Försvarsmakten använder såväl öppna IT-system som system med högsta sekretessnivå, kritiska för rikets säkerhet. De granskas och godkänns enligt olika procedurer eller rutiner som är styrda av ett omfattande regelverk.

– Det finns tre olika rutiner som alla syftar till att godkänna systemen. Vad de fokuserar på för att nå godkännande är olika, säger Amund Gudmundson Hunstad, som är forskare vid FOI och som har undersökt hur Försvarsmakten och FMV godkänner IT-system.

Rutinerna har fokus på aspekterna sekretess, tillgänglighet och det som kallas riktighet. Det sistnämnda innebär att information inte ska kunna manipuleras eller ändras otillbörligt.

Själva processerna för godkännandet är olika beroende på vilket typ av system det handlar om. Särskild kritisk är det för system som hanterar exempelvis hemlig information. De granskas i en omfattande och väl dokumenterad process som styrs av såväl lagstiftning som Försvarsmaktens egna bestämmelser.

– Ju mer sekretess man vill ha, desto viktigare är dokumentationen. Den krävs för att säkerställa spårbarhet. Det är ett systematiskt, noggrant arbete, säger Amund Gudmundson Hunstad.

Informell granskning
När det handlar om färdiga system görs ibland en så kallad ”informell granskning”. Då är dokumentationen inte lika omfattande. Fokus är i stället på att granska sårbarheter.

– Man bankar på systemet och ser om det går sönder, säger Amund Gudmundson Hunstad.

Det betyder att systemet testas i en simulerad miljö, liknande den det är tänkt att användas i. Det kan handla om att mata in data, uppdatera programmet, testa om det förekommer skadlig kod och hur programmet reagerar.

Amund Gudmundson Hunstad tycker att metoden i förekommande fall skulle kunna användas även som komplement till den mer systematiska granskningen.

– Jag tror att möjligheten att upptäcka sårbarheter skulle vara större om man kompletterade med mer informell granskning, säger han.