Kategori: IT-säkerhet
I efterdyningarna av ett it-angrepp
I efterdyningarna av det it-angrepp som bland annat har drabbat Coop svårt, uppmärksammas samhällets informationssäkerhet och cyberattacker i den offentliga debatten. Det är positivt för många i it-säkerhetsbranschen att insikten om vad som händer om säkerheten ignoreras börjar sprida sig på bred front. Låt mig slå fast redan från start att alla som talar om att det behövs mer fokus och resurser inom it-säkerhet (cybersäkerhetsområdet) naturligtvis har helt rätt! Fler måste göra mer och säkerhet kostar. Den insikten börjar sätta sig i samhällskroppen. Kanske leder konsekvenserna för Coop till nästa nivå i debatten; att osäkerhet och underlåtelse att handla kostar än mer?
Den andra inledande kommentaren är att det i ivern att uppmärksamma de brister som finns – vilket i grunden är mycket vällovligt – ibland manifesteras missförstånd kring vad som finns på plats eller ej i den svenska strukturen. Ibland framförs också förslag som riskerar att medge fortsatt ansvarsflykt och i värsta fall skapa resursbrister inom spetsområden. Alla önskar bättre effekt i arbetet och det finns inte en sanning hur detta ska åstadkommas, men det är viktigt att inte springa fel när det är bråttom. Låt mig komma tillbaka till det i slutet av inlägget.
Cybersoldater – en bredare samhällsnytta
Frågan om kompetensförsörjning är naturligtvis starkt kopplat till förmåga över tid, även om det inte alltid ligger högst på agendan. Glädjande nog uppmärksammar dock DN att Sveriges första värnpliktiga cybersoldater har muckat, att antalet cybersoldater ska öka och att specialistofficersutbildning planeras. Frågor uppstod omgående i sociala medier om Försvarsmakten kommer kunna behålla personalen, med tanke på löneläget för it-säkerhetsspecialister i det civila samhället? Lägger Försvarsmakten pengar på kvalificerad utbildning, bara för att sedan se personalen lämna myndigheten? Jag drar mig till minnes ett inlägg på Försvarsmaktens hemsida från muck, där det uttrycks att det är positivt att Försvarsmaktens förmågeuppbyggnad indirekt stödjer det civila samhället, och ringer upp avsändaren av budskapet, Patrik Sternudd på Ledningsstabens CIO-avdelning. Sternudd har varit med från början av cybersoldatprojektet och av samtalet framgår följande:
Hela poängen är att de ska krigsplaceras, utbildningen syftar inte primärt till anställning i Försvarsmakten. Det är den stora skillnaden mellan grundutbildning med värnplikt och tidigare grundutbildning (GMU), där den befattningsspecifika delen byggdes på under den första tiden som anställd gruppbefäl, soldat eller sjöman (GSS/K). Värnplikten omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. Om cybersoldater och värnpliktiga cyberbefäl går vidare till civila anställningar utanför Försvarsmakten ser inte Patrik det som ett problem – då kan de fortsätta utvecklas i branschen samtidigt som de är krigsplacerade, vilket är en kompetensvinst för alla inblandade. Även om det inte är huvudsyftet så är de naturligtvis varmt välkomna att söka anställning i Försvarsmakten. Patrik påminner här om att det finns ett stort antal civilanställda experter i myndigheten, både inom cyberförsvaret och övrig it-verksamhet. Det är alltså inte nödvändigt att ta anställning som soldat eller officer för att tjänstgöra inom cyberförsvaret.
Patrik säger också att att cybersoldatsutbildningen måste ses i ett bredare sammanhang och som en av delarna i cyberförsvarets personalförsörjnings- och karriärsystem. Patrik hänvisar till Försvarsmaktens verksamhetsplan för innevarande försvarsbeslutsperiod (FMVP 21), där man kan läsa att
Införandet av ett för funktionen [cyberförsvaret] sammanhängande personalförsörjnings- och karriärsystem fortsätter. Till detta knyts forskningsverksamhet i syfte att erbjuda personal grund- och vidareutbildning i teknikens framkant. I perioden fullföljs införandet av värnpliktsutbildningen för cybersoldater, som även ska kunna försörja andra myndigheter med roller i cyberförsvaret med krigsplacerade värnpliktiga.
På frågan om inte de utbildade cybersoldaterna behövs i en försvarsmakt i tillväxt, bland annat innebärande fler it-försvarsförband (ITF) och att det kan bli svårrekryterat utifrån löneläget, förklarar Patrik att Försvarsmakten som myndighet självklart måste följa den statliga lönepolicyn, men också att det finns viss flexibilitet inom den, bland annat utifrån arbetsområde och nivå i BESTA-systemet. Erfarenhet visar också att det är helheten i erbjudandet som avgör och att viktig faktor är möjligheten till (och nödvändigheten av) kompetensutveckling kombinerat med kvalificerade arbetsuppgifter inom Försvarsmaktens unika verksamhet och mandat inom cyberdomänen.
Patrik säger också att vidareutbildning gäller samtliga personalkategorier i systemet, vilket i sig bedöms bli en konkurrensfördel för att attrahera och behålla både civil och militär personal. Personalförsörjningsystemet kommer fullt utbyggt att ha utbildningar för alla typer av officerare, inklusive reservofficerare (en reservofficer är en officer eller specialistofficer som arbetar som reservofficer i Försvarsmakten under perioder, och som har sin huvudsakliga sysselsättning någon annanstans).
Slutligen säger Patrik att det är viktigt att komma ihåg att utbildningarna och befattningarna framför allt syftar till att försörja it-försvarsförbanden samt högre staber med cyberförsvarskompetens. Cybersäkerhet och cyberförsvar är inte samma sak. Kärnan i cyberförsvaret baseras på förmågan att genomföra defensiva och offensiva operationer i cyberdomänen, medan cybersäkerhet oftast används som en synonym till it-säkerhet. Cybersäkerhet är upp till alla aktörer i samhället, medan cyberförsvar och cyberoperationer tar sin utgångspunkt i Försvarsmaktens huvuduppgift och ytterst är ett militärt maktmedel, avslutar Patrik Sternudd.
I samband med vårt samtal ber jag Patrik om några tips att förmedla vidare. De återges i slutet på inlägget.
Några nedslag i cybersäkerhetsdebatten
Nu tillbaka till den offentliga debatten och det positiva faktum att många ser behovet av att vidta åtgärder. Förslagen tar dock ibland sin utgångspunkt i ett antal premisser som inte alltid stämmer. Detta kan riskera att ta fokus från både det som redan görs och det som verkligen skulle ge effekt. Det största helt övergripande problemet, som jag ser det, är att verksamheter inte resurssätts i enlighet med ambitionsnivån. Nedan följer ett antal påståenden med medföljande reflektioner.
