Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Så skyddas Försvarsmaktens it

Att säkra ett företags it-infrastruktur är svårt nog. För Pia Gruvö, chef för krypto och it-säkerhet vid militära underrättelse- och säkerhetstjänsten, MUST, är uppdraget snäppet värre: Att skydda Försvarsmaktens it-system.

Text Miguel Guerrero Foto Försvarsmakten 29 mars 2017 säkerhet

20170117_nicehl01_GALT-UTB_LedR_0045_960x640.jpg

Förarutbildning på RG32, vanligtvis kallad Galten. Signalskydd sker även ute i fält, till exempel i radiosammanhang. Foto: Niclas Ehlén, Combat Camera/Försvarsmakten

– Vi har ett antal olika huvuduppgifter, bland annat godkänner vi säkerheten i Försvarsmaktens it-system, och leder och samordnar signalskyddet inom totalförsvaret.  I det ingår att till exempel att producera och distribuera kryptonycklar till totalförsvaret, kravställa, granska och godkänna kryptosystem och it-säkerhetsprodukter samt godkänna it-system ur ett säkerhetsperspektiv. Däremot är det inte vår uppgift att till exempel göra penetrationstester. Vi kan granska huruvida uppgifter som lämnats in på pappersunderlag stämmer mot hur det ser ut i verkligheten, vilket det ofta inte gör, men det är sällan vi som hackar, säger Pia Gruvö.

Med snart tre decennier i verksamheten har hon sett it-säkerhetsområdet utvecklas och det med en rasande hastighet.

– Det it-säkerhetsmässiga gapet mellan utvecklingen och säkerheten ökar. Det finns många möjligheter med digitaliseringen och jag är verkligen ingen bakåtsträvare, men man gör inte alltid en analys utan gör sig ofta mer sårbar. Man måste ha med tankarna på att en robusthet i systemen när man gör dem tillgängliga.

Fokus på totalförsvaret

Tillsammans med MSB, FRA, FMV, PTS och Säpo ingår Must i ett samverkansforum. Där kan man se pendeln att svängt igen, från att som Försvarsmakten ha varit fokuserad på internationella insatser till att återigen fokusera på totalförsvaret. Men samhället har inte riktigt hängt med även om man sakta börjar vakna till liv och förstå att det är viktigt att tänka på signalskydd.

PiaG_960x640.jpg

Pia Gruvö

– Vi är absolut naiva och tror folk om gott i Sverige. Vi håller upp dörrar och vill vara hjälpsamma. Det är man i många andra länder också, men vi tror ofta att ingen vill åt oss. Därför tycker inte jag att man kan ha it-system där en enskild användare kan ge kritisk skada på hela systemet till exempel genom att klicka på ransomware-länk. Den principen är väldigt god.

Aktivitetsbaserade kontor och mobila arbetssätt i all ära, men i det stora interstatliga spelet funkar inte det för exempelvis många inom den offentliga sektorn.

– Jag tycker att vi i Försvarsmakten också ska kunna jobba mer på distans, men då med säkra mekanismer som en egen dator utan tillgång till hemliga system. Att däremot logga in på offentliga datorer är bara att glömma, det funkar inte hos oss. Vi har en väldig förståelse för verksamheten och att lösningarna måste ha en verksamhetsnytta men ibland är det lite oklart från verksamheten varför vi ska godkänna vissa lösningar. Det är lättare att välja prylar än att göra en riktig analys vad man ska använda den till.

Samhällsviktig rekrytering

Precis som alla andra företag och myndigheter slåss Must om att hitta kompetent personal. En nyligen gjord undersökning visade att Försvarsmakten var den myndighet där flest it-personer vill jobba. Trots det är det är det lite uppförsbacke för Pia Gruvö och hennes kollegor.

– Vi strävar efter att vara en attraktiv arbetsgivare, men det är många av de stora myndigheterna utöver den privata sektorn som är ute och rekryterar nu. För två år sedan växte vi och fick ett antal platser tilldelade för att rekrytera personer med kompetens inom it-säkerhet, krypto och hårdvara, men vi har fortfarande vakanser där. Vi kanske inte alltid kan konkurrera med lönen, men det här är ett roligt, utmanande och viktigt jobb.

Vår personal är duktig och generös med sin kunskap. Ingen sitter och tjuvhåller på något.

Pia Gruvö , chef avdelningen för krypto och signalskydd, Försvarsmakten

Ett problem tror Pia Gruvö är att den militära underrättelse- och säkerhetstjänstens avdelning för it-säkerhet och krypto inte är ett särskilt känt varumärke och att man därför har svårt att nå ut.

– Det är synd för vi är bra på kompetensutveckling och åker på konferenser och kurser, men framför allt är det duktiga personer här som är generösa med sin kunskap. Ingen sitter och håller på något utan man lär varandra vad man kan.

Ny teknik ger nya attackmetoder

Den stora hotbilden som hon och hennes kollegor kämpar mot har inte förändrats även om tekniken har det. Då som nu handlar det om nationer med mycket kapacitet och stort intresse. Däremot har metoderna förändrats.

– Internet har så klart eskalerat bilden och attackerna. När jag började fanns det knappt IP.  Sedan har det ju kommit avancerade attacker såsom strömförbrukningsattacker och timingattacker.

Pia Gruvö förespråkar ett större ansvarstagande inom it-frågor, något som ofta saknas.

