Så skyddas Försvarsmaktens it
Förarutbildning på RG32, vanligtvis kallad Galten. Signalskydd sker även ute i fält, till exempel i radiosammanhang. Foto: Niclas Ehlén, Combat Camera/Försvarsmakten
Att säkra ett företags it-infrastruktur är svårt nog. För Pia Gruvö, chef för krypto och it-säkerhet vid militära underrättelse- och säkerhetstjänsten, MUST, är uppdraget snäppet värre: Att skydda Försvarsmaktens it-system.
– Vi har ett antal olika huvuduppgifter, bland annat godkänner vi säkerheten i Försvarsmaktens it-system, och leder och samordnar signalskyddet inom totalförsvaret. I det ingår att till exempel att producera och distribuera kryptonycklar till totalförsvaret, kravställa, granska och godkänna kryptosystem och it-säkerhetsprodukter samt godkänna it-system ur ett säkerhetsperspektiv. Däremot är det inte vår uppgift att till exempel göra penetrationstester. Vi kan granska huruvida uppgifter som lämnats in på pappersunderlag stämmer mot hur det ser ut i verkligheten, vilket det ofta inte gör, men det är sällan vi som hackar, säger Pia Gruvö.
Med snart tre decennier i verksamheten har hon sett it-säkerhetsområdet utvecklas och det med en rasande hastighet.
– Det it-säkerhetsmässiga gapet mellan utvecklingen och säkerheten ökar. Det finns många möjligheter med digitaliseringen och jag är verkligen ingen bakåtsträvare, men man gör inte alltid en analys utan gör sig ofta mer sårbar. Man måste ha med tankarna på att en robusthet i systemen när man gör dem tillgängliga.
Fokus på totalförsvaret
Tillsammans med MSB, FRA, FMV, PTS och Säpo ingår Must i ett samverkansforum. Där kan man se pendeln att svängt igen, från att som Försvarsmakten ha varit fokuserad på internationella insatser till att återigen fokusera på totalförsvaret. Men samhället har inte riktigt hängt med även om man sakta börjar vakna till liv och förstå att det är viktigt att tänka på signalskydd.
Pia Gruvö
– Vi är absolut naiva och tror folk om gott i Sverige. Vi håller upp dörrar och vill vara hjälpsamma. Det är man i många andra länder också, men vi tror ofta att ingen vill åt oss. Därför tycker inte jag att man kan ha it-system där en enskild användare kan ge kritisk skada på hela systemet till exempel genom att klicka på ransomware-länk. Den principen är väldigt god.
Aktivitetsbaserade kontor och mobila arbetssätt i all ära, men i det stora interstatliga spelet funkar inte det för exempelvis många inom den offentliga sektorn.
– Jag tycker att vi i Försvarsmakten också ska kunna jobba mer på distans, men då med säkra mekanismer som en egen dator utan tillgång till hemliga system. Att däremot logga in på offentliga datorer är bara att glömma, det funkar inte hos oss. Vi har en väldig förståelse för verksamheten och att lösningarna måste ha en verksamhetsnytta men ibland är det lite oklart från verksamheten varför vi ska godkänna vissa lösningar. Det är lättare att välja prylar än att göra en riktig analys vad man ska använda den till.
Samhällsviktig rekrytering
Precis som alla andra företag och myndigheter slåss Must om att hitta kompetent personal. En nyligen gjord undersökning visade att Försvarsmakten var den myndighet där flest it-personer vill jobba. Trots det är det är det lite uppförsbacke för Pia Gruvö och hennes kollegor.
– Vi strävar efter att vara en attraktiv arbetsgivare, men det är många av de stora myndigheterna utöver den privata sektorn som är ute och rekryterar nu. För två år sedan växte vi och fick ett antal platser tilldelade för att rekrytera personer med kompetens inom it-säkerhet, krypto och hårdvara, men vi har fortfarande vakanser där. Vi kanske inte alltid kan konkurrera med lönen, men det här är ett roligt, utmanande och viktigt jobb.
Vår personal är duktig och generös med sin kunskap. Ingen sitter och tjuvhåller på något.
Pia Gruvö, chef avdelningen för krypto och signalskydd, Försvarsmakten
Ett problem tror Pia Gruvö är att den militära underrättelse- och säkerhetstjänstens avdelning för it-säkerhet och krypto inte är ett särskilt känt varumärke och att man därför har svårt att nå ut.
– Det är synd för vi är bra på kompetensutveckling och åker på konferenser och kurser, men framför allt är det duktiga personer här som är generösa med sin kunskap. Ingen sitter och håller på något utan man lär varandra vad man kan.
Ny teknik ger nya attackmetoder
Den stora hotbilden som hon och hennes kollegor kämpar mot har inte förändrats även om tekniken har det. Då som nu handlar det om nationer med mycket kapacitet och stort intresse. Däremot har metoderna förändrats.
– Internet har så klart eskalerat bilden och attackerna. När jag började fanns det knappt IP. Sedan har det ju kommit avancerade attacker såsom strömförbrukningsattacker och timingattacker.
Pia Gruvö förespråkar ett större ansvarstagande inom it-frågor, något som ofta saknas.
– Varför tänker man inte mer på att ha en sund it-drift? It betraktas ofta som någon annans ansvar. Jag tycker att ackreditering är en bra princip eftersom det kräver att någon ansvarig tar ett aktivt beslut. Om något händer finns det någon som kan säga ”vi gjorde en bedömning och tog den här risken”.
Öppen källkod inte alltid säker
Säkerhet är inte alltid en självklar fråga för verksamheterna och därför jobbar Pia Gruvö och hennes kollegor med att ta fram exempel på hur man ska tillämpa regelverket för att klara kraven. De tittar också mycket på nya, bättre metoder för att snabbare få ut produkter.
– Vi kan inte ha för specifika lösningar utan måste titta mer på generella produkter som kan användas i olika sammanhang, och modularisering för att återanvända funktionalitet. På så sätt kan vi bli mer agila. Nu när vi dessutom har krav på oss att vara interoperabla mot andra nationer är det ännu viktigare att jobba mot standarder. Därför pekar vi gärna på sådana saker som andra har gjort bra istället för att hitta egna lösningar på allt. Open source är jättebra i vissa sammanhang, men däremot ska man inte göra misstaget att tro att bara för att det är öppen kod så är den granskad.
Pia Gruvös bästa säkerhetstips
- Skapa en sund it-miljö där en användare inte kan slå ut ett helt system.
- Se till att man säkrar driften och patchar systemen kontinuerligt.
- Gör inte penetrationstester och tro att det löser alla problem utan att veta vad du ska ha resultatet till. Det är viktigare att veta varför man har en brist än att bara stänga säkerhetshålet.
Läs mer om ämnet: