Ny offensiv IT-angreppsförmåga och kritik mot Försvarsmaktens perspektivstudie 2013

Försvarsmakten har på beställning lämnat en perspektivstudie till Försvarsdepartementet. [1] Studien behandlar bl a teknikutveckling inom IT-området, sociala medier, informationsoperationer och ”cyber”. Här är några av mina reflektioner om bl a ny offensiv IT-angreppsförmåga. Om du är intresserad av området rekommenderar jag läsning av sidorna 26-27 i studien och sidorna 31-35 i bilaga 1 till studien.

Försvarsmakten vill ha egen offensiv IT-angreppsförmåga

En slutsats i studien är att Försvarsmakten bör ”upprätthålla en trovärdig och användbar operativ förmåga i alla konfliktnivåer i cybermiljön”. Enligt studien handlar detta om ett ”dynamiskt cyberförsvar som möjliggör ett uppgiftsanpassat defensivt skydd mot oönskad påverkan”. Den operativa förmågan handlar även om att med offensiva verkansmedel utnyttja cybermiljön, enskilt eller i kombination med andra militära medel, för att genomföra eller stödja militära insatser. Ett exempel i studien på när offensiva verkansmedel ska kunna användas är för att i högre konfliktnivåer stoppa ett angrepp på egna IT-system. [2]

Utan att ha full koll på Försvarsmaktens redovisningar är det, vad jag känner till, första gången som behovet av svensk offensiv IT-angreppsförmåga har påtalats av Försvarsmakten. [3] Kvalitetsnivån på denna nya förmåga bör enligt studien ligga i paritet med omvärlden. Förmågeutvecklingen bör enligt studien inkludera forskning och utveckling, kompetensförsörjning och förbandsutveckling. [4] En sådan offensiv IT-angreppsförmåga tycker jag är mycket bra och en nödvändighet för framtiden.

Obalans mellan krav på skydd och krav på informationstillgänglighet

Balansen mellan krav på skydd av ”känsliga system” (vad nu det är för något?) och krav på ökad informationstillgänglighet tas upp i studien. Enligt studien finns det en stor osäkerhet om denna balans i en miljö med ökad integration av civila och militära system. Om balansfrågan handlar om vilka sekretessbelagda uppgifter som är delgivningsbara eller om sårbarheter som introduceras till följd av nödvändiga sammankopplingar framgår inte.

Enligt studien finns det en konflikt mellan skyddsnivå och nyttjandeeffektivitet. En av studiens slutsatser är att säkerhet inte bör ses isolerat utan balanseras mot den nytta som ett IT-system förväntas ge, liksom mot kostnader. Ett IT-system som ger stor nytta ska således tillåtas ha en lägre nivå av skydd, om det t ex blir för dyrt med den nivå av säkerhet som behövs. Men ett sådant synsätt överensstämmer inte med säkerhetsskyddslagen när det gäller vilket säkerhetsskydd som ska finnas i och omkring ett IT-system. [5] Det som gäller i dag är att man måste avstå från ett IT-system om ett erforderligt skydd inte kan uppnås eller upprätthållas.

Studien talar om ett passivt skydd för IT-system kompletterat med en dynamisk säkerhetsprocess som bygger på bl a övervakning av systemen för att identifiera avvikelser i normalbilden, risker, incidenter och hot med fokus på de mest skyddsvärda objekten. Denna ”dynamiska säkerhetsprocess” ska, enligt min mening, redan finnas och en del består i att analysera säkerhetsloggar och reagera på innehållet. Åtgärder bör, enligt studien, kunna sättas in för att möta identifierade och bedömda hot och risker innan de skapar ”större problem” i utnyttjandet av systemen. Menar studieförfattarna att ”mindre problem” då kan accepteras? Att det är ok att främmande makt tassar omkring i IT-systemen så länge den mest skyddsvärda informationen inte rörs och den främmande makten inte skapar några större problem?

Jag tycker att studiens författare distanserar sig från den nivå av skydd som Försvarsmaktens IT-system ska ha. Det är som att det ökade behovet av informationsutbyte med olika aktörer medför att man måste acceptera en annan, mer förlåtande syn på IT-säkerhet där intrång kan få ske, bara de kan detekteras och åtgärdas om det blir problem.

Informationstillgångar har en stor spännvidd och alla uppgifter behöver inte samma skydd. Skyddet är anpassat, bl a efter dess skyddsvärde. [6] Studien gör ingen skillnad i informationstillgångar varför det inte går att bedöma om studiens överväganden är giltiga för, låt oss säga uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet och som dessutom är av synnerlig betydelse för rikets säkerhet (sk kvalificerat hemliga uppgifter). Det finns uppgifter som omfattas av försvarssekretess och som har en längsta sekretesstid på 150 år och om de röjs i dag kan medföra en mycket stor skada för landets försvar i en eventuell framtida konflikt. [7] Detta medför att kraven på informationssäkerhet av nödvändighet är snäppet högre än i samhället i övrigt.