”Cybersäkerhetsområdet saknar regleringar”
Mandat och ansvar inom cybersäkerhetsområdet är till stor del redan reglerat och följer den svenska förvaltningsmodellen. Även om mandaten i vissa fall kan behöva förstärkas hos befintliga myndigheter så är det största problemet inte brist på föreskrifter, ansvar och rekommendationer utan istället att gällande regler och rekommendationer inte efterlevs i tillräckligt hög utsträckning. Ett exempel är inom säkerhetsskyddsstiftningen som reglerar informationssäkerhet (inklusive cybersäkerhet) för all säkerhetskänslig verksamhet där regeringen i en lagrådsremiss (Ett starkare skydd för Sveriges säkerhet, 18 mars 2021) konstaterar
Det har också framkommit att det finns fall där påpekade brister inte har rättats till (se bl.a. SOU 2015:25 s. 476–478). Detta är inte en acceptabel ordning när det gäller åtgärder som ska motverka risker för Sveriges säkerhet. Regeringen anser därför att det bör införas ytterligare administrativa sanktioner och andra ingripandemöjligheter för att säkerställa säkerhetsskyddslagstiftningens efterlevnad.
De befintliga regleringarna kan grupperas tematiskt, där olika myndigheter utifrån det svenska systemet har olika uppgifter:
- Militärt försvar, höjd beredskap och totalförsvar (Försvarsmakten, övriga försvarsmyndigheter, MSB, alla aktörer i totalförsvaret (TF)
- Krisberedskap (MSB)
- Säkerhetsskyddet utifrån säkerhetsskyddsslagstiftningen (Försvarsmakten och Säkerhetspolisen är föreskrifts- och tillsynsmyndigheter)
- Samhällsviktiga it-tjänster (MSB och tillsynsmyndigheter)
- Elektroniska kommunikationstjänster (PTS, med beaktande av TF behov och säkerhetsskydd)
Exempel på regleringar
För säkerhetskänslig verksamhet: 3 kap 4 § i säkerhetsskyddsförordningen (sedan 2019):
4 § En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.
19 § i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (SFS 2015:1052) gäller för alla myndigheter under regeringen:
19 § Varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas.
För leverantörer av samhällsviktiga alternativt digitala tjänster gäller lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) med tillhörande förordning:
13 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.
Leverantörer av digitala tjänster som varken används för säkerhetskänslig verksamhet eller är samhällsviktiga omfattas istället av 15 § i samma lag, vilken förtydligas genom förordningens 6 §:
6 § Vid bedömningen av om säkerhetsåtgärder enligt 15 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster säkerställer en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till risken, ska följande beaktas:
1. säkerheten i system och anläggningar,
2. incidenthantering,
3. hantering av driftskontinuitet,
4. övervakning, revision och testning, och
5. efterlevnad av internationella standarder. […]
”Det borde finnas en enda myndighet med allt ansvar”
Man kan ha olika uppfattningar om huruvida den svenska förvaltningsmodellen är optimal eller ej, men oavsett hur man vill att strukturen ska se ut vill jag varna för föreställningen att samhällets cybersäkerhet kan lösas på central nivå. Det huvudsakliga arbetet behöver bedrivas på bredden och integrerat i verksamhetsutövarnas ordinarie processer. Detta avser hela kedjan från verksamhetsutveckling till säkerhetsarbete inom ramen för säkerhetsskyddslagstiftningen samt alla andra områden, inklusive och inte minst it-verksamheten i form av behörighetsstyrning, drift- och förvaltning.
Om man vill stärka cybersäkerhetsarbetet inom den befintliga förvaltningsstrukturen – som bygger på ett distribuerat ansvar där olika departement och myndigheter inom sina respektive kompetensområden och samhällssektorer har ansvar för samhällets verksamhet – är utgångspunkten att de befintliga myndigheterna har sakområdeskunskap och kan anpassa de överordnande lagkraven för att skapa förutsättningar för effektiv och säker verksamhet inom respektive område och bransch. Som ett paraply över alla områden finns Försvarsmakten och Säkerhetspolisen som utifrån säkerhetsskyddslagstiftningen utfärdar föreskrifter och utövar tillsyn för all säkerhetskänslig verksamhet.
Om man vill stärka cybersäkerhetsarbetet genom att förändra modellen, behöver man beakta konsekvenserna av att bryta ut informations- och cybersäkerheten ur strukturen. Samma sak gäller förståelsen för Försvarsmaktens roll och särskilda mandat när det gäller att möta ett väpnat angrepp (som kan jämföras med polisen och dess våldsmonopol som ordningsmakt). Att flytta dessa mandat till en annan myndighet förefaller olämpligt.
”Staten måste lösa problemet”
Företag och myndigheter har under många år har dragit nytta av digitaliseringen utan att ta höjd för säkerheten. Eller brutalare uttryckt: I vissa fall har man struntat i säkerheten på grund av det anses dyrt och onödigt. Därmed har en omfattande säkerhetsskuld byggts upp, som ökat för varje år man inte tagit hand om den. Riskerna ignoreras fram till dess att det smäller och då reses krav på att staten ska gå in. Det ska den naturligtvis göra för att utreda brott och lagföra brottslingar, men det är tveksamt om det är statens uppgift att återställa systemen till fungerande skick. Staten har däremot en viktig roll i att, där så behövs, ställa krav genom författningar eller ansvariga myndigheters föreskrifter, samt utöva tillsyn genom dess utsedda tillsynsmyndigheter. Dock protesteras inte sällan mot statens regleringar, som genererar kostnader och känns klåfingriga.
En annan dimension handlar om relationen mellan staten och privat verksamhet. När stöd från staten efterfrågas i det generella it-säkerhetsarbetet ska vi minnas att vi har ett antal it-säkerhetsföretag och it-konsultföretag/tjänsteleverantörer med it-säkerhetskompetens i Sverige. Dessa företag bidrar i sin tur till Sveriges samlade kompetens och konkurrenskraft och kan i sig vara ett värdefullt stöd för att öka grundnivån av cybersäkerhet i samhället.
Om man ska vara djävulens advokat finns många ursäkter och undanflykter. Bland annat kompetensbrist, vilket är ett faktum, men om näringslivet ställer krav på utbildningar brukar akademin tids nog lyssna. Ett av problemen är dock att cybersäkerhet ses som en specialistfunktion. Kompetensen behöver integreras i verksamheten och grundförståelsen behöver finnas inom fler yrken är de rent tekniska. En god början kunde här vara att i högskoleförordningen införa krav på grundläggande förståelse inom it-säkerhetsområdet för samtliga yrkesexamina. Att göra en sådan förändring och styrning är uppenbart en uppgift för staten som i förlängningen gagnar alla.
