”Kryptera mera” var Peter Eidegrens kärnfulla budskap när han talade vid Cyberförsvarsdagen i Stockholm i veckan. Han är sektionschef på avdelningen för krypto och it-säkerhet inom Försvarsmaktens militära underrättelse- och säkerhetstjänst.

Det är på avdelningen för krypto och it-säkerhet som det bland annat avgörs vilka kryptografiska funktioner, så kallade signalskyddssystem, som är godkända för skydd av säkerhetsskyddsklassificerade uppgifter.

Innan den nya säkerhetsskyddslagen kom på plats handlade det om att Försvarsmakten godkände vilka signalskyddstjänster som myndigheter fick använda. Men sedan i våras när den nya lagen kom på plats omfattas även företag som sysslar med säkerhetskänslig verksamhet av kravet att använda signalskydd för att skydda sina säkerhetskyddsklassificerade uppgifter.

Där pekar Peter Eidegren ut länsstyrelsernas arbete med att ta fram kryptodatorn Signe, som CS skrivit om tidigare, som ett gott exempel. Det är en bärbar dator som använder sig av en av Försvarsmaktens godkända filkryptoapplikationer.

Inget stort inflöde ännu

Men ännu har det nya regelverket inte inneburit något enormt inflöde av nya verksamheter enligt Peter Eidegren.

– De flesta verksamhetsutövare sitter nu och gör sin säkerhetsskyddsanalys och tar reda på vad det är som de har som är säkerhetskänsligt. När de kommit fram till det kommer vi se den stora tillströmningen, säger han.

Tidigare har verksamheter som inte är myndigheter och som velat använda sig av signalskydd behövt ingå en överenskommelse med en myndighet för att få tillgång till signalskyddssystemen men nu gäller Försvarsmaktens föreskrifter alla som omfattas av säkerhetsskyddslagen konstaterar Peter Eidegren.

– Resultatet är detsamma men det viktiga är att man vet att om man förhåller sig till regelverket så kan man också lita till att andra verksamheter har samma nivå på säkerheten.

Signalskyddssystemen är indelade i olika signalskyddsgrader som beskriver vilken styrka de har och vilken säkerhetklass på uppgifter de klarar att skydda – begränsat hemlig, konfidentiell, hemlig eller klassificerat hemlig. Men det innebär inte att man inte kan kryptera sådant som har lägre skyddsnivåer.

– Om man använder kryptering som är godkänd för exempelvis kvalificerat hemliga uppgifter så är det inget hindrar att också skydda annan information på samma sätt, även öppen info när man skyfflar data mellan två datahallar. Jag tycker man ska kryptera om man kan kryptera – det är alltid bra.

Den som behöver signalskydda information kan få hjälp och stöd av FRA och MSB. Försvarsmaktens roll är främst att ge ut föreskrifter och att granska och godkänna olika signalskyddssystem.

Granskar produkten

Peter Eidegren berättar att han ibland får frågan om det går bra att använda exempelvis en produkt som den amerikanska säkerhetstjänsten NSA godkänt – ”kan ni också godkänna den algoritmen”. Men så går det inte till.

– Vi tittar inte bara på broschyren – vi måste granska produkten. Helst är vi involverade redan i starten på utvecklingen. Sedan är implementeringen av kryptoalgoritmen det svåra och vi tittar på sådant som var kryptonyckeln finns, var den mellanlagras och om information finns där den inte ska finnas när den flödar i systemen.

Rent praktiskt handlar det sedan om att verksamheten får en godkänd signalskyddsutrustning – med kryptoapparat, nycklar, certifikat, aktiva kort och en manual. Den får sedan inte används innan de som ska använda den fått en utbildning och efter det är det verksamhetens sak att själva implementera den i sin egen organisation.

Dessutom trycker Försvarsmakten på för att de personer som hanterar signalskyddet säkerhetsklassas.

– Det handlar både om ren registerkontroll och säkerhetssamtal men det möjliggör också för organisationer att enklare lära känna sin personal och genom det få reda på om det är något organisationen behöver känna till om personen hamnar i en utsatt situation och blir sårbar för yttre påtryckningar. Om sedan någon tar kontakt med medarbetare som inte borde så ska det inte vara något stigma att berätta det för organisationen.

Drar in godkännanden

Försvarsmakten godkänner inte bara krypteringsutrustningen utan drar också in godkännanden.

– Där har vi god framförhållning och meddelar vår avsikt att sänka signalskyddsgraden när signalskyddet börjar falla för åldersstrecket. Det kan ta tid att byta ut systemet och det görs kontrollerat. Sedan tar vi in utrustningen och destruerar den under ordnade former.

Finns det då en risk att eventuella motståndare bara byter taktik om vi gör det svårt att komma åt information – kanske går på människor i stället?

– Vi ska alltid tvinga motståndare att taktikanpassa. Signalskydd är ett sätt och sedan får vi titta på andra risker, som kontaktagning, och sedan tvinga dem att taktikanpassa där också.

Peter Eidegren anser att hotet i sig är konstant – motståndarens syfte är att ta reda på så mycket de bara kan om vår kunskap, information och intentioner. Det finns olika sätt att göra det. Man kan hacka ett datasystem, använda passiv signalspaning via exempelvis satellit eller approchera medarbetare för att försöka få reda på information.

– Signalskydd är ett enkelt och ganska tydligt sätt att förhindra att motståndaren kommer över information men det är bara en pusselbit i hela it-säkerhetsarbetet. Jag tycker att vi generellt pratar alldeles för lite om att vi har en motståndare som gör allt de kan för att komma åt vår information. Signalskydd krävs för att skapa oss ledningsförmåga och kunna ha en kommunikation under störda förhållanden, säger han.

– Sverige måste börja förstå att vi har en motståndare som vill åt våra hemligheter.

