FRA har publicerat en öppen version av sin årsredovisning för 2007.
FRAs generaldirektör Ingvar Åkesson kommenterar årsredovisningen med:
Det ligger i sakens natur att mycket av det som FRA gör är hemligt. Den öppna redovisning för 2007 som publicerats här blir därför rätt knapphändig i jämförelse med den hemliga version som regeringen och Riksrevisionen får. Det gäller särskilt avsnittet om rapportproduktion, det vill säga där vi beskriver hur vi har tillgodosett uppdragsgivarnas behov av underrättelser.
Trots knapphändigheten tycker vi ändå att den öppna redovisningen kan ge en uppfattning om FRA:s verksamhet och vilka utmaningar FRA står inför.
Trots detta tycker jag att det finns en hel del intressanta saker i årsredovisningen. En intressant sak är GD:s beskrivning av årets verksamhet som bland annat speglar FRA:s syn på den debatt som varit vad gäller utökade befogenheter för FRA:
Året har dominerats av lagstiftningen om en anpassad försvarsunderrättelseverksamhet och om personuppgiftshanteringen i myndighetens verksamhet. Inom myndigheten har sedan några år bedrivits ett arbete med att anpassa verksamheten och de interna föreskrifterna till den kommande lagstiftningen. Detta arbete accelererade under året och fick högsta prioritet. De lag- och förordningsbestämmelser som trädde i kraft under året har utan problem kunnat tillämpas av FRA.
Den uppmärksamhet som lagförslagen har fått i den offentliga debatten har krävt ett omfattande arbete i kontakterna med massmedia. Syftet har varit att nyansera den negativa bild av FRA som på sina håll manas fram och att komma till rätta med de missuppfattningar som råder.
FRA har även en sektion på sin webbplats med det tjusiga namnet Klartext där FRA bemöter vad de ser som felaktigheter i debatten. Bland annat kommenterar man flera uttalanden av Pär Ström.
En intressant sak jag fastnade för i årsredovisningen är det FRA skriver om sitt kryptoarbete under året:
Forceringsverksamheten har under året varit synnerligen framgångsrik. Vidare har flera helt nya kryptosystem identifierats och bearbetats.
Betydande arbete har under året lagts på inköpet och leveransen av en ny beräkningsdator. Genom den beräkningskraft som den nya beräkningsdatorn har kommer FRA framöver att ha ännu större möjligheter att forcera meddelanden.
Undrar vilka helt nya kryptosystem man identifierat och bearbetat… Gissningsvis är det inte KeeLoq eller MiFare. 
I årsredovisningen berättar FRA att anslagstilldelning för 2007 var 512 517 tkr. FRA har även publicerat en öppen version av FRAs budgetunderlag för de kommande tre åren.
Den kanske viktigaste punkten i budgetunderlaget är att FRA ser att man behöver ökade anslag för att möta de som FRA ser snabbt ökande behoven av FRAs tjänster. På kryptosidan skriver FRA att:
Användningen av krypton har ökat markant de senaste åren. Så kallade massmarknadsprodukter, dvs. krypton som kan användas av gemene man och därmed även av terrorister och andra brottslingar, blir allt vanligare och komplexare. FRA kommer att behöva möta denna trend, bland annat genom att satsa på investeringar i beräkningskraft, omfattande forskning och utveckling, men också genom att utöka antalet kryptologer.
FRA fick från och med 2007 ett ökat anslag för att regelbundet med kortare intervall investera i utökad beräkningskraft. Till följd av den urholkning av anslaget som oavlåtligt sker i och med att FRA inte får full kompensation för pris- och löneutvecklingen, kommer denna anslagsökning under perioden 2008-2019 inte att räcka till mer än en ytterligare investering i beräkningskraft.
Detta innebär att beräkningskraften i praktiken endast kan förstärkas vart sjunde eller åttonde år. Detta är helt otillräckligt för att FRA ska kunna följa med i den snabba tekniska utvecklingen på kryptoområdet, kunna motsvara de krav FRA:s verksamheter har samt kunna upprätthålla en god kryptoförmåga såväl nationellt som internationellt.
