It-säkerhet är en känslig fråga i den bästa av världar. För FMV, Försvarets materielverk, är det extra känsligt. Myndigheten ansvarar inte bara för inköp av försvarsmateriel, utan är iblandad i hela livscykeln för sådan utrustning.

Det här medför en mängd säkerhetsutmaningar utöver de som de flesta andra organisation står inför:

– Det handlar om människors liv om viss information i våra system röjs, det finns en operativ kritisk del, säger Rebecca Ingmarsdotter Ihrfors, cio på FMV.

Det här illustreras bland annat av att FMVs cirka 3 500 anställda förutom på 40 orter i Sverige även finns i det konfliktplågade Mali, där den svenska försvarsmakten har styrkor stationerade.

– Och så har vi det stora perspektivet, att det handlar om landets säkerhet, fortsätter Rebecca Ingmarsdotter Ihrfors.

Det här visar sig i att spionage iscensatt av andra länder är ett reellt säkerhetshot som manifesterar sig i it-sammanhang. Det innebär att FMV samarbetar med bland annat Must (Militära underrättelse- och säkerhetstjänsten), samt i viss utsträckning även med Säpo.

Läs också: Svenska hackare hjälper aktivister i kampen mot totalitära stater

Förutom att spioner vill komma åt försvarshemligheter så finns sabotageaspekten att tänka på. För att ta ett drastiskt exempel kan man tänka sig att it-sabotage kan användas för att få försvarsmateriel obrukbar.

Ett sätt att förbättra it-säkerheten är att renodla användningen av applikationer, vilket är ett mål i den it-strategi som fastställdes förra året.

– Vi kom fram till att det inte går att komma vidare med egenutvecklade system. Vi går mot större standardplattformar som blir enklare att hantera. Vi måste gå från cirka 200 system, till tre plattformar och ett tiotal system.

Enkelheten generellt gör att även säkerhetsfrågorna bli enklare att hantera. En aspekt är att data om ett objekt, till exempel en stridsvagnsmodell, kan hanteras av flera olika organisationer, till exempel FMV och försvaret, i flera olika ”it-landskap”. Ju fler system som används, desto fler potentiella säkerhetshål blir det. Att standardisera på ett färre antal standardplattformar är ett sätt att minska de problemen.

En annan förändring på FMV är en färsk satsning på testmiljöer:

– Vi vill låta användarna testa system som de är intresserade i en testmiljö. På så vis kan man få med säkerhetsprocessen tidigt i processen, vilket krävs för att lyckas.

En fråga som hon fick under ett föredrag under konferensen Fujitsu World Tour i Stockholm nyligen illustrerar att det är inte är helt enkelt att lyckas med en sådan satsning. En åhörare undrade hur man lyckas få verksamhetsfolk att lägga tid på sådana systemtester:

– Vi försöker göra det här på verksamhetens initiativ, svarar Rebecca Ingmarsdotter Ihrfors.

Det är alltså ingen vits med att pracka på användarna system, utan det handlar om att ta tillvara deras funderingar och önskemål. Rebecca Ingmarsdotter Ihrfors förklarar också att det är viktigt att vara tydlig med en test av ett system inte automatiskt betyder att systemet kommer att tas i drift, för att undvika missnöje senare.

Tidiga tester är också ett sätt att involvera kontrollorgan som Must tidigt i processen med att införa nya system. Must måste godkänna nya it-lösningar ur ett säkerhetsperspektiv och ju tidigare FMV kan få synpunkter därifrån, desto större är chansen att undvika problem.

Och så är tidiga användartester naturligtvis positiva av många skäl som inte specifikt gäller säkerhet. Främst för att öka chansen att skapa it-stöd som bidrar med verksamhetsnytta.

Hur ska FMV mäta att man lyckas med systemkonsolidering och testverksamhet? Finns det några mätetal?

Läs också: 2016 var ett tufft år för it-säkerheten – men 2017 blir värre

– Ett mått är ekonomin, jag får inte mera pengar att investera i it. Sedan handlar det om hur nöjda medarbetarna är. Men kanske framför allt om att alla ska förstå att it är en del av verksamhetsutvecklingen, inte en separat aktivitet. Det finns ingen egen it-utveckling längre.

Det är till stor del Rebecca Ingmarsdotter Ihrfors och hennes medarbetares uppgift att se till att it integreras i den övriga verksamhetsutvecklingen. Ett problem är att medarbetare vill hålla kvar vid gamla arbetssätt. Det visar sig i att man på olika avdelningar vill fundera på nya arbetssätt och sedan komma till it-avdelningen med önskemål.

– Resultatet blir ofta en önskelista med förslag på förbättringar av existerande it-lösningar eller önskemål om enskilda systembyten.

Men den bästa lösningen kan vara att tänka om helt vad gäller it-stöd, vilket så klart kan upplevas som jobbigt.

Det låter som ett jobbigt uppdrag att övertyga folk om att ändra på hur de jobbar. Är det så?

– Det kräver absolut mycket engagemang men jag gillar förändring. Jag vill framåt, säger Rebecca Ingmarsdotter Ihrfors.