Ökat IT-skydd kräver samspel
Skydd mot angrepp av IT-system handlar inte längre om enbart tekniska skydd. I dag krävs organisatoriska grepp och en medveten personal.
Många funktioner inom militära organisationer använder informations- och kommunikationsteknik. Det är allt från ledning, vapensystem, underrättelseanalys, övervakning till spaning. Just dessa är därför intressanta för motståndare, inte minst därför att den växande användningen av IT-system också ökar möjligheterna till intrång. Och kan utövas på avstånd med minimal infrastruktur.
– Sårbarheten ökar i takt med utbredd användning av IT, stora informationsflöden, fler utsatta punkter i nätverken, som datorer och kopplingar, och förstås en snabb hotutveckling, säger Peter Svenmarck, förste forskare vid FOI:s avdelning för ledningssystem i Linköping.
Mer kunskap behövs
Traditionellt sett har forskning om IT-säkerhet handlat om tekniska skydd, men i och med allt mer sofistikerade angrepp behövs mer kunskap. Därför krävs mer forskning om hur IT-säkerhet skapas genom samspelet mellan människa, teknik och organisation, enligt Peter Svenmarck.
– Vår litteraturöversikt visar att befintlig litteratur har väldigt lite beskrivningar av angripare. Men bland det som återfinns skildras hur angripare ofta bygger upp komplexa arbetssätt för att utnyttja sårbarheter som försvararna inte förväntar sig.
Han berättar att när de tekniska skydden för detektion blir allt bättre fokuserar angripare ofta på sårbarheter i användarnas beteenden. Då räcker det inte med enbart tekniska skydd.
– Ett exempel är skadliga länkar i e-post. En anledning till användare lätt klickar på dem är att meddelandet utformas för att undvika granskning. Det kan till exempel vara meddelanden som påminner om vad man sett tidigare och därför behandlas automatiskt utan reflektion.
Flera lager av skydd
Det är alltså flera lager av skydd som måste fungera tillsammans. Det kan handla om teknik som stödjer användare och som varnar för tveksamt innehåll och ovanliga länkar, vilket kan öka den medvetna granskningen. Men det krävs även organisatoriska förbättringar.
På en övergripande nivå måste systemadministratörer och användare förstå varandra bättre för att skapa IT-system som både är säkra och användbara.
– Det är inte ovanligt att säkerhetsexperterna har bristfälliga kunskaper om den verksamheten där IT-systemen finns. Om det saknas kunskaper om organisationens arbetssätt får det konsekvenser i form av lägre förståelse för säkerheten och försök att kringgå de påbud som sätts upp.
Enligt översikten har användarna självklart ett ansvar och det finns en utbredd kunskap om risker – men det måste ske ett samspel mellan alla aktörer – inte minst genom ledningens möjligheter att skapa en sund kultur för IT-säkerhet inom organisationen.
Spel mellan angripare och försvarare
I litteraturen finns också beskrivningar av samspelet mellan angripare och försvarare. Det benämns som icke-kooperativa spel och bygger på att respektive part gör ett antal val för att maximera vinster och minimera förluster. Ett resultat av en studie kring detta visar att det är bättre att uppdatera systemet än att investera i ny teknik för IT-säkerhet – för att stödja det proaktiva försvaret. Omvänt är det bättre att ha så bra teknik som möjligt för det reaktiva försvaret.
Litteraturöversikten utgick från närmare 500 publikationer, men när specifika krav på innehållet lagts på återstod 93 publikationer. Kriterierna var tre typer av beskrivningar: samspelet människa och teknik för IT-säkerhet, förslag för att hantera problemet och utvärdering av förslaget.
– Nästa steg är att göra en ny version av litteraturöversikten med lite andra frågeställningar. Det kan vara kunskapsförsörjning för IT-säkerhet, situationsmedvetenhet för nätverksövervakning samt hur angripare resonerar.
Förutom att sammanfatta forskningsläget samarbetar FOI med bland andra FMV för att stärka kompetensen kring IT-säkerhet.
Arbetar i NATO-grupp
– Vi ingår i en forskningsgrupp inom NATO Science and Technology Organization (NATO-STO) där vi arbetar med säkerhetsfrågor på en strategisk nivå. Vårt bidrag är bland annat att utveckla ett verktyg som kan söka fram relevant kurslitteratur till kursansvariga vid militära högskolor. Verktyget ska hitta lämpliga publikationer för säkerhetskursens innehåll, det kan vara hur attacker går till, teknik för att hantera dem eller relationen mellan attackerare och försvarare, säger Peter Svenmarck.
Orsaken är förstås att det inte finns en bok som beskriver allt detta, informationen är spridd i en mängd olika publikationer. Arbetet har pågått i två år och beräknas vara klart nästa år.
I forskningsgruppen ingår även Nederländerna, Bulgarien, USA, Kanada, Tyskland, Storbritannien och Ukraina.