Genom att generellt höja lägstanivån frigörs också resurser, så att de mest kvalificerade förmågorna istället för att användas för brandsläckning av problem som inte borde uppstått kan ägna sig åt att möta de mest kvalificerade hoten och ytterst möta ett väpnat angrepp. Även detta är en uppgift för staten. Att bedriva kostnadsfri it-konsultverksamhet är dock mer tveksamt.
”Det går inte att få hjälp från staten”
Ovanstående resonemang till trots; i vissa fall har statsmakten funnit det lämpligt att ge myndigheter i uppgift att stödja, och it-säkerhetsområdet är ett sådant fall. Att säga att lagen förhindrar stöd från staten är därför felaktigt. Det ropas ibland efter FRA, vilket jag kan förstå då det är en ytterst kompetent myndighet. Däremot är det inte FRA som har uppgiften. FRA är framför allt en försvarsunderrättelsemyndighet som med sin särskilda kompetens inom it-säkerhetsområdet efter begäran kan stödja statliga myndigheter och bolag som ”hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende” (FRA:s myndighetsinstruktion).
Vem kan då stödja?
MSB:s myndighetsinstruktion är mycket tydlig att MSB ska stödja med förebyggande arbete, inklusive rådgivning, såväl som vid incidenter.
11 a § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och regioner samt företag och organisationer. […]
11 b § Myndigheten ska ansvara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter.
Myndigheten ska
1. agera skyndsamt vid it-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i det arbete som krävs för att avhjälpa eller lindra effekter av det inträffade,
2. återrapportera till berörda aktörer i samband med att en it-incident har rapporterats, […]
Utöver råd och stöd i det förebyggande arbetet ska MSB årligen lämna en rapport till regeringen med en sammanställning över inrapporterade it-incidenter, samt
[…] även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder på olika nivåer och områden i samhället.
Stöd från Försvarsmakten?
Inom cyberförsvaret har Försvarsmakten kvalificerade resurser som i många fall är unika. Dessa resurser är i flera avseenden användbara när samhället utsätts för påfrestningar i cyberdomänen och kan användas under kriser eller andra allvarliga händelser. Genom Inriktning för Försvarsmakten 2021–2025 har Försvarsmakten av regeringen fått följande uppgifter
Försvarsmakten ska i fredstid ha förmåga att:
– med befintliga resurser förstärka skyddet av prioriterade kritiska samhällsfunktioner,
– med befintliga resurser kunna lämna stöd till civil verksamhet.
Motsvarande uppgifter gäller även i krig. Den sista strecksatsen ingår även i instruktionen till Försvarsmaktens 2 §
Försvarsmakten ska med myndighetens befintliga förmåga och resurser kunna lämna stöd till civil verksamhet.
Lämnande av den första typen av stöd, framför allt i fred, kan kräva särskilda beslut från regeringen och i vissa fall även författningsändringar. För den andra typen finns förutsättningar genom lagen om Försvarsmaktens stöd till polisen vid terrorismbekämpning, samt förordningen om Försvarsmaktens stöd till civil verksamhet. Den sistnämnda förordningen reglerar särskilt att stöd kan lämnas som en ingående del i Försvarsmaktens utbildningsverksamhet.
Övrigt stöd
Försvarets materielverk driver ett nationellt certifieringsorgan (CSEC) för it-säkerhet i produkter och system. Materielverkets certifieringsorgan ska i sin verksamhet beakta nationella säkerhetsintressen. Certifieringsorganet ansvarar även för certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter och anordningar för kvalificerade elektroniska stämplar.
Om företag ställer krav på att de it-produkter de använder ska vara certifierade ökar kraven på tillverkarna, vilket skapar incitament för att i större utsträckning ta fram och sälja säkra produkter. I förlängningen kan det leda till att även privatkunder får bättre tillgång till produkter som uppfyller någon form av lägstanivå.
Totalförsvarets forskningsinstitut (FOI) bedriver uppdragsfinansierad forskning inom cybersäkerhetsområdet. FOI tillhandahåller även ett antal kurser inom cybersäkerhetsområdet samt utvecklar, på uppdrag av Försvarsmakten och MSB, träningsanläggningen CRATE.
”Myndigheterna måste berätta vad vi ska göra!”
Det har på Internet funnits fritt tillgängliga rekommendationer om vad som krävs för att uppnå god it-säkerhet under hela det innevarande årtusendet – inklusive rapporter om de mest vanligt förekommande hoten/sårbarheterna samt uppdaterade rapporter om vilka attacker som för tillfället förekommer. Avgörs följsamheten av vem som är avsändare eller är det snarare en prioriterings- och resursfråga?
Genom att företagen blir bättre på att skydda sig själva torde resurser och tid frigöras för myndigheter att utveckla sina delar inom föreskrifter, tillsyn, bekämpning av it-brottslighet, skyddet av det mest skyddsvärda samt militärt och civilt försvar.
”Cybersäkerhetscentret är lösningen på allt!”
Det finns ingen quick fix (se tidigare kommentar om övertro på centrala lösningar). Den stora vinsten med centret är samlokalisering och informationsutbyte. Myndigheterna hade dock redan innan centrumbildningen befintliga samarbeten, bland annat genom NSIT och SAMFI. Jag noterar också att mycket av det föreslås att centret ska få i uppgift att göra, redan ingår i uppdraget från regeringen. I regeringsuppdraget bör man särskilt komma ihåg den här skrivningen:
Myndigheterna som samverkar genom cybersäkerhetscentret ska bidra till verksamheten inom ramen för sina befintliga uppgifter. Den fördjupade samverkan inom cybersäkerhetscentret ska inte ta över det ansvar som ligger på de ingående myndigheterna och andra aktörer.
Med andra ord avlövas ingen befintligt ansvar och uppgifter, utan detta ska fortlöpa parallellt med centret, vilket kräver resurser. Myndigheterna som utgör centret kommer av sig själva inte kunna åstadkomma en ökad grundnivå med fler individer som faktiskt utför säkerhetshöjande arbete på bredden. Hela samhället oavsett organisationsform måste kavla upp ärmarna och börjar prioritera de uppgifter som redan är utställda i lag, förordning och föreskrift samt sådana allmänna rekommendationer som får anses vara mer eller mindre standard för it-system år 2021.
