"CIAO 2017" står det på papperslapparna som visar vägen till sal 2000 på Försvarshögskolan. Här har 26 personer med olika typer av ansvar för informationssäkerhet på myndigheter och företag samlats för att ytterligare vässa sina kunskaper kring sådant som riskbedömning, styrning och assymetriska hot.

Vi är kontinuerligt utsatta för attacker konstaterar Johan Lindberg som är kursansvarig och det gäller att rusta samhället.

Läs också: Studenter övade cyberförsvar på Försvarshögskolan – ”en förberedelse för framtida beslutsfattare”

– Vi måste höja bottenplattan i samhället och göra oss mer robusta.

Kursen gavs första gången 2009 och då efter amerikansk modell – deltagarna fick diplom från den amerikanska säkerhetstjänsten NSA efter genomgången kurs. Det enda som fattades var stämpeln konstaterar Johan Lindberg. 

Johan Lindberg
Johan Lindberg.

Nu har kursen omvandlats och blivit mer svensk och runt 70 procent av innehållet handlar om management och 30 procent om teknik.

Och kursen har behållit det amerikanska begreppet ciao – chief assurance officer.

– Målsättningen är att vi ska få en ciao på varje myndighet, en expert på informationssäkerhet som är knuten till ledningen och väger risker mot nytta, säger Johan Lindberg.

Ännu har ciao-rollen inte fått något genomslag men snart har 120 personer ändå gått utbildningen.

Läs också: Nu kan du plugga till hackare på KTH

Tidigare har de flesta kommit från offentlig sektor men nu är hälften från det privata näringslivet. Det välkomnar Johan Lindberg – mycket av vår infrastruktur sköts ju av privata aktörer konstaterar han.

I klassrummet blir det också tydligt att de bägge perspektiven finns. Dagens kursledare är Joakim Brandberg och han går igenom informationsklassning – han har spaltat upp hur företag och myndigheter delar in sin information i olika typer av säkerhetsklasser.

Snabbt kommer en diskussion hur klassningen egentligen är kopplad till behörigheter.

Bara för att man har behörighet att komma åt information är det inte säkert att man har rätt till den – man ska också ha ett behov av den. Men det här utmanas av digitalisering och samverkan konstaterar en man från företagssidan.

– Konnektivitet förutsätter ju en del synlighet Ska man samverka så handlar det inte bara om "need to know" utan det kan också handla om att dela sådant som är "nice to know".

Joakim Brandberg berättar att han försöker utmana gruppen och få igång debatten. Diskussionen om informationsklassning leder vidare till vad som egentligen kan läggas i molnet och hur man ska tänka kring det. 

Christian Boman
Kursledaren Joakim Brandberg tillsammans med Christina Boman, säkerhetschef och informationssäkerhetschef på Uppsala Universitet.

Utgångspunkten är ett fiktivt exempel kring företaget Krubb AB där det ges ett antal förutsättningar för den tekniska miljön och verksamheten.

– Sedan ska deltagarna i grupper ta fram två molntjänster de rekommenderar och vilka eller vilken del av verksamheten som de avråder från att använda molnet, säger han.

Läs också: Han leder Sveriges cyberförsvar: ”Utmaning att knyta ett angrepp till en aktör”

Christina Boman som är säkerhetschef och informationssäkerhetschef på Uppsala Universitet är en av dem som går kursen.

– Man kan knappt öppna tidningarna utan att det står någonting som har med detta att göra – om klassificering eller om man är iso-certifierad. Och så i somras kom Trnsportstyrelsen och frågorna kring hur det hanterades och om hur man gör upphandlingar på rätt sätt, säger hon.

– För mig är det här ett bra sätt att samla ihop alla de här olika delarna och fokusera under två veckor, få en bredare helhetsbild.

Den stora vinsten är kontakterna tycker hon.

– Mixen av personer är det bästa med den här sortens kurser – diskussionen i pauserna är det jag tar med mig hem. Och så får jag en termometer på hur vi ligger till i förhållande till andra och kan jämföra hur vi arbetar.

Robert Jonsson från Trafikverket är it-säkerhetsspecialist på den enhet som håller i systemförvaltningen av de digitala signalsystemen. Han anser att kursen ger honom en bra lägesbild om informationssäkerheten i samhället. 

Robert Jonsson
Robert Jonsson.

– Kursen ger mig en tydligare helhetsbild av informationssäkerhetsområdet kan man säga. När man traditionellt talat om it-säkerhet är det mycket fokus på att upprätta skydd. I den här kursen är det enligt min uppfattning mer fokus på att man säkerställer att man faktiskt har skyddet på plats, säger han.

– Och jag tycker det är bra att kursledarna förmedlar hur allvarligt det rådande säkerhetsläget faktiskt är sett ur ett samhällsperspektiv.

Läs också: Cyberattacker de nya kärnvapnen – ”Kapprustningen har bara börjat”

Hur är det då – ökar intresset för kursen när nu it-säkerhet hamnat mitt i samhällsdebatten? Inte så att deltagarna fått en ändrad syn – de har ju redan jobbat med de här frågorna under lång tid konstaterar Joakim Brandberg.

– Däremot känner nog många att de faktiskt börjar få gehör för sina frågor, säger han.

Och Johan Lindberg hoppas dessutom på att kunna öka tempot från en tvåveckorskurs per år till två.

– Vi har redan sex sju personer i kö till nästa kurs. Och vi har tryckt in 26 i gruppen i stället för 20 som vi brukar.