FRA vill dela med sig av IT-säkerhet och utlovar kunder full diskretion
Signalspanarna har alltid legat på teknikens framkant
Av Jan-Ivar Askelin
Var är kravet störst på IT-säkerhet? En na tionell underrättelsetjänst borde ju ligga bra till. Försvarets radioanstalt, FRA, ute på Lovön tycker att man kan så mycket om IT-säkerhet att man har ett och annat att lära ut till andra. Dessutom utlovas full diskretion.
- FRA läcker inte, säger Tomas Djurling som är chef för FRAs enhet för riskanalys informationskrigföring. Det ingår liksom i förutsättningarna att man kan hålla tyst om det som man jobbar med. Ingenting får komma ut om våra metoder eller om hur bra eller dåliga vi är.
Torbjörn Gustafsson jobbar också med IT-säkerhet och säger att man lärt sig IT-säkerhet av det enkla skälet att man varit tvungen:
-Vi kan ju inte släppa in några andra i våra datorer. Vi hackar oss själva och har vår egen hackergrupp som testar säkerheten. Vi bedriver aktiv IT-säkerhet och som bonus bygger vi upp kunskap och det är denna som vi vill dela med oss av till andra totalförsvarsmyndigheter.
- Det måste vare en avvägning mellan effektivitet och säkerhet, säger Tomas Djurling. Vi har ju extrema säkerhetskrav. Varje organisation måste skaffa sin egen säkerhetspolicy. Vilka risker är man villig att ta?
”Oskyldig” hemsida kan vara en bomb
Björn är 21 år och lite av en hacker. Fingrarna flyger fram över tangentbordet och sprutar koder. Han visar hur enkelt det kan vara att luras på Internet. Detta är en demonstration som gjorts för många myndigheter och som enligt FRA har väckt ett stort intresse.
Man har simulerat ett Internet i rummet och så kan åskådaren följa vad som händer när surfaren inte får den hemsida att trodde sig få - utan en till synes likadan. Den falska sidan har preparerats av en databov som sitter någonstans på nätet mellan den gode och den riktiga sajten. Med den falska hemsidan följer dolt ett litet program som praktiskt taget viker ut hela hårddisken. Den onde kan nu knäcka lösenord och manipulera allt vad som finns på hårddisken.
På samma sätt kan den onde snappa upp den godes e-post, ändra köp till sälj och ruinera honom över en natt. Den onde behöver inte vara världens bäste hacker och hans verktyg hämtar han på Internet.
Är man då hjälplös ute på nätet? Nej, säger FRAs experter. Den finns rätt enkla sätt att skydda sig, men även de enkla metoderna måste man lära sig. Man får inget skydd automatiskt.
Tekniskt kunnande del av FRA-kulturen
IT må ha kommit ganska så plötsligt på en del håll, men hos FRA har man traditionellt legat på teknikens framkant och det ligger, säger man, i FRAs kultur att ha respekt för tekniskt kunnande. Vid sidan om de kommersiella datavarorna som finns att köpa på stan så utvecklar man egna system. Vilka är givetvis en väl förborgad hemlighet.
Risken att någon hacker tar sig in hos FRA och tar kronjuvelerna finns egentligen inte eftersom nätet inte går genom staketet. Det största hotet mot FRA bedöms vara insiders, personer som av olika skäl otillbörligt delar med sig av hemligheterna. Hur skyddar man sig mot insiders i ett nätverk?
- På FRA är det förmodligen ingen som har hela bilden av vad FRA gör. Knappast inte ens generaldirektören, säger Tomas Djurling. Var och en får bara veta det man behöver. Man har tillgång till sin lilla tårtbit av nätverket. Problemet uppstår snarare när man byter arbetsuppgift. Då läggs den nya tårtbiten till den gamla.
FRA är fortfarande en vit fläck på telefonkartan men har i alla fall fått en egen busshållplats. Ungefär samtidigt som Warszawapakten tog ned sin skylt så satte FRA upp sin vid vägen. Det var ju inte så lätt att dölja verksamheten. Alla antenner och paraboler talade ju sitt eget språk.
Diskretionen kan dock ibland ha sitt pris. Vid en av FRAs anläggningar ute i landet skulle det sättas upp ett staket. När jobbet inspekterades undrade FRA-tjänstemannen lite försynt varför taggtråden var vänd inåt anläggningen.
- Jamen dom sa ju att det var en anstalt.
Från FOA-tidningen nr 3-2000 - www.foi.se/framsyn