Sveriges myndigheter, kommuner och företag som exporterar försvarsmateriel måste uppfylla Natos krav på IT-infrastruktur. För att hindra att utrustning och verksamhet läcker information måste de leva upp till Tempest-standarden.
Det är tvingande genom medlemskapet och det är viktigt att de myndigheter som ännu inte har kommit igång med denna omställning gör det, säger Tommy Åsberg, grundare på 2MakeIT.
Tempest är ett regelverk som anger hur datorer och annan utrustning ska vara utformade så att de inte läcker information.
– Man kan använda sig av kryptering, multifaktorautentisering eller VPN, men utomstående kan ändå plocka känslig information, i värsta fall kryptonycklar, när man själv har låst upp systemet, säger Mattias Almeflo, säkerhetskonsult med lång erfarenhet inom försvarssäkerhet och vd för Tyr Cyber Defence.
2MakeIT är en av få svenska leverantörer som kan säkerställa att utrustning uppfyller den Nato-klassade Tempest-standarden.
Certifierade & har godkända lösningar
– Vi förstår de hotbilder som man måste skydda sig mot. Vi är certifierade för att modifiera utrustningen i ett testlabb och har godkända lösningar för detta, förklarar Tommy Åsberg.
Idag har Sverige en egen standard; RÖS.
– RÖS har på grund av en lägre hotbild varit nedgraderat och myndigheterna har genomgått ett generationsskifte. Många behöver lära sig att man måste skydda sin information från röjande strålning, säger André Catry, prisbelönad författare och hackare.
Hittills har enbart ett tiotal myndig-heter utöver Försvarsmakten med tillhörande ”F-myndigheter” gått över till Tempest.
Ett problem är att man måste uppfylla Tempest-standarden innan man hanterar klassificerad information. Det räcker alltså inte att leva upp till kraven i efterhand.
– En verksamhetsanalys kan visa om man måste vidta åtgärder som att införa Tempest och skydda sina lokaler bättre, säger Mattias Almeflo och tillägger:
– Tempest är kostnadsdrivande och kan kräva verksamhetsförändringar, man måste ha särskild utrustning eller jobba i särskilt utformade rum.
Tommy Åsbergs råd till myndigheterna är att börja söka dialog med företag som levererar Tempest-utrustning eftersom tiden från dialog till leverans är upp till tre år. Just nu håller 2MakeIT på att skapa ett konsortium med flera företag i branschen för att möta efterfrågan.
– Försvarsmakten som äger frågan måste vara tydliga och kommunicera att det är Tempest som gäller, inte RÖS, inte minst ur kostnadssynpunkt. Att behålla båda standarderna blir för komplicerat och väldigt dyrt. De nationer som har haft dubbla standarder har i princip övergett dem, säger André Catry.
Om 2MakeIT AB
2MakeIT AB säljer IT-lösningar till företag och organisationer sedan 2014 med höga krav på säkerhet genom RÖS och Tempest-standard. Tommy Åsberg, medgrundare och ägare har tidigare haft ledande positioner inom flera bolag i IT-säkerhetsbranschen.
