I takt med att de tekniska IT-skydden förbättras riktar främmande makt in sig på mänskliga sårbarheter för att komma åt hemlig information.
– Kunskapen om det här är eftersatt, säger Peter Svenmarck vid FOI.
Försvarmaktens växande användning av IT-system – som används i allt från ledning och underrättelseanalys till övervakning, spaning och vapensystem – ökar risken för informationsläckor.
Traditionellt sett har militära organisationer fokuserat på tekniska skydd, men allt eftersom de förbättras riktar motståndarna in sig på mänskliga sårbarheter för att komma över känsliga uppgifter, enligt en ny rapport från Totalförsvarets forskningsinstitut (FOI).
Det kan till exempel handla om att angripa svaga lösenord. En annan sårbarhet är grafiska lösenord, när lösenordskoden ”ritar” en synlig slinga på datorer och telefoner när den knappas in. Funktionen är vanlig på mobila enheter, men gör lösenordet lätt att se om någon obehörig hänger över axeln.
Planterade USB-minnen
Nätfiske blir allt vanligare vid IT-attacker. Offret får vad som ser ut att vara ett mejl från en bekant och uppmanas att klicka på en länk. När personen klickar på länken laddas skadlig kod ned som kan användas för att stjäla hemlig information.
Ett annat möjligt angreppssätt är planterade USB-minnen.
– Det har förekommit att USB-minnen har lagts på parkeringsplatser utanför militärbaser i utlandet, och att personal som hittat dem har stoppat in dem i sin dator för att se vad som finns lagrat. Innehållet kan ta över datorerna fullständigt, säger Peter Svenmarck, förste forskare vid FOI:s avdelning för ledningssystem i Linköping.
Kunskapen eftersatt
FOI ingår i en Nato-grupp som har till uppgift att stärka kompetensen kring IT-säkerhet. Förutom Sverige ingår även Nederländerna, Bulgarien, USA, Kanada, Tyskland, Storbritannien och Ukraina.
Enligt Peter Svenmarck är kunskapen om mänskliga IT-sårbarheter, precis som hos andra myndigheter och privata aktörer, eftersatt hos svenska Försvarsmakten.
– Ja, det märkte jag bara när jag tog upp det här med finansiären (Försvarsmakten reds anm.). Frågan var varför man skulle satsa på det här området. Det är alltid ett steg att fokusera på användare i stället för teknik, säger han.
Han menar att Försvarsmakten behöver bli bättre på att göra ett urval av de som söker jobb som IT-säkerhetsexperter. Fokus måste ligga både på teknisk expertis och samarbetsförmåga. Samtidigt måste Försvarsmakten förbättra sina övningar i cybersäkerhet.
Det finns också ett stort gap mellan hur systemadministratörer och vanliga användare ser på IT-säkerhet.
– De som jobbar med IT-säkerhet är inte så insatta i vilka problem som användarna ställs inför, det är lätt att de pratar förbi varandra.