Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Så skyddas Försvarsmaktens it

20170117_nicehl01_GALT-UTB_LedR_0045_960x640.jpg

Förarutbildning på RG32, vanligtvis kallad Galten. Signalskydd sker även ute i fält, till exempel i radiosammanhang. Foto: Niclas Ehlén, Combat Camera/Försvarsmakten

Att säkra ett företags it-infrastruktur är svårt nog. För Pia Gruvö, chef för krypto och it-säkerhet vid militära underrättelse- och säkerhetstjänsten, MUST, är uppdraget snäppet värre: Att skydda Försvarsmaktens it-system.

– Vi har ett antal olika huvuduppgifter, bland annat godkänner vi säkerheten i Försvarsmaktens it-system, och leder och samordnar signalskyddet inom totalförsvaret.  I det ingår att till exempel att producera och distribuera kryptonycklar till totalförsvaret, kravställa, granska och godkänna kryptosystem och it-säkerhetsprodukter samt godkänna it-system ur ett säkerhetsperspektiv. Däremot är det inte vår uppgift att till exempel göra penetrationstester. Vi kan granska huruvida uppgifter som lämnats in på pappersunderlag stämmer mot hur det ser ut i verkligheten, vilket det ofta inte gör, men det är sällan vi som hackar, säger Pia Gruvö.

Med snart tre decennier i verksamheten har hon sett it-säkerhetsområdet utvecklas och det med en rasande hastighet.

– Det it-säkerhetsmässiga gapet mellan utvecklingen och säkerheten ökar. Det finns många möjligheter med digitaliseringen och jag är verkligen ingen bakåtsträvare, men man gör inte alltid en analys utan gör sig ofta mer sårbar. Man måste ha med tankarna på att en robusthet i systemen när man gör dem tillgängliga.

Fokus på totalförsvaret

Tillsammans med MSB, FRA, FMV, PTS och Säpo ingår Must i ett samverkansforum. Där kan man se pendeln att svängt igen, från att som Försvarsmakten ha varit fokuserad på internationella insatser till att återigen fokusera på totalförsvaret. Men samhället har inte riktigt hängt med även om man sakta börjar vakna till liv och förstå att det är viktigt att tänka på signalskydd.

PiaG_960x640.jpg

Pia Gruvö

– Vi är absolut naiva och tror folk om gott i Sverige. Vi håller upp dörrar och vill vara hjälpsamma. Det är man i många andra länder också, men vi tror ofta att ingen vill åt oss. Därför tycker inte jag att man kan ha it-system där en enskild användare kan ge kritisk skada på hela systemet till exempel genom att klicka på ransomware-länk. Den principen är väldigt god.

Aktivitetsbaserade kontor och mobila arbetssätt i all ära, men i det stora interstatliga spelet funkar inte det för exempelvis många inom den offentliga sektorn.

– Jag tycker att vi i Försvarsmakten också ska kunna jobba mer på distans, men då med säkra mekanismer som en egen dator utan tillgång till hemliga system. Att däremot logga in på offentliga datorer är bara att glömma, det funkar inte hos oss. Vi har en väldig förståelse för verksamheten och att lösningarna måste ha en verksamhetsnytta men ibland är det lite oklart från verksamheten varför vi ska godkänna vissa lösningar. Det är lättare att välja prylar än att göra en riktig analys vad man ska använda den till.

Samhällsviktig rekrytering

Precis som alla andra företag och myndigheter slåss Must om att hitta kompetent personal. En nyligen gjord undersökning visade att Försvarsmakten var den myndighet där flest it-personer vill jobba. Trots det är det är det lite uppförsbacke för Pia Gruvö och hennes kollegor.

– Vi strävar efter att vara en attraktiv arbetsgivare, men det är många av de stora myndigheterna utöver den privata sektorn som är ute och rekryterar nu. För två år sedan växte vi och fick ett antal platser tilldelade för att rekrytera personer med kompetens inom it-säkerhet, krypto och hårdvara, men vi har fortfarande vakanser där. Vi kanske inte alltid kan konkurrera med lönen, men det här är ett roligt, utmanande och viktigt jobb.

Vår personal är duktig och generös med sin kunskap. Ingen sitter och tjuvhåller på något.

Pia Gruvö , chef avdelningen för krypto och signalskydd, Försvarsmakten

Ett problem tror Pia Gruvö är att den militära underrättelse- och säkerhetstjänstens avdelning för it-säkerhet och krypto inte är ett särskilt känt varumärke och att man därför har svårt att nå ut.

– Det är synd för vi är bra på kompetensutveckling och åker på konferenser och kurser, men framför allt är det duktiga personer här som är generösa med sin kunskap. Ingen sitter och håller på något utan man lär varandra vad man kan.

Ny teknik ger nya attackmetoder

Den stora hotbilden som hon och hennes kollegor kämpar mot har inte förändrats även om tekniken har det. Då som nu handlar det om nationer med mycket kapacitet och stort intresse. Däremot har metoderna förändrats.