Några tips på vägen
Diskussionen hamnar lätt i ett läge där hela samhället förväntas dimensionera och möta de mest kvalificerade hoten, trots att man inte ens har förmåga att hålla sina system uppdaterade med de senaste säkerhetspatcharna. Innan det finns kompetens och processer att hantera de enklare hoten på Internet, och för den delen en effektiv drift, förvaltning – och behörighetsstyrning med tillhörande kontinuitetsplanering, så är det lite av en överkurs.
Man får, som det heter, äta elefanten i bitar och därmed är vi tillbaka till Patrik Sternudds tips. Vad vill han skicka med? Jag får direkt svaret att det inte finns några genvägar. Han jämför med utveckling av it-produkter där det finns det ramverk för mognadsnivåer och hur man stegvis ökar sin förmåga. Där är det mycket tydligt att man inte går från nivå noll till fem i ett steg. Patrik skickar med följande rekommendation:
Försök inte lösa det svåraste först utan börja med det som ger mest effekt på kortast tid. Om det inte finns särskilda regleringar för verksamheten kan det vara värt att titta på Stöldskyddsföreningens rekommendationer (”Cybersäkerhet BAS”). De erbjuder både utbildning och certifiering. Även CIS Controls kan vara en bra startpunkt. Är man en myndighet kan man gå direkt på LIS och ISO 27000-serien utifrån MSB:s föreskrifter. Identifiera vad som är den mest kritiska verksamheten och gör en plan för hur den ska skyddas, men utgå inte från att systemen går att skydda till 100 procent! Räkna med funktionsbortfall och ha en plan för hur kärnverksamheten ska upprätthållas när det händer.
……….
Lästips. Två rapporter från samverkande myndigheter inom området:
Rapporten Cybersäkerhet i Sverige 2020 – Hot metoder brister och beroenden
Rapporten Cybersäkerhet i Sverige 2020 – Rekommenderade säkerhetsåtgärder
I juni 2018 talade jag med överste Patrik Ahlgren, chef CIO Cyberförsvar vid ledningsstaben på Högkvarteret, om den förestående utbildningen av cybersoldater.
Filmtips: Microsofts Framtidsarena från februari 2021 Överste Ahlgren och MSB:s Åke Holmgren medverkar i en diskussion som bland annat handlar om kontinuitetsplanering.
En betraktelse över den försvarspolitiska mandatperioden 2014-2018: Putin, pengar och personalförsörjning
Snart är det allmänna val. Det är dags att summera den försvarspolitiska mandatperioden, lära sig av vad som hände (och inte) och förbereda nästa.
Ni minns hur det började, 2014? Den nya regeringen hade ännu inte kommit på plats när en kränkning av svenskt luftrum genomfördes av en rote ryska SU 24 söder om Öland. Snart var det dessutom dags igen, men denna gång under ytan. Peter Hultqvist (S) var nytillträdd försvarsminister när Operation Örnen drog igång i Stockholms skärgård. Att statsministern, försvarsministern och överbefälhavaren stod tillsammans på en av presskonferenserna var en viktig markering både nationellt och internationellt, men det illustrerade också Hultqvists vilja att förbättra relationerna mellan Försvarsmakten och departementet – en ambition som även manifesterades genom det okonventionella tillika kloka valet av statssekreterare, dåvarande chefen för ledningsstaben och Försvarsmaktens Högkvarter, generallöjtnant Jan Salestrand.
På Helgandsholmen fick försvarsutskottet (FöU) en rad nya ledamöter och en ny ordförande i den mångårige försvarspolitikern Allan Widman (L), som intressant nog representerar ett parti som stått utanför försvarsöverenskommelser och samarbeten med regeringen under mandatperioden, vilket har skapat en intressant dynamik i relationerna mellan utskottet (eller i alla fall Widman) och regeringen.
Försvarsberedningen låg i träda efter en uppseendeväckande överlämning av sin rapport innan valet och någon ”försvarsgrupp” fanns ännu inte på kartan. Däremot hade en nymodighet uppstått, nämligen det säkerhetspolitiska råd som regeringen inrättade i samband med ubåtsjakten i skärgården och som då och då under perioden har väckt frågor kring bland annat sin funktion. Kansliet för krishantering hamnade på justitiedepartementet (Ju) istället för statsrådsberedningen och frågor om civilt försvar flyttades också, enkelt uttryckt, till Ju från försvarsdepartementet. Sedermera blev det ministerbyte då Morgan Johansson (S) blev både justitie- och inrikesminister i efterdyningarna av Transportstyrelseskandalen.
Hultqvist etablerade snabbt en popularitet som kom att bestå under perioden och som i sinom tid – det är ett år sedan nu – skulle rädda honom från den misstroendeförklaring som skördade Anders Ygeman. Han använde sig av sina erfarenheter som förutvarande ordförande i FöU, då han ofta kritiserade regeringen för att ”skönmåla” tillståndet i Försvarsmakten, och mejslade ut en linje som handlade om att välkomna klarspråk och rent allmänt låta folk förstå att han menade allvar med försvaret. Det gick hem i stugorna och i Försvarsmakten och stukade framförallt Moderaterna på ett sätt som höll i tills dess att de genom Hans Wallmark tog tag i försvarspolitiken (för att travestera en aktuell valslogan).
Fyra år går fort och Hultqvist hade ett försvarsbeslut att genomföra. Det kommande försvarsinriktningsbeslutet skulle fattas under våren 2015, för att omfatta åren 2016-2020. Förberedelsearbetet drogs igång och försvarsministern efterfrågade uppriktiga underlag från Försvarsmakten
– Jag vill ha en klar redovisning av tillståndet i det svenska försvaret. Har vi en realistisk bild av hur det ser ut i dag, då har vi också en plattform när vi ska gå vidare. Därför är det viktigt för att stämma av läget i Försvarsmakten: vad är våra styrkor och våra eventuella svagheter? Hur ser arvet ut efter den borgerliga regeringen? Det är viktigt att få en analys av plus och minus. (SvD 141017)
Genom Försvarsmaktens svar några månader senare tydliggjordes klyftan mellan resurser och inriktning. Försvarsmakten skrev bland annat i sitt underlag att man med den angivna inriktningen höjer det militära försvarets operativa förmåga fram till 2020, men att det är otillräckligt relativt förmågeutvecklingen i närområdet. De ekonomiska förutsättningarna räcker inte för att nå upp till den ambitionsnivå som Försvarsberedningen föreslår, varken på kort och längre sikt, menande myndigheten. Redovisningen var svårsmält och insatta anade konturerna av ett underlåtenhetsberg som skulle ta tid att klättra över, särskilt som förhoppningarna var höga på att politiken snabbt skulle komma till rätta med bristerna. Uttalanden från Hultqvist i sin tidigare oppositionsroll, om de borgerliga partiernas aviserade budgetökningar som ”puts i marginalen”, bidrog till förväntningarna.