– Varför tänker man inte mer på att ha en sund it-drift? It betraktas ofta som någon annans ansvar. Jag tycker att ackreditering är en bra princip eftersom det kräver att någon ansvarig tar ett aktivt beslut. Om något händer finns det någon som kan säga ”vi gjorde en bedömning och tog den här risken”.

Öppen källkod inte alltid säker

Säkerhet är inte alltid en självklar fråga för verksamheterna och därför jobbar Pia Gruvö och hennes kollegor med att ta fram exempel på hur man ska tillämpa regelverket för att klara kraven. De tittar också mycket på nya, bättre metoder för att snabbare få ut produkter.

– Vi kan inte ha för specifika lösningar utan måste titta mer på generella produkter som kan användas i olika sammanhang, och modularisering för att återanvända funktionalitet. På så sätt kan vi bli mer agila. Nu när vi dessutom har krav på oss att vara interoperabla mot andra nationer är det ännu viktigare att jobba mot standarder. Därför pekar vi gärna på sådana saker som andra har gjort bra istället för att hitta egna lösningar på allt. Open source är jättebra i vissa sammanhang, men däremot ska man inte göra misstaget att tro att bara för att det är öppen kod så är den granskad.

Pia Gruvös bästa säkerhetstips

  • Skapa en sund it-miljö där en användare inte kan slå ut ett helt system.
  • Se till att man säkrar driften och patchar systemen kontinuerligt.
  • Gör inte penetrationstester och tro att det löser alla problem utan att veta vad du ska ha resultatet till. Det är viktigare att veta varför man har en brist än att bara stänga säkerhetshålet.

Rekommenderad läsning

Allt fler har en plan för sin digitalisering

20 maj 2016 ledarskap

lotta-ungerth.jpg lotta-ungerth.jpg lotta-ungerth.jpg

Det är fantastiskt att fler än hälften, 54 procent, av de it-proffs som besökte Atea IT-arena i höstas, har en plan för hur de ska digitalisera sin verksamhet. Det anser Charlotta Ungerth, CIO på Atea, när hon kommenterar undersökningen där 2 700 deltagare svarade.

Hur skapar man nytta av Digital Signage?

25 maj 2016 digit

digital signage sofia bjureblad digital signage sofia bjureblad digital signage sofia bjureblad

Sofia Larsson och Magnus Bjureblad från Atea föreläste på Atea Bootcamp om fördelarna med digital skyltning. 
– Digital Signage är världens bästa kommunikationsverktyg, säger Sofia Larsson. 

HP Labs Bolwell talade inför storpublik

25 maj 2016 ledarskap

bollwell.jpg bollwell.jpg bollwell.jpg

Andrew Bolwell från HP Labs pratade inför fullt hus under onsdagseftermiddagens sommarvärme om hur ny teknik skapar nya förutsättningar för förändringar och framsteg.

”Alla måste på digitaliseringståget!”

25 maj 2016 Digitalt ledarskap

kalle_hultenheim.jpg kalle_hultenheim.jpg kalle_hultenheim.jpg

Digitaliseringståget går nu och det gäller att hoppa på. För vissa blir det i farten, för andra en avvägning av vilket tåg man ska gå på, men att stanna på perrongen är inte alternativ. Det var temat för Carl-Johan Hultenheims, vd för Atea, keynote som inledde årets bootcamp i Tylösand.

Paradigmskifte i brott

26 maj 2016 säkerhet

ola wittenby.JPG ola wittenby.JPG ola wittenby.JPG

Ola Wittenby, affärsenhetschef på IBM Security, föreläste på Atea Bootcamp om dagens och dåtidens säkerhetshot, om hur de kriminella nätverkens arbetssätt har förändrats nu mot då, och hur ditt företag kan göra sitt bästa för att försvara sig.

Träffa din läkare från solstolen

1 jun 2016 digit

AdobeStock_53015351_960x640.jpg AdobeStock_53015351_960x640.jpg AdobeStock_53015351_960x640.jpg

Träffar du din läkare ofta? Då finns mycket tid att spara. På Karolinska universitetssjukhuset har man infört en videolösning för besök i öppenvården, något som sparar tid för både patienter och vårdpersonal.

Så jobbar Hylte för skolans bästa

2 jun 2016 digit

Joke och hylte.PNG Joke och hylte.PNG Joke och hylte.PNG

Joke Palmqvist, ansvarig för skola på Microsoft, och Malin Thydén Kärrman, it-samordnare på Hylte kommun, diskuterar svårigheterna att få skolor och it-verksamheter att komma överens och få med alla på digitaliseringståget.  

Microsoft tar hjälp av användarna

2 jun 2016 digit

bertman.JPG bertman.JPG bertman.JPG

Erik Bertman, vice vd på Microsoft Sverige, pratar om företagets utveckling och framtid. Han ser den nuvarande förändringsfasen som en av de mest spännande någonsin i och med bland annat digitaliseringen och Windows 10.  

IoT är lösningen för trångbodda

2 jun 2016 digit

bergdahl bolwell.JPG bergdahl bolwell.JPG bergdahl bolwell.JPG

I nästa våg av Internet of things kommer vardagen för många av oss att underlättas. Andrew Bolwell från HP Labs och Stefan Bergdahl från HP Sverige ger konkreta exempel.