Jag hade hellre sett att studien närmat sig orsakerna till varför det är så svårt att skapa en nödvändig IT-säkerhetsnivå, t ex undermåliga IT-arkitekturer, bristen på IT-säkerhetskomponenter med hög assurans och brister i metoder för IT-säkerhetsarbete. [8] [9] Den ständiga rapporteringen om IT-angrepp, sårbarheter och förlust av information visar att civila aktörers IT-säkerhet är otillräcklig. Om militära operationer med offensiva förmågor avses ta plats i informationsarenan borde studien i skyddshänseende vara mer visionär än undflyende. Anmärkningsvärt då den ökade betydelsen av ”cyberförsvar” identifieras som en trend i internationell förmågeutveckling och studien pekar på att ”försvar mot cyberattacker” blir viktigare. [10] [11]

Kryptoteknik är ett integritetskritiskt område

Studien konstaterar att den civila sektorn är ledande för huvuddelen av teknikutvecklingen och att den alltmer drivs av privata aktörer och deras behov. [12] Kryptoteknik pekas dock ut som ett av flera områden ”där det inte sker relevant civil forskning eller där bi- eller multilaterala samarbeten inte kan skapas”. Sådana områden är enligt studien integritetskritiska.

Jag tolkar detta som att Försvarsmakten i utveckling och anskaffning av kryptoteknik behöver ha egen förmåga att kunna ta fram och värdera sådan teknik. Det går helt enkelt inte att lita på en kryptoapparat som har tagits fram av en annan stat om man inte har förmåga att säkerställa att kryptoapparaten gör vad den ska, inte läcker information eller innehåller bakdörrar. Det kan tyckas självklart att en stat inte kan lägga sina krypteringsägg i en annan stats krypteringskorg. Exemplet med Länk 16 för JAS visar att så inte är fallet. [13] [14] [15]

Något som förvånar mig är att inte några andra tekniker för IT-säkerhet pekas ut som ett integritetskritiskt område. Istället nämns i studien att Försvarsmakten endast erhåller modifieringar av standardprodukter och därför måste risker identifieras och strategier för detta utarbetas. [16] Kryptoteknik är fundamentalt för informationssäkerheten men frågor om assurans för ett IT-systems säkerhetsförmåga borde vara lika betydelsefullt. Studien nämner särskilt att ”mjuk- och hårdvara kan, redan innan de tas i bruk, förberedas för att samla underrättelser eller öka effekten av attacker med svåra konsekvenser som följd”. [17] I fråga om förebyggande arbete med IT-säkerhet har studien partiellt kapitulerat och konstaterar att ”Försvarsmakten måste kunna hantera att sådan förmåga används”. Jag menar att om ett IT-system innehåller sårbarheter måste systemet byggas och hanteras på ett sådant sätt att sårbarheterna inte kan användas för underrättelseinhämtning eller påverkan.

Studiens innebörd, som jag läser det, är att det är ok att Försvarsmaktens IT-system innehåller sårbarheter som kan användas för underrättelseinhämtning eller påverkan av system, men att det ska finnas förmåga att upptäcka sådan inhämtning och påverkan. Säkerhetsarbetet ska enligt studien gå från att förebygga till att lappa och laga. Jag håller inte med.

≈ ≈ ≈

Annika Nordgren Christensens blogginlägg om perspektivstudien är mycket läsvärd.

Noter och hänvisningar:

  1. Försvarsmaktens redovisning av perspektivstudien 2013
  2. Sidan 34 i bilaga 1 i perspektivstudien.
  3. Frågan om offensiv förmåga att genomföra IT-angrepp har så klart diskuterats på olika håll. Se t ex nyheten Offensiva insatser mot it-angrepp diskuteras hos Sveriges Radio.
  4. Avsnitt 6.5 på sidan sidan 35 i bilaga 1 i perspektivstudien.
  5. Vilken IT-säkerhet som ska finnas beskrivs i kapitel 13 i Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk). Se särskilt avsnitt 13.1 som handlar om säkerhetsskydd i och kring IT-system, dvs skyddet för uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet.
  6. Kort beskrivning av anpassning av skydd i MUST krav på säkerhetsfunktioner (KSF 3.0) finns på sidorna 15-20 i presentationen Ackreditering och Krav på Säkerhetsfunktioner (KSF) som visades under MSB konferens om informationssäkerhet i offentlig sektor 2013.
  7. 4 § offentlighets- och sekretessförordningen.
  8. FOI-rapporten Hot-, risk- och sårbarhetsanalys – Grunden för IT-säkerhet inom Försvarsmakten.
  9. FOI-rapporten Behov av stöd vid genomförande av hot-, risk- och sårbarhetsanalyser för IT-system inom Försvarsmakten.
  10. Sidan 17 i perspektivstudien.
  11. Sidan 27 i perspektivstudien.
  12. Sidan 35 i bilaga 1 i perspektivstudien.
  13. Blogginlägget Krypterad ledning igen? – Jag tror det när jag ser det hos Wiseman’s Wisdoms.
  14. Nyheten Försvaret riskerar att avlyssnas av USA hos Sveriges Radio.
  15. Nyheten Nya Jas Gripen ska klara kryptering hos Sveriges Radio.
  16. Sidan 35 i bilaga 1 i perspektivstudien.
  17. Sidan 32 i bilaga 1 i perspektivstudien.

/Kim Hakkarainen

1 kommentar

Publicerad i IT-säkerhet, Kryptering, Säkerhetsskydd

En kommentar till Ny offensiv IT-angreppsförmåga och kritik mot Försvarsmaktens perspektivstudie 2013

  1. Lars

    Frågan om offensiv kapacitet är inte ny – det beslutade statsmakterna om redan för 14 år sedan baserat på prop 99/00:30. ”De rent militära aspekterna på informationskrigföring omfattar en rad
    defensiva åtgärder för att säkra militära lednings- och IT-system, vapensystems funktionalitet m.m. Det är dock viktigt att de offensiva metoderna studeras noga för att erhålla defensiv kompetens och förmåga, samt för att ha förmåga att slå tillbaka mot en angripande stat.”

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *