Debatt: Nationellt Center för Cybersäkerhet

Thursday, September 12, 2019

FörsvarNCSC-SEDebatt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Sverige ska få ett nationellt center för cybersäkerhet och jag välkomnar detta. Även om det i dagsläget inte finns några som helst skrivelser som vad ett sådant center konkret innebär gillar jag idén av en myndighet som har ett uttalat ansvar för cybersäkerhet. Eftersom få verkar ha någon större insikt eller insyn i vad en sådan här myndighet kommer göra tänkte jag skriva en liten önskelista om det ansvar jag gärna ser att den skulle få, eller inte.

  1. Ett tydligt fokus på det faktiska och konkreta arbetet med att försvara organisationer och verksamheter.
  2. För (1) gäller att denna ska vara underrättelsestyrd.
  3. Tekniskt begåvad.
  4. Egen budget.
  5. Tydliga mandat.

Tillåt mig diskutera dessa i något mer detalj.

Önskemål 1 - Tydligt fokus på det faktiska arbetet

Det finns en sak vi inte behöver mer av och det är strategiska dokument och policys. Vi behöver inte fler riktlinjer eller inriktningar. Vad vi behöver är konkreta vägledningar om vad som fungerar mot vad som händer på riktigt. Vi behöver en taktisk myndighet. En myndighet som förstår verkligheten (på riktigt) och lämnar konkreta rekommendationer om vad som fungerar mot denna verklighet.

Önskemål 2 - Underrättelsestyrd verksamhet

Rekommendationer eller andra former av vägledningar från myndigheten ska vara förankrad i en analyserad verklighet; den ska vara underrättelsestyrd. Framställer myndigheten några dokument ska dessa vara härledda till saker som händer här och nu. Myndigheten behöver anställa experter inom utrikespolitik, sådana människor som förstår andra länder och deras motiv och hur dessa motiv kan komma att påverka Sverige. Myndigheten väver samman ett bredare spektra av kompetenser för att producera välgrundade analyser av omvärlden och låter sedan dessa styra och genomsyra organisationen och det arbete som utförs.

Önskemål 3 - Tekniskt begåvad

Myndigheten behöver ha ett tydligt tekniskt fokus. Det ska bedrivas forskning inom cybersäkerhet som även denna är tydligt förankrad i verkligheten. Låt myndigheten anställa spetskompetens inom reverse engineering för att identifiera sårbarheter i vanliga programvaror. Anställ sedan några till. Hämta inspiration från Google Project Zero, och betala dem väl.

Låt myndigheten ansvara för att centralt administrera tjänster för informationsutbyten om tekniska indikatorer, så som IP-adresser som används i botnät, domäner som används i phishing osv. Låt myndigheten tillhandahålla en för Sverige central threat feed som företag, organisationer och myndigheter kan frivilligt ansluta sig till för att få kvalificerad och analyserad information om pågående kampanjer och dylikt.

Önskemål 4 - Egen budget

För gudsskull låt myndigheten få en egen budget att förvalta och ansvara för. Låt inte en eventuell överordnad myndighet bestämma hur pengar ska fördelas och användas. Det är bortom tvivel att en egen budget är en absolut nödvändighet för att myndigheten ska kunna uppnå någon rimlig och reell förändring i hur Sverige hanterar utmaningarna med cybersäkerhet.

Önskemål 5 - Tydliga mandat

Det måste tydligt framgå vad myndigheten får göra och i vilka sammanhang. Jag vet inte exakt vad jag menar med det här, men jag önskar helt enkelt att myndigheten kan stå på egna ben. Får myndigheten bestämma över andra myndigheter? Säg att myndigheten upptäcker sådana uppenbara brister hos en annan myndighet, vilka mandat gäller? Jag menar att i ett sådant sammanhang ska den nya myndigheten i princip kunna få promenera in med nödvändig utrustning för att säkra upp miljön utan att ifrågasättas.

Kanske uppstår det konflikt i ansvarsprincipen, vad vet jag? Men well… jag anser att myndigheten borde kunna får röja runt ordentligt om det finns skäl för detta.

FörsvarNCSC-SEDebatt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Föreläsning: En resa genom cyberangreppet - Från angriparens perspektiv

Praktiskt underrättelsearbete - Metoder för analys