32:a hemvärnsbataljonen hör till Gotlands regemente P 18.
”Hantera öppen information med gott omdöme. För även om det inte är olagligt att publicera öppen information kan det vara olämpligt. En stor mängd öppen information kan bli skyddsvärd om den sammanställs på rätt sätt.”
Meningarna ovan är hämtade från Försvarsmaktens hemsida, under rubriken ”Sociala medier och säkerhet”. I en punktlista sammanfattas där vad personer inom försvaret bör tänka på när de delar innehåll på internet.
Trots sådana förmaningar kan Helagotland.se visa att det på bara några få timmar går att kartlägga flera personer i förmodat ledande ställning inom den 32:a Hemvärnsbataljonen, som är verksam på Gotland. Utifrån den kostnadsfria personuppgiftssidan Ratsit och just det innehåll som bataljonen – och personerna själva – delat på Facebook går det att sammanställa uppgifter om bland annat personnummer, bostadsadress och namn på nära anhöriga.
I flera fall är det dessutom enkelt att ta reda på vilken roll – exempelvis hundförare, sjukvårdare eller ledningssystembefäl – som personen har inom bataljonen.
Göran Karlsson är reservofficer och högsta chef för hemvärnet på Gotland. Han har nästan 50 års erfarenhet av att arbeta inom Försvarsmakten. Enligt honom är den lätthet varmed personuppgifter kan sammanställas en konsekvens av öppenheten i det svenska samhället.
– Det är ju tack vare den som exempelvis Ratsit kan få information, säger Göran Karlsson.
Göran Karlsson menar att information om personerna i ledande befattning inom hemvärnet skulle kunna utgöra en risk om de sammanställdes. Men samtidigt tror han att det finns andra personer som är betydligt mer intressanta för en fiende.
Han är en av två administratörer för den Facebook-sida som bataljonen driver. Genom den vill man informera både allmänheten och de frivilliga själva om hemvärnets verksamhet. Där delas bland annat information om genomförda övningar, tips om läsvärda länkar och uppmaningar till allmänheten om att ansöka till hemvärnet.
Men det var också med utgångspunkt i sidan och innehållet som delats där som Helagotland.se kunde sammanställa personuppgifter på flera av de frivilliga.
– Det är en risk vi är beredda att ta. Alla som väljer att vara aktiva i sociala medier måste vara medvetna om att de också blir publika i någon mån. Att någon är med i Hemvärnet är inte hemligt, om personen själv vill vara öppen med det, säger Göran Karlsson och fortsäter:
– I rekryteringssyfte är det viktigt att vi finns där. När vi har uppdaterat sidan med nya inlägg märker vi ju att antalet ansökningar ökar. Och vi lägger bara upp information om övningar i efterhand.
På den Facebook-sida som hemvärnet på riksnivå hanterar har man uppmanat sina följare att vara försiktiga med vad man delar för information.
Karl Emil Nikka är it-säkerhetsspecialist och driver sedan 2017 ett företag som utbildar svenska organisationer i säkerhetsarbete. Även han är inne på Göran Karlssons spår, men menar att hemvärnet hamnar i en knepig sits när det gäller sociala medier.
– Det är en utmaning för både dem och Försvarsmakten. De behöver synas där för att sprida intresse för sin verksamhet och rekrytera personal, men de ska samtidigt vara väldigt försiktiga med vad de publicerar, säger Karl Emil Nikka.
Han använder ordet ”konsumenttjänster” för att beskriva sociala medier som exempelvis Facebook, Instagram och Twitter. Sådana har inte som primärt syfte att skydda känslig information. Och just sociala medier är enligt Karl Emil Nikka huvudsakligen till för att dela information utåt. Men rätt sammanställt kan den informationen – precis som Försvarsmakten skriver i de egna riktlinjer – bli ”skyddsvärd”.
Karl Emil Nikka är it-säkerhetsspecialist med lång erfarenhet av att utbilda organisationer i it-säkerhetsarbete.
Göran Karlsson menar att man känner till riktlinjerna och att det har förts diskussioner om dem. Men på frågan om hemvärnet borde vara mer återhållsamma kring vad som delas på sociala medier är han tveksam.
– Jag tycker att vi har varit tillräckligt bra hittills. Visst kan det finnas risker med att vara så öppna, men har vi sett att någon skrivit för mycket så har vi sett till att snabbt plocka bort det, säger Göran Karlsson.
I flera fall har vi identifierat frivilliga genom att de på Facebook uppger exempelvis födelsedatum, bostadsort och partner. Det kan sedan samköras mot Ratsits uppgifter. Borde de vara mer försiktiga?
