Inrikes

Försvarsmakten brottas med ständigt skiftande it-hot, enligt Totalförsvarets forskningsinstitut. Foto: TT

Ny rapport: Försvarsmakten har svårt att bedöma it-hot

Uppdaterad
Publicerad

Korrekta bedömningar av it-hot är en stor utmaning för Försvarsmakten. Myndigheten tvingas förlita sig på enskilda experter eftersom det saknas bra underlag.

Därför kan bedömningarna variera kraftigt beroende på vem som gör dem, enligt Totalförsvarets forskningsinstitut.

Enligt Försvarets radioanstalt finns det över hundra länder som utvecklar kunskap för att kunna göra avancerade it-angrepp mot andra stater eller utländska företag. Sverige angrips dagligen, har SVT Nyheter tidigare rapporterat.

2013 utnyttjades Försvarsmaktens server i en överbelastningsattack mot amerikanska banker. Säkerhetsluckan åtgärdades först efter att Myndigheten för samhällsskydd och beredskap slagit larm.

I januari i år utsattes Försvarsmakten för en hackerattack, som ledde till att myndigheten stängde ned ett övningssystem.

LÄS MER: Försvarsmakten utsatt för hackerattack

Nu slår Totalförsvarets forskningsinstitut, FOI, fast i en ny rapport att det är svårare än vad man tror att bedöma sannolikhet och konsekvenser av hot mot it-system.

När försäkringsbolag gör skaderiskbedömningar har de omfattande statistik att luta sig mot, men motsvarande underlag för att bedöma hot mot it-system saknas hos Försvarsmakten. I stället brottas man med en ständigt skiftande hotbild. Det kan till exempel handla om att en sårbarhet i en programvara blir allmänt känd eller att en före detta anställd bestämmer sig för att ta sig in i it-systemet.

Myndigheten tvingas till stor del förlita sig på sina egna experter för att göra hotbedömningar. Det gör att bedömningarna blir väldigt personberoende och kan variera ganska kraftigt beroende på vem som gör dem.

Måste effektivisera metoder

För att förbättra sina bedömningar behöver Försvarsmakten effektivisera sina metoder. Experterna behöver mer utbildning i de metoder som används, bättre kunskaper om aktuella it-hot och mer kunskap om it-systemen, menar FOI.

– En väldigt viktig sak är att de här bedömningarna är svåra att göra, så man behöver avsätta tid och resurser för att kunna göra dem ordentligt. Metoderna behöver också utvecklas så att de blir mer anpassade till it-systemen, säger Jonas Hallberg som är en av rapportförfattarna bakom FOI:s studie.

LÄS MER: Must-chefen pekar ut Ryssland som it-hot

Svårigheterna att bedöma it-hot är dock inget specifikt för Försvarsmakten, utan ett allmänt problem för alla myndigheter och organisationer, menar Jonas Hallberg.

– Jag skulle säga att Försvarsmaktens bedömningar är bra, givet de förutsättningar man har. Men det finns stort utrymme för att förbättra både metoder och underlag.

Samtidigt poängterar han att det är omöjligt att skydda sig mot alla hot.

– Så länge man använder it-system kommer det alltid att finnas risker.

”Inga nyheter”

Försvarsmakten känner till rapporten och hävdar att den inte innehåller några nyheter.

– Försvarsmakten vidtar alltid de åtgärder som behövs för att skydda sina system. Men tempot är så högt i dag, så man kan aldrig vara hundra procent säker. Därför måste man alltid har ett fortgående arbete med att utveckla skyddet, säger pressekreterare Jesper Tengroth.

LÄS MER: Stor cyberattack mot flera länder – kräver lösensumma

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.