstetelefoner och användandet av tjänstemail i telefonen har ökat (till del tack vare pandemin) är jag övertygad om att kunskapen om gällande instruktioner sjunkit. Det har i princip handlat om ”sunt förnuft” i hanteringen, vilket i sin tur skapat en del förutfattade meningar kring exempelvis vilka appar man får ha installerade på telefonen och ej.
Så den här artikeln kommer egentligen rakt upp och ner redogöra för vad som framgår i ”Instruktion för användning av mobila enheter, mobiltelefoni och mobila teletjänster i Försvarsmakten” samt ”Instruktion för FM AP Mobil i Iris”. Anledningen är enkel, för att kunna göra rätt måste man veta vad som gäller. De här instruktionerna är inte lätta att hitta om man inte vet var man ska leta och det är därutöver hög tid för en uppdatering av instruktionerna för att bättre matcha teknik- och samhällsutvecklingen.
Sammanfattningsvis innebär det för dig som användare att du är ansvarig för att ingen kan använda din telefon, exempelvis genom att låna ut den. Du ansvarar för vilka appar som installeras och att de inte får tillgång till funktioner eller data. Du må använda GPS, bluetooth och wifi, men det ska ske restriktivt och mot ”kända nätverk”. Du får använda din tilldelade tjänstemobil (eller surfplatta) för privata ändamål så länge det inte skapar kostnader eller har en negativ inverkan på funktion. Du är skyldig att uppdatera din enhet när sådana direktiv kommer på emilia.
De allmänna bestämmelserna för användning av en mobiltelefon
De allmänna bestämmelserna består av 13 punkter som beskriver vad som förväntas av användaren av en tilldelad tjänstetelefon och saker av mer allmän karaktär som att Försvarsmaktens mobiltelefonnummer inte ska publiceras i allmänna telefonkataloger. Här under kommer några av de viktigaste punkterna att återges. För hela listan, se instruktionen på emilia.
- Användning av mobila enheter ska ske i enlighet med Försvarsmaktens värdegrund, regelverk och gällande lagstiftning.
- Mobila enheter anskaffas av myndigheten och kvitteras av användaren som därigenom knyts till gällande regelverk och bestämmelser, bl a denna instruktion.
- Privata mobila enheter får inte användas för tjänstebruk eller ansluts till myndighetens nätverk.
- Det är inte tillåtet att nyttja mobil enhet tillhandahållen av myndigheten för privata ändamål på ett sådant sätt att myndigheten kostnadsmässigt belastas, t ex genom mobilbetalning eller för att ingå avtal över mobil enhet.
- Endast mobila enheter vilka har godkänts för ändamålet får anslutas till myndighetens nätverk och övriga tjänster såsom e-post, synkronisering av kalender och kontakter samt åtkomst till myndighetsinterna nätverksresurser.
- En mobil enheter som inte längre används ska återlämnas till myndigheten.
Här är det egentligen inget som sticker ut från vad de flesta ser som sunt förnuft. Det jag inte skrivit med här är möjligheten att överta sitt mobilnummer när man avslutar sin anställning och liknande. Det intressanta är är egentligen säkerhetsbestämmelserna. Det ska tilläggas innan vi går vidare att samtliga bestämmelser gäller genom hela konfliktskalan, från fred till krig.
Övergripande säkerhetsbestämmelser
Det anges att det finns detaljerade säkerhetsbestämmelser som framgår i instruktion för respektive mobil enheter. Undertecknad har inte sett till några detaljerade bestämmelser utöver den instruktion som finns för Iris i mobiltelefon och surfplatta. Här nedan följer de viktigaste bestämmelserna.
- Sekretessbelagda uppgifter med hänsyn till rikets säkerhet får endast diskuteras i ta över mobila enheter samt lagras på mobila enheter vilka särskilt har godkänts för sådan användning.
- Användaren är skyldig att ta del av säkerhetsbestämmelser i denna instruktion och i instruktion för respektive mobil enhet, vilket ska intygas genom kvittens för respektive mobil enhet.
- Mobila enheter och tillhörande abonnemang ska skyddas från obehörig åtkomst vilket regleras i säkerhets- och handhavanderegler för respektive mobil enhet.
- Användaren ska regelbundet radera sådan information i den mobila enheten som inte längre behövs.
- Mobila enheter får inte medföras i lokaler eller utrymmen vid muntlig delgivning eller visning av uppgifter inplacerade i informationssäkerhetsklass Hemlig/Confidential eller högre.
- Användaren är skyldig att vidta de åtgärder som krävs för att förhindra förlust av enheten, speciell aktsamhet ska vidtas vid resor.