– Vi är en öppen organisation och även de frivilliga har ett ansvar för vad de delar med sig av. Det är upp till dem.
Enligt Göran Karlsson är cirka 400 gotlänningar aktiva inom hemvärnet i nuläget.
I värsta tänkbara scenario, där Gotland angrips av främmande makt, vad skulle fienden kunna använda uppgifter om exempelvis adress och anhöriga till?
– Kanske skulle jag och exempelvis min ställföreträdare vara mål och riskera att försvinna. Det skulle drabba hela bataljonen. Men vi har ju också i media valt att vara öppna med vilka vi är, säger Göran Karlsson och fortsätter:
– Att olika databaser gör det möjligt att ta reda på ganska mycket om våra medmänniskor är möjligen ett mer generellt problem ibland, men samtidigt är det ju det öppna samhället som vi finns till för att försvara. Och ärligt talat tror jag inte heller att vi är så betydelsefulla. Det finns andra som är mer intressanta för fienden.
Utöver informationen om frivilliga finns det på hemvärnets Facebook-sida en annan eventuell säkerhetsrisk. Det är nämligen den enda – av de cirka 20 hemvärnsbataljoners Facebook-sidor som Helagotland.se har hittat – i Sverige där den som vill kontakta bataljonen hänvisas till en privat Telia-mejladress. De andra bataljonerna uppger i stället mejladresser tillhörande Försvarsmakten, med domänen ”@mil.se”.
På Gotlands hemvärns Facebook-sida hänvisas till en privat mejladress.
Att man på Gotland har uppgett en privat mejl kan enligt Karl Emil Nikka medföra tydliga risker. Exempelvis är det inte säkert att de mejl som skickas och tas emot blir krypterade, vilket gör att utomstående skulle kunna läsa dem.
– Mejl som skickas och tas emot från en Telia-adress kan krypteras, men det är inte säkert att de gör det. Och även om de krypteras så sker det inte hela vägen från sändare till mottagare, utan de lagras i okrypterat skick hos Telia, säger Karl Emil Nikka och fortsätter.
– Och där borde det inte ligga sådant som gäller rikets säkerhet. Hemvärnet borde inte hänvisa till en sådan adress. På Försvarsmaktens hemsida finns det dessutom en mil.se-adress till bataljonen på Gotland. Varför använder de sig inte av den?
Enligt Göran Karlsson sker det inte kommunikation som skulle vara intressant för en främmande makt via Telia-adressen. På en rak fråga om det genom mejlen går att komma över uppgifter om exempelvis särskilda kompetenser hos frivilliga svarar han bestämt nej.
Varför har ni en privat mejladress på Facebook-sidan?
– Den är kvar sedan starten, innan dess att P18 återetablerades här på ön. Eftersom Hemvärnets personal är frivilliga och inte anställda av Försvarsmakten så är det naturligt att vissa kontaktuppgifter går till privata adresser, säger Göran Karlsson.
Göran Karlsson är hemvärnschef vid 32:a hemvärnsbataljonen. Han är också administratör för bataljonens Facebook-sida.
Utöver de generella bristerna med privata mejladresser menar Karl Emil Nikka att det är riskabelt om personen som har Telia-adressen använder samma lösenord till den som till andra inloggningar.
– Då kan det läcka. När det gäller Försvarsmaktens mejladresser finns det system som loggar och kontrollerar åtkomsten, men ingenting sådant får man med en Telia-adress, säger han.
Göran Karlsson säger sig inte våga svara på hur medveten personen bakom Telia-adressen är kring frågor om it-säkerhet.
– Det är något vi i så fall får se över.
Men finns det inte riktlinjer ni borde följa när det gäller lösenord?
– Det finns det säkert, men det vågar jag inte heller svara på.
Under försvarsövningen Aurora 2023 kommer den gotländska hemvärnsbataljonen att öva på norra Gotland.
Karl Emil Nikka menar att det trots allt är bättre att bataljonen använder sig av en Telia-adress än exempelvis Gmail.
– Telia är åtminstone ett svenskt bolag. Men i grunden kokar det ner inte bara till vad den används, utan också vad den kan användas till.
Han tycker att Göran Karlsson är fel ute med påståendet om att mejldressen inte används till kommunikation som är intressant för främmande makt.
– Mottagaren av e-post kan aldrig bestämma vad avsändaren väljer att skriva för meddelande. Tänk om någon ser mejladressen på Facebook och skickar känslig information till den? Det går inte att hindra på förhand.