Han leder Sveriges cyberförsvar: ”Utmaning att knyta ett angrepp till en aktör”

Den rent fysiska säkerheten runt Försvarshögkvarteret i Stockholm är påtaglig. Murar, höga staket, inpasseringar via vakt. Och konferensrummet där CS träffar Försvarets cio, generalmajor Fredrik Robertsson, har inte bara en utan två tjocka trädörrar att stänga vid behov och en skylt där det står att mobiltelefoner inte får användas.

När Fredrik Robertsson tillträdde sin tjänst för ett drygt år sedan var det en ny och uppdaterad cio-roll som väntade.

– Det är en omstartad roll kan man säga, med starkare fokus på verksamheten. Befattningen liknar i grunden hur den ser ut på de flesta stora bolag och myndigheter – jag ansvarar för styrning av it, informationshantering och digitaliseringsfrågor. Men det som kommer till är att jag också är ansvarig för cyberförsvarsfrågor och informationssäkerhetsarbetet.

Det låter som du har väldigt mycket på ditt bord?

– Ja, det är en ganska omfattande roll, säger han.

Fredrik Robertsson förklarar att rollerna ser ut så att det är chefen för den militära underrättelsetjänsten, Must, som skriver de formella reglerna kring hantering av hemlig information och att det är utifrån de regelverken som han som cio sedan styr informationssäkerheten för både öppen och hemlig information och också ackrediterar, det vill säga säkerhetsgodkänner systemen.

Läs också: Säkerhetsgurun varnar: Vi står på randen av ett globalt cyberkrig

Att den strategiska betydelsen av it lyfts inom Försvaret är tydligt – Fredrik Robertsson tar som första cio plats i den strategiska ledningsstaben.

Dessutom har regeringen ökat fokuset på ett cyberförsvar och har i sina två senaste regleringsbrev gett Försvarsmakten i uppdrag att analysera hur cyberförsvaret kan utvecklas och stärkas – det inkluderar också ”en förmåga att genomföra aktiva operationer i cybermiljön”.

I klartext att vi ska ha möjlighet att slå tillbaka mot en potentiell angripare. Överbefälhavare Micael Bydén har tidigare sagt till CS att "den som attackerar oss ska veta att vi slår tillbaka".

Fredrik Robertsson är lite försiktigare i sina formuleringar och hänvisar enbart till regeringens regleringsbrev och uppdraget att bygga den förmågan.

– Det handlar om att ha rätt kunskap, persona och material – men när och hur vi använder den förmågan det vill jag inte yttra mig om, säger han.

Att slå tillbaka mot ett cyberangrepp är heller inte lätt, helt enkelt för att det är svårt att avgöra vem som faktiskt ligger bakom det.

– Ja det är en stor utmaning att det är svårt att knyta en händelse till en aktör. Bara för att man råkar se varifrån ett angrepp kommer rent geografiskt så är det svårt att dra några definitiva slutsatser.

Han är också tydlig med att angreppsförmåga bara är en del i pusslet.

– Ett cyberförsvar består inte bara av aktiva komponenter. Det krävs också defensiva så att vi framgångsrikt kan försvara vår infrastruktur och vår it-miljö. Se till att våra lednings- och informationssystem inte går ner.

Det ökade fokuset på ett cyberförsvar innebär att Försvarsmakten, precis som många andra, jagar it-kompetens för att sedan kunna vidareutbilda dem internt.

Den återinförda värnplikten öppnar också en ny väg att få in it-kompetens.

– Ja, där öppnar sig en möjlighet – och vi har tittat på att försöka få ett inflöde den vägen, få in lämpliga talanger genom att rekrytera via tester. Så gör en del andra länder.

För att skapa en mer flexibel och samtidigt säker miljö arbetar Försvaret med att skapa olika säkerhetsnivåer för olika innehåll.

– Arbetet syftar till att öka skyddet för viss information och öppna upp miljön för det som inte behöver skyddas. På så sätt kan många medarbetare få en mer modern miljö att arbeta i samtidigt som det för en del andra kommer att innebära en miljö med ännu hårdare skydd, säger Fredrik Robertsson.

Läs också: Mer pengar till svenskt cyberförsvar – 430 miljoner extra till FRA och Must

För att bättre följa med och förstå nya tekniska möjligheter finns det också planer på att öppna ett innovationslabb för att snabbare kunna utvärdera dem och korta loppen och få in funktionaliteten snabbare i systemen.

Dessutom pågår en förflyttning av arbetssätt – från projekt och in i agilt.

– Vi tror på ett agilt snabbt arbetssätt. Gamla vattenfallsmetoder är inte längre tillämpbara utan det krävs en hårdare knytning mellan verksamhet och it. Funktionalitet och säkerhet måste gå hand i hand och tas fram i direktdialog med verksamheten och då är devopsteam ett bra sätt. Men vi har inte kommit särskilt långt ännu.

Ni har de senaste åren haft fullt upp med att införa ett affärssystem från SAP, det så kallade Prioprojektet. Har ni mer kraft till annat nu när det är avslutat?

– Jag tror att de flesta som infört SAP fått lägga mycket kraft på det. Det ska väva ihop så väldigt många olika delar. Men även om vi avslutat projektet är det ärligt talat inte riktigt färdigt ännu. Det pågår ett fortsatt arbete för att kunna utnyttja alla de aspekter vi tänkt oss. I dag förvaras av säkerhetsskäl inte all information i Prio-systemet som vi planerat för.

Samtidigt tycker Fredrik Robertsson att det gjorts för många anpassningar.

– Jag skulle vilja säga att vårt SAP-system är för specialsytt. Min strävan är att gå mot standardprodukter så långt som möjligt. Ibland tvingas man välja andra vägar antingen för att verksamheten ställer sådana krav eller av säkerhetsskäl, säger han.

Precis som många andra verksamheter har Försvaret en relativt stor systemflora som han också hoppas kunna tukta – och på samma gång också öka säkerheten.

– Det finns en koppling mellan enkelhet och säkerhet. Ju fler speciallösningar ju fler risker, säger Fredrik Robertsson.