I takt med att vårt samhälle blivit allt mer digitaliserat, distansarbetet ökat och teknologin överlag blivit mer lättillgänglig för gemene medborgare har det även medfört ökade sårbarheter. Det har under det föregående året blivit tydligt att mjukvaruutvecklare inte alltid lagt ner tillräckligt med arbetstimmar på att täppa igen olika säkerhetshål, och även hårdvarutillverkare har fått se sina produkter bli en del av attacker mot samhällets infrastruktur på grund av, tillsynes, enkla ingrep från olika antagonister.
Försvarsmakten har mött utmaningarna genom att helt enkelt inte tillåta den större gruppen anställda använda olika IT-lösningar på distans, vilket i sin tur bidragit till olika mer eller mindre innovativa lösningar såväl nationellt som internationellt för att möjliggöra kontakt mellan den enskilde individen och exempelvis högre chef. Det är även tydligt att inte heller bestämmelserna har riktigt hängt med i utvecklingen då i princip varje yrkesofficer idag bär en tjänstetelefon som är precis lika sårbar som en bärbar dator med internetlösning. Men bestämmelserna för hantering av en bärbar dator och en så kallad ”smartphone” skiljer sig betydligt, till telefonens fördel. Detta till trots att telefoner idag saknar virusskydd som standard, och användaren förleds att lita på leverantörens egen marknadsplats för applikationer trots att det regelbundet dyker upp exempel på att dessa appar mycket väl kan vara ett hot mot individens integritet.
Samtidigt som IT-säkerhet numera är på allas läppar och svenska myndigheter aviserat ett ökande behov av personal med rätt kompetens, förefaller den svenska förvaltningen fortsatt förvänta sig att det är den civila marknaden som ska lösa behovet. Trots att insatsförband letar med ljus och lykta efter personal med IT-säkerhet-kompetens och tvingas till olika typer av avsteg verkar Försvarsmakten inte vara särskilt motiverad att utbilda fler internt för att klara av att möta dagens behov. Det vill säga att utbilda individer som har andra befattningar än exempelvis IT-säkerhetshandläggare.
Med det nya försvarsbeslutet är det fastställt att myndigheten ska växa. Diskussionerna har kretsat kring de personella och infrastrukturella problem som den här snabba tillväxten kommer medföra. IT-säkerheten är inte ett undantag. Om vi redan idag har problem att kompetensförsörja Försvarsmaktens olika enheter med personal som har rätt utbildning, kommer de nya organisationsenheterna ärva exakt samma problem vilket på sikt skapar onödiga risker och öppnar upp för informationsförluster. Förluster som vi hade kunnat förebygga genom små enkla åtgärder.
Fler och fler enheter tilldelas ny teknologi som på olika sätt kommer att lagra information. Ett kommande område är bland annat RPAS. Allt fler vill ha tillgång till obemannade system för att lösa olika enklare uppgifter. Detta innebär att det behöver tillföras olika stödsystem för att styra och underhålla materielen. Således ökar behovet av att personal även på de lägre nivåerna har förståelse för informationssäkerhet, hur de förebygger risker och framförallt hur de hanterar uppkomna situationer för att effektivt möta hot. Med mer prylar kommer ökat behov av utbildning och specifik kompetens.
Vi behöver lyfta blicken från det traditionella budskapet. Personalen vet att de inte får använda öppna sambandsmedel för att kommunicera hemlig information. Personalen vet (i alla fall till del) att krypterade tredjepartsappar inte behöver vara så säkra som tillverkaren påstår. Vad personalen däremot inte alltid vet är hur de ska tänka kring informationssäkerhet när de ställs inför situationer där bestämmelser antingen är motsägelsefulla, eller inte alls hanterar den specifika situationen. Vi behöver sprida kunskaper om IT-säkerhetsmetodik brett inom organisationen och utbilda långt fler än enskilda IT-säkerhetschefer och handläggare. Det är helt enkelt inte realistiskt att en IT-säkerhetschef ska kunna följa upp den flora av IT-system som fortsätter att växa ute i riket.
Det handlar inte om ytterligare en förvaltningsuppgift som ska delegeras likt elsäkerhet eller skyddsombud. Det handlar om att utbilda och tillse att även de lägsta nivåerna har adekvat skydd samt kunskap om hur de upprätthåller ett tillräckligt bra skydd när förutsättningarna inte är de bästa men uppgiften måste lösas. Då duger det inte att godtyckligt se mellan fingrarna och låtsas som att det regnar. Eller för den delen lasta över allt ansvar på den enskilde.
Om vi på allvar anser framtiden medför ett ökat cyberhot mot vårt försvar behöver vi agera nu för att kunna möta hotet imorgon. Vi har en pensionsvåg som kommer allt närmare, hur många av dessa sitter på befattningar som på olika sätt hanterar myndighetens IT-säkerhet vill jag inte ens tänka på. Klart är i alla fall att det krävs krafttag för att vi inte ska hamna i samma ”skuldfälla” som vi har gjort med försvarsmateriel.