2 november 2017

Övning med simulerade IT-attacker

IT-personal inom kritisk infrastruktur övar försvar mot IT-attacker i FOI:s övningsmiljö CRATE i Linköping.

Sladdar på vägg

Bild från FOI:s anläggning CRATE. Foto: Mirko Torstensson/FOI.

I takt med att IT-system blir allt mer komplexa blir säkerhets­hoten fler. Många styrsystem som tidigare varit fristående kommunicerar via telenät och intranät. Säkra system kopplas ihop med system med låg säkerhet. Dessutom är den mänskliga faktorn ständigt närvarande.

För att bygga förmåga till försvar mot IT-attacker måste man öva – och det gör man på FOI:s anläggning CRATE i Linköping. Så här kan det gå till:

I en container sitter det blå laget – IT-personal på ett kraft­verk. Deras kylsystem har tagits över av hackare och det är vatten på golvet. I låtsas-kontrollrummet som hackats flimrar fel­meddelanden förbi på skärmarna. En lokal längre bort sitter det röda laget – eller hackarna som orsakat all kaos och tagit kontrollen över kraftverket. Övningen avslutas när det blå laget slutligen lyckas återta kontrollen över verksamheten och kan andas ut.

I den simuleringsmiljö av servrar och virtuella maskiner i nätverk som finns uppbyggd hos FOI i Linköping har många aktörer inom Sveriges kritiska infrastruktur, som kraft­företag, telefoni-leverantörer och vattenverk, testat säkerheten och motstånds­kraften mot hacker­attacker i sina IT-och styrsystem.

– Målet med våra övningar är att IT-tekniker ska lära sig att försvara sina system. Vår miljö är så flexibel att den kan anpassas efter de flesta kunders behov, såväl myndigheters som privata företags, säger Mikael Wedlin, forsknings­­ledare på FOI i Linköping.

De praktiska övningarna och simuleringarna kombineras med föreläsningar och genom­gångar av IT-säkerhet och möjliga säkerhets­hot. Men inte ens ett högt säkerhetstänkande och framtagna säker­hets­­rutiner är någon garanti om en incident skulle inträffa.

– Hur ska man kunna veta att säkerhets­rutinerna fungerar om man aldrig har övat, säger David Lindahl, forsknings­ingenjör på FOI. Det finns så mycket som kan gå fel. De säkerhets­kopior som tagits av kritiska system kanske inte fungerar eller innehåller rätt data. Personer som behövs för att fatta kritiska beslut har inte identifierats och finns därför kanske inte tillgängliga. Det är sådant man bara upptäcker genom att öva.

Nyligen genomfördes hos FOI IT-säkerhets­övningen iPILOT2017 där IT-personal från Sveriges kärntekniska anläggningar och myndigheter övade ihop. Även personal från IAEA, det Internationella atomenergi­organet, var inbjudna som observatörer. Under övningen simulerades angrepp mot it- samt styr- och kontrollsystem på kraftverk som försvarades av den övade IT-personalen.