Regeringsskiften erbjuder en möjlighet att byta inriktning och göra upp med tidigare beslut och hantering, men i försvarspolitiken är det ofta mycket långa processer mellan beslut och till exempel ett förbandssatt materielsystem. Detta i kombination med att de breda majoriteternas politik inom området innebär att de flesta har varit inblandade och därmed ansvariga för vad som varit, vilket har sina uppenbara fördelar men även innebär en hämmande effekt på omtag tills dess det etableras ett slags konsensus om att vända blad. Det medför i sin tur att man aldrig kan virvla in på försvarsdepartementet och vädra ut och idka fullständig barmarksplanering när en ny politisk ledning tar plats. Det så kallade ”arvet” antar många skepnader och lägger sordin på äventyrligheter (samt hejdar förvisso en och annan vansinnighet).
Hultqvists första försök att skapa en gemensam bild av tillståndet i Försvarsmakten kom att bli inledningen på den återkommande frågan under mandatperioden om hur stort glappet egentligen är mellan den försvarsmakt som är beställd och de resurser som följt med besluten? Att tränga in i försvarsekonomin – som närmast är utformad för att vara omöjlig att begripa – är det få som gör på ett grundligt sätt. Detsamma gäller spårbarhet mellan tillförda resurser och försvarseffekt. Allt mer är hemligt i Högkvarterets underlag, till exempel redovisningarna av personal i budgetunderlagen, vilket inte underlättar annat än spekulationer. Annat är mer självklart dolt, till exempel förmågan i krigsförbanden, men det gör det också svårt att utvärdera utvecklingen bakom högtidstal och retorik.
Från vad som kändes som en armkrok mellan försvarsdepartementet och Försvarsmakten i mandatperiodens början, har det varit tilltagande gnissel i relationerna. Enkelt uttryckt är politiken irriterad på myndighetens överplanering och ekonomiska underlag som snabbt anses obsoleta. Det spretar också allt mer mellan de önskvärda inriktningarna och ambitionerna för verksamhetens mer långsiktiga utveckling. Från Försvarsmakten brottas man å sin sida med att inrymmas i en prolongerad ekonomi – i avsaknad av nya besked – som innebär svåra hugg i verksamheten främst under 2019. Den offentliga bilden av satsningar på försvaret går inte ihop med hur det står till ute på förbandsnivå. Detta blir också en kommunikationsutmaning för ÖB, som är i stort behov av att rekrytera personal till en verksamhet som ska kännas allmänt pågång, utöver att hålla modet uppe i den befintliga organisationen. Då vill han inte fastna i en krisbild av verksamheten – samtidigt som det inte blir några större resurstillskott om bristerna inte blottas. Till detta kommer en intern balansgång som heter duga, mellan vad som kan uppfattas som skönmålning (och som omedelbart får alla stridslystna, fast på fel sätt), behov av goda relationer med politiken och budskap som väcker opinioner men som samtidigt riskerar skapa destruktiv vanmakt över bristernas omfattning. Lägg därtill att ÖB är en del av både det psykologiska försvaret – försvarsviljan – och tröskeleffekten gentemot främmande makt.
Hur ska man som myndighetschef få fram att det har skett ett generellt lyft jämfört med ett antal år sedan, att medarbetare som är hårt arbetstyngda uträttar stordåd som innebär att den operativa förmågan faktiskt höjs. Samtidigt som de som var med innan den stora svackan blir förbryllade över uttalanden om att vi är i god form jämfört med tidigare och omedelbart spritter till på grund av muskelminnen från skönmålningstiden. De som tillkommit efter Rysslands återtag konstaterar dessutom att förmågeklyftan ökar mellan oss och eventuella motståndare, eftersom de så att säga springer snabbare.
Sammanfattningsvis handlar det om att kombinera budskap om att i en jämförelse med oss själva det senaste decenniet, lite drygt, har det skett en uppryckning inom en rad områden, men att vi i jämförelse med andra halkar efter, trots det som i offentligheten måste uppfattas som samsyn om att satsa på försvaret.
Ett område som alla inblandade identifierar som avgörande framåt är personalförsörjningen. Peter Hultqvist intresserade sig för detta under sin tid som ordförande i FöU, både utifrån resultatet av rekryteringen och hans motvilja mot Alliansregeringens beslut att lägga plikten vilande. Han sade bland annat att en tryggad personalförsörjning över tiden är ”den enskilt viktigaste förutsättningen för att Försvarsmakten ska få en erforderlig operativ förmåga”. Den första åtgärden inom området, december 2014, blev att fatta beslut om att åter börja kalla in krigsplacerad personal för repetitionsutbildning. Hultqvist hade ytterligare planer. Som bekant var ett av resultaten i den försvarsöverenskommelse som ledde fram till försvarsinriktningsbeslutet 2015 att se över personalförsörjningssystemet. Jag hade förmånen att leda den utredning som tillsattes och den 28 september 2016 lämnade 2015 års personalförsörjningsutredning SOU:n En robust personalförsörjning av det militära försvaret till ministern. Redan den 2 mars 2017 beslöt regeringen, i enlighet med utredningens sportiga tidsplan, att totalförsvarspliktiga kvinnor och män ska vara skyldiga att genomgå mönstring och fullgöra grundutbildning med värnplikt. Skyldigheten att genomgå mönstring gällde därmed från 1 juli 2017 och skyldigheten att genomföra grundutbildning med värnplikt från och med den 1 januari 2018. Beslutet om att åter tillämpa plikten kommer vi att minnas från mandatperioden, men personalförsörjningsutredningen var bara en av flera utredningar och ett annat område som det har vänts stenar inom är materiel och logistik, vilket kommer göra beständiga avtryck i nästa försvarsinriktningsbeslut.
Tillbaka till hösten och vintern 2015. Under hösten lades Hultqvistdoktrinen en 1 oktober 2015 fick Sverige en ny överbefälhavare när Micael Bydén tog över efter Sverker Göranson, som lämnade efter sex år i hetluften (han reflekterade över sin tid som ÖB i ett samtal på Försvarspolitisk Arena i Almedalen samma år). För övrigt var det belysande för sakernas tillstånd att utrikesminister Wallström kallade upp ambassadör Tatarintsev för allvarligt samtal samma dag som överbefälhavaren presenterades.
Den 10 december beslöt regeringen att Försvarsmakten, Myndigheten för samhällsskydd och beredskap (MSB) och övriga berörda civila myndigheter skulle återuppta en sammanhängande planering för totalförsvaret. Det motiverades med ett försämrat omvärldsläge och de ökade osäkerheterna i närområdet. Beslutet kommer helt säkert att ses som en milstolpe när försvarspolitiken beforskas i framtiden.
