Övning med simulerade IT-attacker
IT-personal inom kritisk infrastruktur övar försvar mot IT-attacker i FOI:s övningsmiljö CRATE i Linköping.
I takt med att IT-system blir allt mer komplexa blir säkerhetshoten fler. Många styrsystem som tidigare varit fristående kommunicerar via telenät och intranät. Säkra system kopplas ihop med system med låg säkerhet. Dessutom är den mänskliga faktorn ständigt närvarande.
För att bygga förmåga till försvar mot IT-attacker måste man öva – och det gör man på FOI:s anläggning CRATE i Linköping. Så här kan det gå till:
I en container sitter det blå laget – IT-personal på ett kraftverk. Deras kylsystem har tagits över av hackare och det är vatten på golvet. I låtsas-kontrollrummet som hackats flimrar felmeddelanden förbi på skärmarna. En lokal längre bort sitter det röda laget – eller hackarna som orsakat all kaos och tagit kontrollen över kraftverket. Övningen avslutas när det blå laget slutligen lyckas återta kontrollen över verksamheten och kan andas ut.
I den simuleringsmiljö av servrar och virtuella maskiner i nätverk som finns uppbyggd hos FOI i Linköping har många aktörer inom Sveriges kritiska infrastruktur, som kraftföretag, telefoni-leverantörer och vattenverk, testat säkerheten och motståndskraften mot hackerattacker i sina IT-och styrsystem.
– Målet med våra övningar är att IT-tekniker ska lära sig att försvara sina system. Vår miljö är så flexibel att den kan anpassas efter de flesta kunders behov, såväl myndigheters som privata företags, säger Mikael Wedlin, forskningsledare på FOI i Linköping.
De praktiska övningarna och simuleringarna kombineras med föreläsningar och genomgångar av IT-säkerhet och möjliga säkerhetshot. Men inte ens ett högt säkerhetstänkande och framtagna säkerhetsrutiner är någon garanti om en incident skulle inträffa.
– Hur ska man kunna veta att säkerhetsrutinerna fungerar om man aldrig har övat, säger David Lindahl, forskningsingenjör på FOI. Det finns så mycket som kan gå fel. De säkerhetskopior som tagits av kritiska system kanske inte fungerar eller innehåller rätt data. Personer som behövs för att fatta kritiska beslut har inte identifierats och finns därför kanske inte tillgängliga. Det är sådant man bara upptäcker genom att öva.
Nyligen genomfördes hos FOI IT-säkerhetsövningen iPILOT2017 där IT-personal från Sveriges kärntekniska anläggningar och myndigheter övade ihop. Även personal från IAEA, det Internationella atomenergiorganet, var inbjudna som observatörer. Under övningen simulerades angrepp mot it- samt styr- och kontrollsystem på kraftverk som försvarades av den övade IT-personalen.