På Försvarets Materielverk (FMV) har it- och informationssäkerhetsarbetet alltid haft hög prioritet. Men i takt med digitaliseringens intåg, när allt och alla är uppkopplade, skärps fokus ännu ett snäpp.

– Grundperspektivet är detsamma, men allt blir mer omfattande när man aldrig befinner sig i radioskugga, när vi får en ny och större exponering av våra informationsresurser, konstaterar FMV:s cio Rebecca Ihrfors.

– Den ökade exponeringen ställer nya krav på säkerhetsarbetet och de kraven kommer att öka ytterligare med 5G och utvecklingen av artificiell intelligens. Vi kommer att få helt nya hot att förhålla oss till när intelligensen inte längre ligger i enheten utan i molnet.

För att möta utmaningarna gäller det att kombinera informations- och utbildnings­insatser med tekniska säkerhetslösningar. Och att systematiskt balansera nytta och behov mot risk och säkerhet när det gäller system och rutiner. Som cio ligger det på Rebecca Ihrfors att genomföra balansakten.

– Här är det viktigt att jobba lösningsfokuserat. Det finns alltid sätt att lösa saker på. Om det finns ett säkerhetshål i ett system, eller en risk som inte kan reduceras med traditionell säkerhet, kanske man kan hitta en annan lösning. Det är cio:ns uppgift att hitta de lösningarna tillsammans med verksamheten.

Dessutom har Rebecka Ihrfors både en strategiskt säkerhetsansvarig och operativt säkerhetsansvarig på FMV till sin hjälp.

Att väga risker mot behov kan vara en svår uppgift. I en tid där konkurrenskraft ligger i innovation och snabbhet kan det kännas jobbigt att vara den som drar ner tempot och manar till eftertanke, något som säkerhets­ansvariga ofta gör, menar Rebecca Ihrfors.

– Så är det ju när man jobbar med it-säkerhet, då blir man ofta den som bromsar.

Samtidigt är det viktigt att få med säkerheten från början. Om man gör en snabb kravställning och upphandling och missar viktig säkerhet kan det bli stora problem, med risk för förseningar och ökade kostnader.

– Därför försöker vi utbilda all personal så att man hela tiden ska ha säkerhetstänket i bakhuvudet, säger Rebecca Ihrfors.

Läs också: Google betalar för buggar – i andra företags appar

It-staben på FMV har genomfört ett antal utbildningar kring informationssäkerhet de senaste åren, och effekten är god.

– Att tänka informationssäkerhet är mer naturligt nu än tidigare, men det krävs kontinuitet för att det ska bestå, man blir aldrig klar, konstaterar Rebecca Ihrfors.

För att det ska kännas naturligt för alla medarbetare att förhålla sig till – och arbeta med – it- och informationssäkerheten är det också viktigt att de säkerhetsansvariga kan ta emot frågor och oro, påpekar hon.

– Ingen ska behöva vara rädd att ställa frågor, och de som är ansvariga får inte ge intrycket av att det är komplicerat och jobbigt att lösa problem. Inställningen måste vara: Kom, nu löser vi det här, för det är viktigt! Experterna måste kunna förklara vad som är nödvändigt och varför. De behöver också förstå behovet och kunna föreslå lösningar.

På FMV:s it-avdelning driver man för närvarande ett projekt där man byggt upp en testmiljö, där användarna tillåts göra saker på prov utan att de riskerar säkerheten.

– Det är ett sätt möta verksamhetens behov och låta användarna prova, utan att släppa in dem i våra skarpa system. Samtidigt får vi upp ögonen för säkerhetsproblem i tidigt skede.

Läs också: Har du räknat på din risk? Säkerhetsgurun varnar för sömngångarbeteende

På senare år har det skett en rad uppmärksammade it-attacker och media har skärpt granskningen av myndigheters it-hantering. Enligt Rebecca Ihrfors har det gjort det lättare att få gehör för informationssäkerhetsfrågor.

– Länge handlade diskussionen bara om pengar. Så är det inte nu, säger hon.

Att ha en helhetsbild av it-miljön – koll på var information finns och vem som har tillgång till den – är nödvändigt för att man ska kunna värdera informationsläckaget vid ett eventuellt intrång och minimera riskerna. En inte alltid så lätt uppgift, enligt Rebecca Ihrfors som har även den på sitt bord.

– En sak man kanske inte tänker på är att den sammantagna informationen kan vara sekretessbelagd, även om varje enskild del inte är särskilt känslig i sig. Det är ett perspektiv på informationssäkerhet som ofta glöms bort och som är svårt för användarna att ha koll på. Det är därför vi arbetar mycket med ackreditering och klassificering på FMV.

En annan stor fråga just nu är anpassningen till GDPR, EU:s nya dataskyddsförordning som träder i kraft i maj 2018.

– GDPR är ganska lik PUL, men vissa delar, som ”rätten att bli glömd”, kommer att innebära mycket arbete för oss. Vår stora utmaning är att klara de här delarna och samtidigt bli mer mobila och digitala.

För att kunna möta framtida utmaningar kommer FMV att behöva uppdatera hela it-miljön, berättar Rebecca Ihrfors.

– Vi har en del egenutvecklade plattformar som ska bytas ut. Att fortsätta utveckla själva blir för dyrt och tidskrävande, speciellt om det ska anpassas till GDPR. Därför vill vi gå mot standardplattformar. Tanken är att det ska hålla nere kostnaderna för drift och förvaltning så att vi kan arbeta mer med innovation och nya tjänster. Det är så man måste jobba som man ska klara av att ha både hög säkerhet och ett högt utvecklingstempo.

Fakta

1. Utbilda  för att skaffa bred kunskap och medvetenhet.
2. Riskhantera kontinuerligt – du blir aldrig klar.
3. Välj väl beprövad teknik som stödjer verksamhetens behov.
4. Kontrollera – inget är starkare än sin svagaste länk.