Lite senare samma månad bjöd försvarsministern in de partier som stod bakom Försvarsberedningens rapport till samarbete kring kommande inriktningsproposition. Han sökte en bred majoritet. Under ledning av statssekreterare Salestrand arbetades fram en överenskommelse som även omfattade förstärkningar av försvarsekonomin. Den lade också grunden till den inriktningsproposition som riksdagen fattade beslut om i början av sommaren. En bred majoritet var således ett faktum, även om Liberalerna lämnade förhandlingarna, och sånär som på frågan om svenskt medlemskap i NATO (Centerpartiet ändrade uppfattning till förmån för alliansanslutning i september 2015) rådde det inte några större oenigheter kring Hultqvists huvudinriktningar: Att öka den svenska nationella militära förmågan, inklusive förstärkt militär närvaro på Gotland, att med utgångspunkt från en militärt alliansfri position fördjupa internationella samarbeten samt att bygga upp ett för tiden relevant totalförsvar.
I och med överenskommelsen såg en ny försvarspolitisk gruppering dagens ljus. I syfte att vårda aprilöverenskommelsen mellan Socialdemokraterna, Miljöpartiet, Moderaterna, Centerpartiet och Kristdemokraterna skulle en grupp, Försvarsgruppen, fortsättningsvis samråda om frågor som gällde överenskommelsen. Kristdemokraterna hoppade av samtalen i augusti 2017 på grund av försvarsekonomin och står nu vid sidan av L på en egen sida inom alliansen.
2016 kom ett nummer av Försvarets forum (05/2016) som fick ögonbrynen att höjas på olika håll, både internt och externt. I en intressant intervju med arméchef Engelbrektson, flygvapenchef Helgesson och marinchef Nykvist, elva månader in i försvarsinriktningsbeslutet, sade arméchefen bland annat:
Vi har ju ärvt ett strukturellt underskott och det är inte borta för att vi har fått en ny uppgift (…) vi försöker hitta en prioritering inom en ram som från början är för liten för att lösa alla uppgifter.
Och flygvapenchefen preciserade:
Sedan är det ju ingen hemlighet att beräkningen som gjordes i samband med budget- och försvarsbeslutet gav vid handen att vi behövde en resursmängd som var 30 miljarder och inte tio, som var vad vi fick. Då saknas det ju två tredjedelar. Därför handlar det inte bara om att fördela ett tillskott, utan också att fördela ett underskott.
Under Folk och Försvars Rikskonferens i Sälen 2017 presenterade statsminister Stefan Löfven en lika efterlängtad som fördröjd nationell säkerhetsstrategi. Vid konferensen meddelade också försvarsministern att han återstartar Försvarsberedningen och att beredningen skulle påbörja arbetet med att ta fram en försvars- och säkerhetspolitisk rapport till regeringen. Hultqvist berättade också att han hade utsett riksdagsledamoten och förre försvarsministern Björn von Sydow till ordförande, vilket togs emot positivt i alla läger. Försvarsberedningen inledde arbetet med rapporten Motståndskraft – inriktningen av totalförsvaret och utformningen av det civila försvaret 2021–2025 som presenterades strax före jul 2017. Den har utgjort en totalförsvarsbibel sedan dess. Innan dess (i augusti) kom dock regeringen överens med Moderaterna och Centerpartiet om ytterligare resurser till det militära- och civila försvaret (ytterligare 2,7 miljarder kronor per år 2018-2020). En annan sak vi minns under den hösten är såklart försvarsmaktsövningen Aurora 17.
Under våren 2018 var det stor fermitet i Totalförsvarssverige, bland annat med kunskapshöjande övningsverksamhet inom civilt försvar genom SAMÖ 2018. 2020 är det åter dags för försvarsmaktsövning, men då genomförs också för första gången på mycket länge en nationell totalförsvarsövning – något att se fram emot med skräckblandad förtjusning! Helt säkert har vi kommit en bit på vägen då. Resurser har tilldelats. Beslut har fattats och många människors gedigna arbete och engagemang- både på den civila och militära sidan – har bidragit till det trendbrott som (i vid mening) försvarsfrågan och motståndskraften har genomgått. Men återigen, förmågegapet ökar relativt vår omvärld och det kommer krävas mer resurser, mer utbildat folk samt spetskompetens i internationell konkurrens, inte minst inom informationssäkerhetsområdet, än vad de flesta partier både vill och hoppas.
Senast den 14 maj 2019 ska Försvarsberedningen lämna sin andra rapport inför försvarsinriktningsbeslutet 2020. Nästa regering och försvarsminister har att hantera förberedelserna och propositionsskrivandet, samt att få beslutet genom riksdagen. I beredningens anvisningar ingår att redovisa möjliga effektiviseringar och konsekvenserna av förslagen inklusive uppskattade kostnader samt föreslå hur dessa ska finansieras. Minnesgoda försvarsintresserade minns mantrat ”krona för krona” från svunna tider. En ny regering bör omedelbart skrota detta krav. Försvarsberedningen ska lägga fram vad man anser behövas och motivera varför. Det kan inte ankomma på beredningen att uppfinna nya inkomstkällor för att säkerställa sina förslag.
Innan jag övergår till några frågeställningar som blivande beslutsfattare inom försvarsområdet bör fundera över, tänkte jag damma av något som försvarsministern sade i sitt tal under Sälenkonferensen 2016 och som känns sällsynt passande inför ett val:
En påminnelse till alla som nu bär ansvaret och ett budskap till eventuella framtida beslutsfattare i lokalen är: gör inga tvära kast inom försvarsmakten. Satsa på stabilitet och långsiktighet. Inse att världen kan förändras snabbt. Sol idag, kan vara mörker i morgon. Gör inte om tidigare misstag. Det går snabbt att rasera, men tar lång tid att bygga upp. Stå med fötterna på jorden!
Några frågor för en ny (eller nygammal) politisk ledning
- Minns Hultqvist underlagsbeställning till Försvarsmakten i början av mandatperioden (se ovan). Försök uppnå en gemensam lägesbild med Försvarsmakten, inklusive myndighetens skarpa prioriteringsförslag inom ramen för den ekonomi man som försvarsminister bör ha fått mandat för av sin statsminister.
- Om övningsverksamheten fortsatt ska sägas vara prioriterad och uttryckas som en signal till omvärlden om att vi tar försvarsförmågan på allvar (vilket sägs från politiskt håll), hur ska i så fall eventuellt inställd övningsverksamhet tolkas? Med andra ord: Säkerställ omedelbart pengar, även för 2019.
