IT-system och totalförsvarets behov – var börjar vi och hur vet vi om det är tillräckligt säkert?

De förändringar som samhället genomgått sedan kalla krigets slut ger sammantaget nya förutsättningar för den totalförsvarsplanering som nu återupptagits. En stor utmaning är beroendet av olika IT-baserade resurser och hur dessa kritiska resurser ska säkras för att klara syfte och mål med Sveriges totalförsvar. Tiotusenkronorsfrågan är kanske hur gör vi? Eller var börjar vi och hur säkert behöver det vara? Idag arbetar Basalts konsulter Katarina Kjellman, Måns Lagehäll och Anders Brännström bland annat med uppdrag där vi analyserar både organisationers nuläge och framtida behov kopplat till totalförsvaret samt om verksamhetens IT-system är och kan anpassas till totalförsvarets behov. Så här resonerar vi när frågor om IT-system och totalförsvarets behov kommer på tal.

”Att dagens verksamheter och dess IT-system inte är dimensionerade för totalförsvarets behov är inte något konstigt, säger Katarina Kjellman. Det är ett resultat av den tid vi levt i de senaste 20 åren, där vi har varit övertygade om att vi inte längre behöver planera för väpnade angrepp och de enorma påfrestningar ett sådant angrepp innebär på hela vårt samhälle”.

”Digitalisering har många fördelar likväl när vi nu står i början av återuppbyggnaden av totalförsvaret är det uppenbart att säkerhetsmedvetande och säkerhetsåtgärder inte hängt med i digitaliseringen, säger Måns Lagehäll”.

”De uppgifter som den civila delen av totalförsvaret ska planera för och vid höjd beredskap utföra, innebär en risk för att säkerhetsskyddsklassificerade uppgifter exponeras, säger Anders Brännström. Riksdag och regering är väldigt tydliga! Det enskilt viktigaste under rådande försvarsinriktningsperiod är att öka den operativa förmågan i krigsförbanden och säkerställa den samlade förmågan i totalförsvaret. I den försvarspolitiska inriktningen konstateras att totalförsvarets förmåga inför och vid ett angrepp behöver stärkas”.

Måns Lagehäll har lång erfarenhet av att jobba med IT-säkerhet för olika system och menar att metoden Krav på säkerhetsfunktioner (KSF) är en bra utgångspunkt när man ska förstå om befintliga eller påtänkta IT-system är tillräckligt säkra för säkerhetsskyddsklassificerade uppgifter och därmed totalförsvarets behov. KSF används i sin helhet eller omarbetat av bland annat Försvarsmakten, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap.  ”Syftet med modellen för KSF är att påvisa krav på de säkerhetsförmågor som ett visst system måste ha samt de krav som ger tilltro till att säkerhetsförmågorna existerar och att avsedda skyddsåtgärder därmed uppfyll (så kallade assuranskrav). För anpassning av säkerhetskraven används två faktorer, berättar Måns. Det är 1. Konsekvens av en oönskad händelse som påverkar sekretessen för informationen som bearbetas, lagras eller på annat sätt hanteras av systemet och 2. Hur exponerat systemet är för aktörer som kan påverka systemet. Med hjälp av dessa två faktorer får man genom en matris, fram vilken kravmassa som bör användas för att skydda informationen i rätt skyddsklass”.

”Men att systemet har tillräckliga säkerhetsförmågor innebär ingen garanti, påpekar Katarina Kjellman. Först måste verksamheten genom säkerhetsskyddsanalys identifiera vilka uppgifter, objekt, system med mera som behöver ett säkerhetsskydd och sedan är det upp till beslutsfattare, kravställare, nyttjare med flera att säkerställa att systemet används på ett säkert sätt eftersom ansvaret för detta slutligen åvilar de som använder systemen”.

”Vi vet att en potentiell motståndare har god förmåga till signalspaning och övrig underrättelsetjänst. Därför måste vi redan nu vidta åtgärder som gör att vi inte förlorar ett krig för att en angripare relativt lätt kunde ta del våra svagheter och hur vi planerar, säger Anders Brännström”.

KSF är krav på IT-säkerhetsförmågor som militära underrättelsetjänsten (MUST) har tagit fram och som enligt MUST innebär att tillräckliga skyddsåtgärder föreligger för Försvarsmakten.

Basalt AB levererar tjänster inom IT-säkerhet, produktion av säkra IT-system, systematiskt säkerhetsarbete, krisberedskap och totalförsvar. Inom ramen för Basalts erbjudande krisberedskap och totalförsvar genomför vi bland annat verksamhetsövergripande analyser som inkluderar flera aspekter av en organisations behov i totalförsvaret till exempel kontinuitetshantering med totalförsvarsperspektiv, ledningsförmåga, IT-säkerhet, samarbete och behov av att utbyta information, personal, fysiskt skydd med mera.

Katarina är seniorkonsult inom risk- kris – och kontinuitetshantering. Katarina har en lång erfarenhet av arbete med att stärka och utveckla flera av samhällets viktigaste verksamheter; dricksvattenförsörjning, elförsörjning och central statsförvaltning.