Cyberförsvar är idag lika viktigt som annat militärt försvar. Inom Försvarsmakten har man intensifierat arbetet och sätter nu upp anläggningar där såväl defensivt som offensivt cyberförsvar ska tränas. Fredrik Robertsson, CIO, förklarar hur försvaret tar sig an säkerhetsutmaningarna i cyberrymden.
Generalmajoren Fredrik Robertsson sitter på det våningsplan i högkvarteret på Lidingövägen i centrala Stockholm där all strategisk ledning av Försvarsmakten utförs. Det är ett tecken på att man idag betraktar attacker i cyberrymden som minst lika allvarliga som de som utförs av andra vapen.
Det har snart gått tre år sedan hans befattning som CIO inrättades – detta efter att en utredning kom fram till att cyberförsvaret även ska in på strategisk nivå inom själva ledningsfunktionen. Fredrik Robertsson, som tidigare lokalt arbetat mycket med IT-frågor inom det militära, blev den första på posten.
"I mångt och mycket är detta jobb som många andra CIO:s inom större företag och myndigheter. Men sedan har jag alla aspekter av vårt cyberförsvar som ju är speciellt, säger Fredrik Robertsson, med en saklig ton som man kan förvänta sig av en generalmajor. Han är inte en man med stora åthävor och han är noga med de exakta formuleringarna."
Militär information är förstås en oerhört känslig sektor när rikets säkerhet står på spel och man kan tycka att det är lite saktfärdigt att försvaret först de senaste åren har en befattning med centralt ansvar för säkerheten. Men Fredrik Robertsson betonar att det alltid funnits kompetens och ansvar längre ner i organisationen och att det fortfarande är en sak för varje enhet att arbeta med.
"Det finns en föreställning om att allt är hemligt hos oss, men en stor del är helt öppen information och sedan har vi hela skalan upp till kvalificerat hemlig information som kan vara underrättelseverksamhet eller information om vapensystem. Varje nivå på denna stege ska ha sitt adekvata skydd."
Den stora utmaningen för Fredrik Robertsson och hans stab är att hantera det som är högst upp på stegen. Om en stege välter blir konsekvenserna mest allvarliga om man står högst upp. På samma sätt är det med säkerhet och det är också på den övre nivån som Försvarsmakten lägger det mesta av krutet i sitt säkerhetsarbete.
"Då duger inte alltid skydd som går att köpa på närmaste databutik," påpekar Fredrik Robertsson.
Hur ser då hotbilden ut idag?
"Jo, cyberattacker förekommer hela tiden mot Sverige och därmed också mot Försvarsmakten," säger Fredrik Robertsson utan att i detalj gå in hur ofta och hur allvarliga de är. Den typen av information stannar inom stabens väggar.
"Aktörerna kan vara allt från den enskilde tonåringen till olika stater. Vårt fokus är cyberförsvar och vår uppgift är i första hand att bekämpa kvalificerade statsaktörer eller det som utförs av statsunderstödda kvalificerade aktörer."
Blir han då överraskad när det sker olika intrång i systemen?
"Det är längesedan jag slutade att bli överraskad. Men det har nog mer att göra med vad jag utgår från. Att bygga helt säkra system är en utopi. Den allra säkraste anläggningen är den där alla dörrar är stängda så ingen varken kan gå ut eller in, problemet är då att ingen verksamhet kan bedrivas. Likadant är det med datasystem. Utmaningen är att hitta rätt balans mellan det som måste utföras och att skyddet är adekvat så att risktagandet är rimligt till det man ska göra", säger Fredrik Robertsson.
Nu talas det om att cyberförsvar i framtiden kan bli en egen vapengren likställt med flygvapen eller flottan. Fredrik Robertsson håller det inte för uteslutet men han vill att organisationen först ska växa till sig dessförinnan.
"Frågan är också om förmågan blir starkare om vi benämner det som en försvarsgren. Mitt fokus är att bygga bra förmåga, organiseringsformen är då sekundär."
På hans to-do-lista finns även uppdrag att bygga upp en ny militär tränings-anläggning för cyberförsvar, på engelska cyberrange.
"Här kan vi sätta upp kopior av datainfrastruktur som deltagarna kan öva försvar av, alltså på samma sätt som vi övar försvar av annan fysisk infrastruktur som flyg- och flottiljbaser."
Ett annat uppdrag som regeringen lyft är att Försvarsmakten även måste bygga upp en offensiv förmåga i den digitala krigföringen eller som ÖB Micael Bydén sade i en intervju i Computer Sweden: ”Den som attackerar oss ska veta att vi slår tillbaka”.
"Rätt mycket av kunskapen finns i den defensiva förmågan, men vi ska också lära oss mer av hur det offensiva arbetet ska bedrivas. Det görs i samarbete med FRA," berättar Fredrik Robertsson.
Samarbetar gör man även med militär i USA och Finland och med IT-företag, till exempel CGI.
"Det fungerar väldigt bra, och en stor del av min kunskap och inspel kommer i dialog med representanter för olika konsultbolag. Vi har tidigare haft en organisation där dialogen med industrin gått genom FMV. Men i vårt nya steg med ny roll kommer dialogen komma närmare oss. Försvarsmakten blir direkt upphandlande myndighet."
Fredrik Robertsson hoppas även att man tillsammans med andra aktörer kan implementera mer av AI och Machine Learning.
"Det är ett viktigt område, framför allt AI kommer att vara en viktig komponent i defensivt cyberförsvar. Det jag efterfrågar och som jag är lite förvånad över att det inte redan finns är praktiska tillämpningar för att se mönster i system och i nät."
Intervjutiden börjar ta slut och Fredrik Robertsson ska till ett annat möte. En sista fråga är om han har ett skräckscenario han inte vill vara med om.
"Jag vill nog inte använda ordet skräckscenario men det finns obehagliga scenarier. Har man haft dålig säkerhet någonstans kan det finnas tickande bomber i systemen. Någon som planterat skadlig kod som inte är aktiverad och som inte använder hålen förrän den dagen man vill åstadkomma skada. Problem som man inte känner till är onekligen obehagliga," säger Fredrik Robertsson.
TEXT: DAVID GROSSMAN FOTO: FÖRSVARSMAKTEN