- I Ryssland genomförs ett resolut arbete för att, slarvigt uttryckt, kunna koppla loss viktiga funktioner och system från internet. Det illustrerar indirekt den egna viljan och förmågan att kunna ställa till elände i samhällsviktiga verksamheter, vilket även har visat sig tex genom larm i USA om intrång inom energisektorn. Sverige måste ta något slags nationellt grepp om kompetensförsörjning inom våra vassaste förmågor. I det ingår att säkerställa spetsen inom informations- och underrättelseområdet. Det handlar utöver eget beslutsstöd om att ha valuta för den helt avgörande internationella ”byteshandeln” för inflytande och egna behov.
- Den nationella säkerhetsstrategin: Ställningstagande till eventuell revidering och operationalisering del II.
- Hur optimerar vi det svenska systemet för beslutsstöd (och beslut) i regeringskansliet? En central fråga (inte minst kopplat till totalförsvarsplanering, gråzon och att hantera högre konfliktnivåer etc.) är behovet av helhetsbild när det gäller risker, sårbarheter och hot. Det kommer aldrig finnas En Enda Allomfattande Lägesbild, men det kan inte heller vara så att alla stuprör ska leda direkt upp till statsministern. Att räkna med att man alltid kan haka på informationsflödenas hängrännor först när krisen är ett faktum är onödigt optimistiskt. Vid sidan av mer långsiktiga frågor om myndighetsreformer och så vidare, där bra material finns i Försvarsberedningens senaste rapport, måste nästa regering veta hur man vill säkerställa hantering av gråzon och högre konfliktnivåer här och nu.
- Apropå skogsbränderna: MSB talar förtjänstfullt mycket öppet om hur myndigheten tänjde rejält på sitt nuvarande mandat. Det är intressant eftersom det rörde sig om en kris helt inom myndighetens traditionella ansvarsområde, utan några andra större samhällsstörningar – och framför allt utan de betydligt mer utmanande politiska dimensioner som ett mer eller mindre kvalificerat antagonistiskt angrepp skulle medföra. Med andra ord: Hur ska vi ha det med det geografiska ansvarsområdet på nationell nivå? Vad kan, och vad ska, delegeras till myndigheter?
- Fyra viktiga utredningar är pågång och kommer att levereras under kommande mandatperiod: Näringslivets roll i totalförsvaret samt försörjningstrygghet i fråga om försvarsmateriel, Ansvar, ledning och samordning inom civilt försvar, En ny myndighet för psykologiskt försvar samt Hälso- och sjukvårdens beredskap och förmåga inför och vid allvarliga händelser i fredstid och höjd beredskap. Nu gäller det att säkerställa att arbetet inom dessa områden fortsätter under utrednings- och remisstid, så att arbetet inte stannar av i osäkerhet om vad som komma skall. Detta har också Försvarsberedningen tryckt på i sin senaste rapport.
- Hur undviker vi att hamna i åtgärder och investeringar utifrån ”most preferred threat”, som resultat av närtida behov i industrin, intern kohandel i myndigheterna alternativt partipolitiska behov och överläggningar i partiledarkretsen?
- Hur stöttar politiken och hur effektuerar Försvarsmakten en organisation och en inställning hos alla berörda, som går från fredseffektivitet till att tillväxa (med allt vad det innebär, från frågor om infrastruktur till resurser och behov av delegerad makt)?
- En försvarsminister vinner inga större opinionssegrar genom att kanalisera resurser till forskning och utveckling, men det ska man göra ändå. Punkt.
- Allianspartierna är överens om att Sverige ska bli medlem av NATO. På motsatt sida står S, MP, V och SD. Hur kan man mejsla ut en minsta gemensam nämnare som anammar Finlands formuleringar om att det är en option? (Ja, det är en fråga för utrikesministern, också.)
- Hur ska vi förhålla oss till begreppet det nya normaltillståndet? Det är effektivt, men förrädiskt. När något blir ett normaltillstånd anpassar man sig efter det på så vis att det över tid inte känns akut eller dramatiskt – vilket i sin tur medger en mer avslappnad inställning vad gäller åtgärder. Detta och formuleringar om bedömt säkerhetspolitiskt läge m.m. måste samordnas bättre mellan företrädare för olika centrala verksamheter (läs: den strategiska kommunikationen måste skärpas upp).
Till sist. PJ Anders Linder skrev för några år sedan att Sverige, till skillnad från andra länder
valde att satsa på upphetsning istället för upprustning
År 2000 avsatte vi 1,8 % av BNP till försvaret, med den hotbild som rådde då. Nu är vi nere på cirka 1 % och har marinerat oss så grundligt i dessa nivåer att vi hissnar lite när det talas om belopp uppemot 8-10 miljarder om året för att få nuvarande ambitionsnivå finansierad – i rådande säkerhetspolitiska läge.
Den gångna försvarspolitiska mandatperioden har präglats av Putin, pengadiskussioner och personalförsörjning. Mycket talar för att det även gäller 2018-2022. Min förhoppning är att kommande mandatperiod ska genomsyras av något som är mycket viktigt för att alla ambitioner och uppfordrande ord ska få genomslag i praktiken: Att vi går från fredsrationalitet till operativ effekt och motståndskraft i vårt sätt att tänka och agera.
Epilog
Syftet med denna text är att ge en mycket övergripande bild av vad som hände under 2014-2018 och var vi befinner oss inför kommande fyraårsperiod. Den utger sig inte för att vara en heltäckande redogörelse för mandatperioden. En rad beslut och händelser saknas, inte minst vad gäller civilt försvar och krisberedskap. Överenskommelser med Finland och USA är andra exempel på sådant som förtjänar egen begrundan.
IT-soldater rycker in 2020
Under ett framträdande vid en konferens i Luleå i april berättade Försvarsmaktens CIO, generalmajor Fredrik Robertsson, att man avsåg mönstra och utbilda IT-soldater med plikt och att de första ska rycka in år 2020. Arbetet för att realisera detta fortskrider med kraft och genom ett samtal med överste Patrik Ahlgren, chef CIO Cyberförsvar vid ledningsstaben på Högkvarteret, klarnar bilden. 
Kompetensförsörjningsbehovet är stort och vikten av cyberområdet pekas tydligt ut som ett utvecklingsområde i såväl Perspektivstudien som strategisk inriktning. Försvarsmaktens personalförsörjning inom cyberområdet behöver ske såväl med fokus på kunskapsdjup som på kapacitet och numerär, så som det uttrycks i Perspektivstudien. Metoder och processer för att öka rekrytering och därmed uppfylla personalmålen ska utvecklas vidare.