- Förlust av en mobil enhet ska skyndsamt anmälas till chef eller säkerhetschef. Vid en förlust är användaren skyldig att omedelbart vidta åtgärder för att skydda myndighetens informationstillgångar.
- Arbetsgivaren kommer att följa upp att regelverket för mobila enheter följs, bland annat genom internkontroller.
- Den som använder Försvarsmaktens mobila enheter på ett sätt som strider mot denna instruktion kan bli föremål för åtgärder från arbetsgivarens sida.
Några punkter för dig som använder Iris, det vill säga har tillgång till epost på din tjänstemobil. För hela listan, se ”Instruktion för FM AP Mobil”.
- Rekommenderade uppdateringar av systemprogramvara publiceras på portalen för FM AP Mobil. Du som användare ansvarar för att senaste rekommenderad utgåva installeras och nyttjas senast 30 dagar efter publicering.
- Information från Iris, såvida den inte är avsett för hantering på eller via Internet, eller är av privat karaktär, får inte vidarebefordras till, lagras i eller bearbetas på internetbaserade molntjänster.
- Du som användare ansvarar för att information i Iris ej exponeras för obehöriga. Det innefattar bland annat att inte dela med sig av sitt lösenord till andra, att förvara enheten på säkrast möjliga sätt och att inte låna ut enheten till obehöriga.
- Om mobil enhet är utrustad med möjlighet till trådlös nätverksuppkoppling (WiFi) får sådan uppkoppling endast ske mot ett av användaren känt trådlöst nätverk (t.ex. skyddade hemmanätverk, nätverk tillhandahållna av etablerade reseföretag, hotell eller andra liknande kända nätverk). Notera att varje anslutning till ett trådlöst nätverk skall vara övervägd och nödvändig. Du som användare har ansvar att följa instruktionen och övervaka att telefonen endast gör det den skall göra.
- Du som användare medger att en administratör kan ta del av privat information vid administration eller genomgång av enheten.
- Nyttjande av appar skall ske restriktivt och med omdöme. Du som användare tillåts endast att installera appar från officiella marknadsplatser knutna till leverantören av operativsystemet. Föredra kända appar som många har använt. Det minskar risken för att den innehåller skadlig kod eller beter sig annorlunda än deklarerat. Du ansvarar själv för eventuella kostnader i samband med nedladdning eller användning.
- Du som användare ansvarar för att avstå från appar eller inställningar i appar som kräver högre eller fler behörigheter än vad som är rimligt för appens funktion.
- Du som användare ansvarar för, om detta regleras lokalt, att i tjänsten inte tillåta platspositionering (tillåta appen att använda din nuvarande plats) och att inte heller geotagga bilder.
- Du som användare skall restriktivt utnyttja: allmänna lokaliseringstjänster, GPS positionering, WLAN, Bluetooth, GPS och datatrafik.
- Du uppmanas att regelbundet kontrollera MUST säkerhetsportal på FM Intranät (emilia). Där framgår viktig information rörande allmänna råd för användning av mobiltelefon.
Det finns som nämnts ett par punkter till, samt några punkter vad som gäller för chefen för organisationsenheten. Lokala bestämmelser får förekomma så länge de är mer restriktiva än de bestämmelser som anges i dokumenten. Således kan lokala bestämmelser ange att inga mobila enheter får finnas i rum där begränsat hemlig information delges. Det ska även tilläggas att det finns inget som förbjuder en användare för att ha olika typer av meddelandetjänster installerade på telefonen (exempelvis signal). Telefoner får uttryckligen, enligt instruktionen för FM AP Mobil och Iris, hantera SK.
Då de här två dokumenten har flera år på nacken har det över tid skett en förflyttning i uppfattning om vad användaren för eller inte får göra med sin telefon. Det finns olika råd och rekommendationer som framstår som skallkrav samtidigt som de styrande dokumenten inte förändrats. Det finns ett behov av att uppdatera och framförallt göra de här instruktionerna mer lättillgänglig. Det finns dokument som säger att tjänsteutövning inte får ske genom meddelandeappar, samtidigt finns det inget i instruktionerna som förbjuder tjänsterelaterad kommunikation. Om kommunikation är tillåten att ske genom sms eller telefonsamtal, varför skulle vi välja att begränsa oss från att använda applikationer som underlättar för masskommunikation?
15 670:55958 Instruktion för användning av mobila enheter, mobiltelefoni och mobila teletjänster i Försvarsmakten
15 670:55959 Instruktion för FM AP Mobil i Iris