Kurser som ger ökad beredskap för IT-angrepp
Vid FOI finns en unik övningsmiljö, som simulerar datornätverken hos riktiga anläggningar. Här finns kurser i IT-säkerhet som ökar beredskapen när angreppen kommer.
För några år sedan fick Stuxnet, ett IT-vapen, eller skadligt datorprogram som riktades mot industriella styrsystem, mycket uppmärksamhet. Stuxnet anses vara det första IT-vapnet man sett utanför laboratorier som angriper SCADA-system (SCADA är en annan term för industriella styrsystem). Den typen av IT-vapen hotar kritiska samhällsviktiga verksamheter som exempelvis vatten, avlopp, eldistribution, kärnkraft, transporter, olja, gas och tillverkningsindustrin. På FOI finns kurser med målet att utbilda om den hotbild som finns i form av IT-angrepp mot kritisk infrastruktur.
– Det finns ingen allmän medvetenhet om att vi är så datorberoende som vi är inom många av de områden som måste fungera för att samhället ska fungera. När det gäller de industriella system som styr avlopp, dricksvattenproduktion, elektricitet, tåg och logistik, kylskåp, bilar och klimatsystem i byggnader, så är de fullständigt datorberoende, säger David Lindahl, forskningsingenjör och cyberkrigsspecialist vid FOI. Det kan bli allvarliga konsekvenser om de slås ut. Hur får vi användare att förstå vad som är rimligt säkert och hur ska vi säkra upp systemen - när allt är datoriserat?
Den expansion som skett på datanätsidan har gett olika aktörer möjlighet att effektivisera sin verksamhet genom att nätverkskoppla sina system och därmed minska behovet av att skicka ut personal för att arbeta lokalt. Men när man kopplar ihop de traditionella systemen som finns överallt som exempelvis PLC:er (Industristyrdatorer som styr en enskild maskin) med traditionella IT-system, sker en krock. Två världar möts när nätverk som reglerar styrsystem möter vanliga kontorsnätverk. På grund av de olika världarnas teknologiska arv uppstår en säkerhetsrisk för det totala systemet.
– Inom kritisk infrastruktur har man historiskt sett pratat om säkerhet i bemärkelsen ”safety”, hur man skyddar människor från systemet. Vi försöker att få branscherna att också titta på säkerhet i bemärkelsen ”security” – hur vi kan skydda systemet från människor. Om en hackare angriper så måste systemet skyddas, säger David Lindahl. En av de stora grejerna vi gör är beredskapsarbete. Det jag arbetar mest med är Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet, NCS3. Det är ett samarbete mellan FOI och MSB om att skydda kritisk infrastruktur.
IT-angrepp sker såväl av aktivister som av stater och kriminella organisationer. På FOI utbildar forskarna grupper av personal på samhällsviktiga anläggningar för ökad beredskap när angreppen väl kommer. Vad kan hända i framtiden? Vad kan hända idag? Och hur kan vi ändra systemen så effekterna av ett angrepp blir hanterbara.
– De som är aktiva skickar folk på kurs till oss för att de ska få öva olika testsystem. Här på FOI har vi lång erfarenhet av SCADA-säkerhet och har tillsammans med MSB byggt upp ett laboratorium för SCADA-säkerhet. Det är ett område som blivit mycket efterfrågat och just nu bygger vi upp ny kursverksamhet. Exempelvis har kärnkraftsindustrin skickat personal till oss för övning. Vi har en unik övningsmiljö, som simulerar datornätverken hos riktiga anläggningar vilket varit väldigt uppskattat.