– Försvarsmaktens kompetensförsörjningsbehov inom cyberområdet ser ut som samhället i övrigt. Behovet av IT-säkerhetsarbete ökar och för att hinna med behövs personal. Inom Försvarsmakten behöver vi helt enkelt bli fler inom vissa funktioner, varav cyber är en. Inom denna funktion finns inte den naturliga rekryteringsbasen i form av grundutbildade soldater, vilket gör att vi direktrekryterar från samhället i övrigt. Vi kan dock inte fullt ut och över tid förlita oss på direktrekryteringen utifrån och plikten blir därför ett viktigt komplement, säger Patrik Ahlgren.
Detta innebär alltså att man kommer fortsätta – och troligen intensifiera – rekryteringen av personal på den civila arbetsmarknaden, men också att de som gör sin militärtjänstgöring som IT-soldat dels bör vara så motiverade som möjligt redan innan utbildningen och dels finna Försvarsmakten vara en så bra och intressant arbetsgivare att man efteråt stannar inom verksamheten som anställd. Därmed skapas en rekryteringsplattform, utöver att man får krigsplacerade individer till verksamheten.
Cyberområdet är naturligtvis inte ensamt om stora behov av personal och resurser och jag frågar Ahlgren om hur stödet internt har varit för de satsningar som görs, i en pressad ekonomi?
– Alla är medvetna om behoven inom cyberområdet och att vi måste ta i frågan. Risken för motstånd internt minskade betydligt i och med att regeringen i vårändringsbudgeten tilldelade resurser för att förstärka Försvarsmaktens cyberförmåga och vi gröper därför inte ur någon annans plånbok genom omfördelning för att få detta till stånd. Jag bedömer att det finns stort stöd internt, men också stort intresse från samverkande myndigheter.
Tidsplanen för grundutbildning mot it-soldat ser ut som följer:
- Kravprofil och beställning till Totalförsvarets rekryteringsmyndighet (TRM) är klar i mars 2019.
- Mönstring inleds 2019.
- De första IT-soldaterna rycker in under 2020 för 11 månaders utbildning.
Försvarsmakten utvecklar offensiva verkansmedel i cybermiljön, är it-soldater en del av den ambitionen?
– Jag kan inte gå in i detalj på alla typer av befattningar under it-soldatutbildningen, men utifrån befattning får man sedan en fortsättningsutbildning som är individuell utifrån förkunskaper. Det kommer att vara en bredd på de som rycker in och vi kommer ha en bredd inom verksamheten.
Kan du säga något om den kravprofil som TRM kommer testa vid mönstring? Är detta chansen för de som inte uppfyller Försvarsmaktens nuvarande fysiska krav, men som har andra förmågor?
– Både fysiska och psykologiska krav kommer anpassas för tjänsten. Dessa individer ska vara farliga i cybermiljön, inte någon annanstans, och den grundläggande soldatutbildningen för dem kommer vara anpassad till detta. TRM kommer ha särskilda mönstringstester, inklusive urvalsintervjuer med psykologer som har en speciell inriktning mot funktionen.
Hur många individer rör det sig om?
– Vi ser 30-50 individer framför oss i en första omgång. Beroende på hur det faller ut kan det sedan bli fråga om en dubblering. Vår ambition är att locka de bästa tjejerna och killarna i varje årskull. Var utbildningen ska ske är ännu inte bestämt, men ett antal förband kommer väljas ut för befattningsträningen. Soldaterna kommer att krigsplaceras i Försvarsmakten efter utryckning och vi hoppas som sagt på att många väljer att jobba vidare inom Försvarsmakten. Nu gäller det att hitta de som har ett eget driv och få dem att söka.
Hur gör ni det? Möjligen är det en förutfattad mening, men just den här målgruppen kanske inte alltid är lyhörd för Försvarsmaktens kommunikation?
– Annonsering och närvaro på rätt plats, där målgruppen befinner sig. Vi behöver nå ut till unga och berätta om att vi erbjuder en attraktiv utbildning som leder till jobb där man kommer ha spännande och kvalificerade uppgifter. Utöver att trygga vår egen kompetensförsörjning ser vi också att utbildningen kommer vara värdefull merit för de rekryter som väljer att inte stanna i Försvarsmakten. På så sätt hoppas vi kunna stödja totalförsvaret och samhället i stort med kompetens. I arbetet har vi redan en dialog med exempelvis FRA.
Finns det några internationella exempel som i tittar särskilt på och hur ser du på någon form av ”cyberhemvärn”, som ibland föreslås i debatten?
– Finland har en etablerad utbildning och en organisation med reservister. Det finns mycket likheter oss emellan och positiva erfarenheter att bygga på för vår del. Estland har ett cyberhemvärn, så det finns exempel på det också. Det finns absolut ett behov av att samhällsviktiga verksamheter ska kunna förstärkas – kanske något slags driftvärn – även på IT-sidan. Men det är viktigt att reda ut ett antal frågor, till exempel exakt vad man skulle använda dem till? Om man ska gå in och arbeta i en organisation, med dess system, måste man ju känna till och vara utbildad på dem. Kanske är det också så att de som ska förstärka verksamheter har viktiga uppgifter i sin ordinarie, civila befattning och bör vara krigsplacerade just där. Men, jag tror att man ska ha en öppen attityd till olika lösningar. Behoven är som sagt stora.
Patrik Ahlgren avslutar med att överraska mig positivt.
– Faktum är att vi har bra sökande till de tjänster vi har ute. Vi rekryterar nu enligt plan till funktionen cyberförsvar med alla dess delkompetenser. Det är nästan kontroversiellt att säga det, när den allmänna bilden är att det är enormt svårt att rekrytera, men så är det. Vi kan inte konkurrera med de mest attraktiva civila arbetsgivarna lönemässigt, men vi har mycket annat att erbjuda som gör att topptalanger söker sig till oss. Framåt gäller det som sagt att säkra personaltillgång och kompetensförsörjning, även vid tillväxt, därför kan vi inte luta oss tillbaka. Försvarsmakten har redan idag de kompetenser som krävs för att genomföra alla typer av dator- och nätverksoperationer (cyberoperationer) inklusive aktiva operationer och Försvarsmakten förstärker nu förmågan ytterligare.
Om du är i Almedalen, eller har möjlighet att se en webbsändning, kan du lyssna på Patrik Ahlgren i seminariet Sveriges framtida cyberförsvar, som arrangeras av Folk och Försvar i samarbete med Försvarshögskolan och Utrikespolitiska Förbundet, den 5 juli klockan 1000-1200.
Bildt + Karlsson = IT-säkerhet
Om Sverige skulle utsättas för en IT-attack liknande den som knäckte Estlands infrastruktur förra året, är det ingen som vet vilket statsråd som är ansvarig. Sverige har idag ingen ansvarig minister för detta område.
annika nordgren christensen 