Den accelererande digitaliseringen öppnar nya möjligheter och
effektiviserar stora delar av samhällslivet, men den ökar även
sårbarheterna. Försvarsmakten har en del av ansvaret för cyberförsvaret
mot mer kvalificerade hot, som utförs av stats- eller statsunderstödda
aktörer.
Generalmajor Fredrik Robertsson är CIO (Chief Information Officer)
för Försvarsmakten med ansvar för IT-system och hur informationen
hanteras, och han är också ansvarig för försvarsmaktens cyberförsvar i
vidare bemärkelse.
– Försvarsmakten ansvarar för att skydda de militära systemen men är också ansvariga för totalförsvarets aktiva cyberförmåga.
Enligt FRA:s och Försvarsmaktens gemensamma terminologi definieras cyberförsvar som en nations eller annan aktörs samlade förmågor och åtgärder, såväl offensiva som defensiva, till skydd för dess kritiska samhällsfunktioner samt förmågan att försvara sig mot kvalificerade angrepp.
Utbildning och forskning
Som en del i att stärka den aktiva cyberförmågan har Försvarsmakten byggt upp ett helt koncept, med alltifrån utbildningar till avancerad forskning och även mer konkreta åtgärder.
– En sådan konkret åtgärd är att stärka förmågan att övervaka och identifiera vad som händer i IT-systemen och veta hur man agerar när något onormalt inträffar. Där blir den nya utbildningen av cybersoldater en viktig del för oss.
Under 2020 börjar den första gruppen av värnpliktiga som kommer tränas i cyberförsvar. Kärnan i utbildningen är kunskap och praktisk färdighet i hur samhällsviktiga IT-system skyddas och försvaras mot angrepp. De får även lära sig vanliga sårbarheter i IT-system, hur de kan utnyttjas av en angripare och hur systemen skyddas.
– Då det är en pliktutbildning ingår även en kortare militär grundutbildning, men fokus är cyberförsvarsfrågor.
En annan del i arbetet med att stärka cyberförsvarsförmågan är det centrum för cyberförsvar och informationssäkerhet som Försvarsmakten startar tillsammans med KTH.
– Centrumets forskning och utbildning syftar till att förbättra Försvarsmaktens förmåga att identifiera cybersäkerhetsrelaterade risker, bygga säkra system, detektera intrång, hantera angrepp och återställa system och verksamhet efter intrång, förklarar Fredrik Robertsson.
Medvetenheten om hot ökar
Samhällets medvetenhet om digitaliseringens risker har ökat på senare år.
– Idag finns en helt annan kunskap både om de reella hoten och om hur man bör agera för att stärka IT-säkerheten. Men det tar tid att komma till den nivå man strävar efter då det kräver både nyrekrytering av personal och inköp av nya tekniska system.
Samtidigt skulle Fredrik Robertsson ändå gärna se att medvetenheten ökar ännu mer rent generellt.
– Det finns fortfarande mycket kvar att göra innan vi har nått en godtagbar nivå på både IT-säkerheten och det mer omfattande cyberförsvaret.
Tips för att höja IT-säkerheten
En komponent i basen av cyberförsvaret är en hög IT-säkerhet, och en av de viktigaste åtgärderna för att nå dit för en organisation är att göra en grundlig analys av verksamheten.
– Gör man den analysen bra har man sedan en bra utgångspunkt för att bygga sitt skydd.
Fredrik Robertsson lyfter även vikten av att förstå att det är människor som hanterar verksamheten och därför ge både chefer och medarbetare möjligheter att lära sig mer om IT-säkerhet och hur man begränsar risker för attacker.
– Det kan vara en sådan enkel sak som att inte sätta in ett usb-minne man fått gratis på en mässa. Jag har på många håll kunna se vilka stora positiva effekter utbildningar kan få på en organisations IT-säkerhet, avslutar Fredrik Robertsson.