– Internet har så klart eskalerat bilden och attackerna. När jag började fanns det knappt IP.  Sedan har det ju kommit avancerade attacker såsom strömförbrukningsattacker och timingattacker.

Pia Gruvö förespråkar ett större ansvarstagande inom it-frågor, något som ofta saknas.

– Varför tänker man inte mer på att ha en sund it-drift? It betraktas ofta som någon annans ansvar. Jag tycker att ackreditering är en bra princip eftersom det kräver att någon ansvarig tar ett aktivt beslut. Om något händer finns det någon som kan säga ”vi gjorde en bedömning och tog den här risken”.

Öppen källkod inte alltid säker

Säkerhet är inte alltid en självklar fråga för verksamheterna och därför jobbar Pia Gruvö och hennes kollegor med att ta fram exempel på hur man ska tillämpa regelverket för att klara kraven. De tittar också mycket på nya, bättre metoder för att snabbare få ut produkter.

– Vi kan inte ha för specifika lösningar utan måste titta mer på generella produkter som kan användas i olika sammanhang, och modularisering för att återanvända funktionalitet. På så sätt kan vi bli mer agila. Nu när vi dessutom har krav på oss att vara interoperabla mot andra nationer är det ännu viktigare att jobba mot standarder. Därför pekar vi gärna på sådana saker som andra har gjort bra istället för att hitta egna lösningar på allt. Open source är jättebra i vissa sammanhang, men däremot ska man inte göra misstaget att tro att bara för att det är öppen kod så är den granskad.

Pia Gruvös bästa säkerhetstips

  • Skapa en sund it-miljö där en användare inte kan slå ut ett helt system.
  • Se till att man säkrar driften och patchar systemen kontinuerligt.
  • Gör inte penetrationstester och tro att det löser alla problem utan att veta vad du ska ha resultatet till. Det är viktigare att veta varför man har en brist än att bara stänga säkerhetshålet.

29 mars 2017 Uppdaterad 30 mars 2017 Reporter Miguel Guerrero säkerhet Foto Försvarsmakten

Rekommenderad läsning

Kvinnor Inom It

Var är kvinnorna?

28 jan 2021 digit

Andelen kvinnor på teknikutbildningar är numera på rekordnivåer, men det syns inte i teknikbranschen. Idag är snedfördelningen densamma som för drygt 30 år sedan. 

Sverige Säkerhet

Start för cybercenter

10 dec 2020 säkerhet

Nu är det klart att Sverige får ett cybersäkerhetscenter. Regeringen ger i uppdrag till Säpo, FRA, MSB och Försvarsmakten att inrätta centret som ska förebygga, upptäcka och hantera cyberhot.

Hund Med Ar Glasögon

AR för hundar

9 okt 2020 digit

Hundar med AR-headset kan ta kommandon, utan att en människa är i närheten. Det är den amerikanska armén som just nu testar AR-glasögon för hundar.

hand håller i papperflygplan.jpg

Inga fler kvitton

6 feb 2020 digit

Enklare hantering av kvitton blev resultatet när Ekonomibyrån valde ett digitalt redovisningsverktyg. Dessutom får kunderna bättre koll på sina kostnader och under 2019 korades Ekonomibyrån till bästa redovisningsbyrå.

tre unga munkpojkar i tibet går med varsitt paraply i tempel.jpg

Västerås visar vägen

30 jan 2020 digit

För att öka teknikintresset startade Västerås Expectrum där etablerade och nya bolag samarbetar med elever. Upplägget har väckt intresse, både från andra kommuner men hubben har även haft mer långväga besök. 

många får tittar mot kameran på grönt grä.jpg

Ett molnbaserat lantbruk

28 okt 2019 it i skolan

Molnbaserat lärande och Chromebooks är vardag för eleverna på Hushållningssällskapets naturbruksgymnasier i Kalmar och Kronoberg. Nästa steg är att stödja landets övriga sällskap inom digitalisering.

scb-it-branschen.jpg

Mindre it till företag

3 okt 2019 digit

Efter att ha ökat med 90 procent sedan 2009 sjönk företagens kostnader för it med 5,5 procent under 2018. I stället ökade utgifterna för leasing och köp av it-tjänster inom koncernen. Det visar nya siffror från SCB, Statistiska Centralbyrån.

byggarbetare står och mäter nått på en byggarbetsplats.jpg
video

Så blir Sweco digitalt

10 sep 2019 digit

Digital office ska ge Sweco en rejäl skjuts i bolagets digitalseringsarbete. Om projektet faller väl ut för de nästan 15 000 anställda kan Daniel Sandbergs roll som digitaliseringschef till och med bli överflödig.

svensk-soldat1.jpg

5G utvecklar militären

28 aug 2019 digit

FOI studerar just nu hur militären kan dra nytta av 5G inom kommunikation och för utveckling av nya komponenter. Forskningsinstitutet undersöker även vilka potentiella sårbarheter som 5G kan innebära.