Därför är det svårt att öva på cyberangrepp

6 maj 2022
Artikel från FOI Totalförsvarets forskningsinstitut
Ämne: Natur & teknik

Det är svårt att skapa realistiska övningar för att lära sig hantera organiserade cyberangrepp då det råder brist på tillförlitlig data. Organisationer som drabbats vill inte riskera att avslöja sårbarheter och aktörerna bakom operationerna är inte öppna med vad de gör.

Hackare kan söka efter svagheter och försöka ta sig in i datorer och system. Men det finns också mer välorganiserade angrepp.

– Inom Försvarsmakten pratar man om cyberoperationer. Då är det inte någon nyfiken tonåring som försöker hacka sig in i en dator, utan det finns en organisation bakom som i militärt syfte vill uppnå ett visst mål, säger Henrik Karlzén, forskare på FOI:s avdelning för ledningssystem i Linköping.

Säkerhetsverktyg används som vapen

Henrik Karlzén har under tre år forskat om cyberoperationer i ett projekt som FOI utfört på uppdrag av Försvarsmakten. Cyberoperationer kan vara både offensiva och defensiva.

– Det vi tittat på är militärt agerande, framför allt från statliga organisationer. Men det kan också vara grupper med mer lösa kopplingar till staten. När det gäller Ryssland handlar det inte nödvändigtvis om militära cyberförband, utan det kan vara hackergrupper som med statens goda minne får hålla på med detta, säger Henrik Karlzén.

FOI har också studerat cybervapen. Det finns ingen total enighet om vad som definieras som ett cybervapen, men Henrik Karlzén tar verktyg för penetrationstestning som exempel. De används helt lagligt för att leta efter sårbarheter i nätverk och servrar och därmed öka cyberskyddet.

– Samma verktyg kan också användas för att genomföra skarpa angrepp. Syftet kan vara att skaffa sig underrättelser om systemen för att angripa senare, eller att stjäla information i form av industrispionage eller liknande.

Majoriteten av cyberoperationerna handlar om underrättelseinhämtning, enligt Henrik Karlzén. Sabotage är ovanligare.

Svårt öva på cyberoperationer

Att skapa realistiska övningar för att lära sig hantera cyberoperationer är en utmaning. Det är svårt att lära sig av verkliga händelser, dels eftersom drabbade organisationer inte vill riskera att avslöja sårbarheter, och dels eftersom aktörerna bakom operationerna inte är öppna med vad de gör. Utpekandet av vem som ligger bakom ett angrepp görs ofta på bristfälliga grunder, enligt FOI:s forskare.

En annan svårighet är att kombinera tekniska övningar med den typ av kommunikation som måste ske på ledningsnivå vid en cyberoperation.

– När Försvarsmakten agerar i de här situationerna kan de inte bara tänka på det tekniska, utan de måste också ha koll på hur andra delar av verksamheten påverkas. En tekniker som är van vid programmeringsspråk ska kommunicera med en chef som pratar ett helt annat språk och inte är så van vid tekniken. Det är en utmaning, och något vi har övat en hel del med Försvarsmakten, säger Henrik Karlzén.

I forskningsprojektet har bland annat cyberanläggningen CRATE vid FOI i Linköping använts.

CRATE – Cyber Range And Training Environment

Vid FOI i Linköping finns en av Europas första och största cyberanläggningar. Anläggningen utvecklas i samverkan mellan FOI, Försvarsmakten och Myndigheten för samhällsskydd och beredskap. I CRATE imiteras komplexa IT-miljöer, samhällsviktiga styrsystem och cybersäkerhetsscenarier för att möjliggöra utbildning, träning, övning, demonstrationer, utvärdering och framtagande av ny kunskap för att utveckla totalförsvarets förmåga i cybermiljön.

När det gäller utvecklingen framöver hänger mycket på hur Försvarsmakten väljer att agera, menar Henrik Karlzén – och hur de ökade försvarsanslagen fördelas.

– Försvarsmakten har verkligen ökat sitt fokus på det här, inte minst genom att utbilda cybersoldater.

Rapport:

Cyberoperationer, en slutrapport, FOI

Kontakt:

Henrik Karlzén, forskare på FOI:s avdelning för ledningssystem i Linköping.

Mer forskning om

Digitalisering Krig

Kaka	Varaktighet	Beskrivning
ASP.NET_SessionId	session	Issued by Microsoft's ASP.NET Application, this cookie stores session data during a user's website visit.
AWSELB	session	Associated with Amazon Web Services and created by Elastic Load Balancing, AWSELB cookie is used to manage sticky sessions across production servers.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Kaka	Varaktighet	Beskrivning
BIGipServerpp-prod-front-su-https	10 minutes	No description
loglevel	never	No description available.
ppwp_wp_session	30 minutes	No description
pum-113142	1 month	No description

Kaka	Varaktighet	Beskrivning
loc	1 year 1 month	AddThis sets this geolocation cookie to help understand the location of users who share the information.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Kaka	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
at-rand	never	AddThis sets this cookie to track page visits, sources of traffic and share counts.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
EPi_NumberOfVisits	1 year	This cookie is set by the provider Epicor. The main purpose of the cookie is WCMS system level. The cookie is used for creating and analyzing the number of visits in websites.
uvc	1 year 1 month	Set by addthis.com to determine the usage of addthis.com service.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Kaka	Varaktighet	Beskrivning
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
PBSECURESUSID	session	This cookie is set by the provider Podbean. This is a session cookie used to verify that the users are on secure sessions. It helps iin implementing audio files on the website.

Tema

Därför är det svårt att öva på cyberangrepp

Säkerhetsverktyg används som vapen

Svårt öva på cyberoperationer

CRATE – Cyber Range And Training Environment

Rapport:

Kontakt:

Mer forskning om

Relaterade artiklar

Läs också

Därför är det svårt att öva på cyberangrepp