Speciellt intressant på detta området är att FRA ser ett behov att inrätta och finansiera en ny professur:
Kryptologisk grundforskning för nationella behov behöver stimuleras. En större samordning behövs mellan FRA och tekniska universitet och högskolor. FRA anser det nödvändigt att få finansiera en professur i matematik med inriktning mot kryptologi och datasäkerhet på lämpligt lärosäte och få medel att inrätta doktorandtjänster vid FRA.
Det kan även ge möjlighet för kryptologer på FRA att forska och disputera. Allt detta skulle långsiktigt ge Sverige möjlighet att vidmakthålla sitt internationellt goda renommé på området. Denna forskningssatsning skulle inte bara skapa en bättre grund för kryptologins utveckling i Sverige utan också gynna signalunderrättelseverksamheten och FRA:s informationssäkerhetsarbete.
Långsiktigt skulle denna forskningssatsning också vara av betydelse svensk tillväxtindustri inom telekom- och IT-säkerhetsområdet.
Totalt är behovet medel för en professur och fem årsarbetskrafter för att utveckla kryptologisk grundforskning.
Som utomstående kryptonörd som ägnar tid åt att bevaka vad som händer på den öppna kryptoforskningen är jag böjd att hålla med FRA. Med undantag för Thomas Johansson och hans grupp på LTH tycker jag att Sverige är extremt dåligt representerad i internationella kryptoprojekt och konferenser.
Det handlar inte bara om att publicera en enstaka artikel utan att delta i ECRYPT, NISTs AHS-arbete, vara med på workshops och konferenser och delta i diskussioner. Svensk industri är, tyvärr som vanligt i den här typen av sammanhang, väsentligen helt osynlig.
Om FRA kunde sponsra offentlig forskning och det därmed skulle innebär en totalt sett ökad satsning på krypto och IT-säkerhet tror jag att det vore det riktigt bra, både för Sverige som nation och Sveriges industri. Frågan jag spontant ställer mig är hur FRA-professorn och dennes doktorander skulle tas emot av resten av forskningsvärlden.
En annan sak som framkommer i budgetunderlaget är att FRA verkar vilja flytta fram sina positioner inom IT-säkerhet. FRA skriver:
Behovet av säkra IT-system blir allt större och inkluderar fler områden. Den verksamhet som FRA bedriver inom området är efterfrågad. FRA:s affärsidé inom informationssäkerhetsområdet bygger på att arbeta förebyggande för att kunna minimera de mer akuta reaktiva insatserna. Det förebyggande arbetet består främst av aktiv IT-kontroll (penetrationstester), specifik rådgivning till kund (säkerhetsanalys av system och nätverk), stöd vid policyarbete samt allmän utbildning (demonstrationer, deltagande i seminarier och mässor).
Informationssäkerhetsbranschen är mycket konkurrensutsatt, vilket kan göra det svårt att behålla personal med tillräcklig spetskompetens. I verksamheten bedrivs omfattande kompetensutveckling. Personalen är en kritisk framgångsfaktor. Marknadskonkurrensen är en riskfaktor att räkna med.
Av det jag vet om FRAs kompetens på IT-säkerhetsområdet är jag klart imponerad. Men samtidigt är jag mer tveksam till att FRA som myndighet med en budget på drygt en halv miljard skall vara speciellt aktiv på en marknad som FRA själv uttrycker det är mycket konkurrensutsatt.
Det finns helt klart situationer där rent kommersiella verksamheter av olika skäl inte är lämplig, men jag är rädd för att FRA här riskerar att snedvrida marknaden och därmed långsiktigt försämra Sverige förmåga inom IT-säkerhet.
Slutligen ser FRA att man har ett relativt akut behov av att förnya och anpassa sina lokaler till dagens verksamhet.
IDG har publicerat en artikel om FRAs kommande budgetunderlag.
En annan artikel hos IDG om FRA tar upp att TeliaSonera flyttar epost-servrar till Finland för att inte riskera att deras Finska kunders epost skall läsas av FRA.
