IT-attacker simuleras i FOI-labb
Vetenskapsrådet har uppmanat Totalförsvarets forskningsinstitut (FOI) att ta fram en ansökan om att göra labbet CRATE i Linköping till en Nationell infrastruktur för forskning inom cybersäkerhet. Labbet används också för att öva beredskap vid IT-attacker mot viktig nationell infrastruktur.
Teodor Sommestad, förste forskare vid FOI (t.v)
Foto: FOI
Vetenskapsrådet arbetar med en modell där stöd ges till en utsedd forskningsaktör som får agera som nationellt vetenskapligt nav inom ett kunskapsområde – en så kallad Nationell infrastruktur. Där ska forskare från universitet, myndigheter och företag ges möjlighet att utnyttja landets mest avancerade forskningsutrustning och utföra forskning som annars inte varit möjlig.
FOI har sedan 2008 byggt upp en experimentanläggning för cybersäkerhet som i dag i första hand används av FOI:s forskare, främst på uppdrag av Myndigheten för samhällsskydd och beredskap (MSB) och Försvarsmakten. Anläggningen kan också användas för övningar där IT-angrepp, till exempel skadlig kod och överbelastningsattacker med mera, sker mot samhällsviktig verksamhet. (Läs mer om det under övningsmiljö nedan.)
Anläggningen består av runt 400 servrar i ett kluster tillsammans med utrustning för att dels kommunicera internt, men också för att kommunicera via Internet. Med hjälp av dessa noder bygger FOI sedan upp ett simulerat Internet (spelnät) med tusentals virtuella datorer i ett nätverk som på ett realistiskt sätt motsvarar ett riktigt nät – men med den skillnaden att myndigheten kan återställa det efteråt. FOI använder virtualiseringsprogramvaran Virtualbox. Alla operativsystem och programvaror som VirtualBox kan hantera kan ingå i spelnätet. För enheter som inte går att virtualisera lika lätt, kan FOI även koppla in fysiska enheter som skrivare, telefoner, styrsystem och olika övervakningsstationer direkt in i spelnätet. Slutligen finns det även färdigutvecklade VPN-lösningar för extern anslutning till spelnätet.
Serverhallen vid CRATE i Linköping
Foto: FOI
FOI lämnade i april 2014 in en ansökan om planeringsbidrag till Vetenskapsrådet, där bland andra forskare från KTH och Chalmers gav stöd till idén att FOI:s anläggning i Linköping ska bli en Nationell infrastruktur inom cybersäkerhet. Det har fått Vetenskapsrådet att anslå 500 000 kronor till FOI för att göra en full ansökan.
–Detta innebär bland annat att vi kommer att träffa landets universitet och andra forskningsaktörer inom området för att informera dem om vad vi kan erbjuda, men också höra vilka önskemål de har på oss för att stödja vår ansökan, berättar Teodor Sommestad, förste forskare vid FOI.
Om Vetenskapsrådet utser FOI:s anläggning till en Nationell infrastruktur kommer det att få stor betydelse för den fortsatta satsningen på cybersäkerhetsforskning i Sverige, framförallt genom tillgång till resurser och kunskap.
– Det kommer att innebära att fler och bättre experiment inom cybersäkerhet kommer att göras hos oss. Vi kommer då att kunna ta del av kunskaperna och bidra till att sprida resultatet av experimenten, säger Teodor Sommestad.
Dessutom skulle uppdraget kunna ge FOI tillgång till ny internationell forskning.
– Eftersom den kunskap som då tas fram här kan ge ingångar i intressanta internationella forskarkonstellationer, säger Teodor Sommestad.
Övningsmiljö
För några år sedan fick Stuxnet, ett IT-vapen, eller skadligt datorprogram som riktades mot industriella styrsystem, mycket uppmärksamhet. Stuxnet anses vara det första IT-vapnet man sett utanför laboratorier som angriper SCADA-system (SCADA är en annan term för industriella styrsystem). Den typen av IT-vapen hotar kritiska samhällsviktiga verksamheter som exempelvis vatten, avlopp, eldistribution, kärnkraft, transporter, olja, gas och tillverkningsindustrin. På FOI finns kurser med målet att utbilda om den hotbild som finns i form av IT-angrepp mot kritisk infrastruktur.
– Det finns ingen allmän medvetenhet om att vi är så datorberoende som vi är inom många av de områden som måste fungera för att samhället ska fungera. När det gäller de industriella system som styr avlopp, dricksvattenproduktion, elektricitet, tåg och logistik, kylskåp, bilar och klimatsystem i byggnader, så är de fullständigt datorberoende, säger David Lindahl, forskningsingenjör och cyberkrigsspecialist vid FOI. Det kan bli allvarliga konsekvenser om de slås ut. Hur får vi användare att förstå vad som är rimligt säkert och hur ska vi säkra upp systemen – när allt är datoriserat?
David Lindahl, IT-säkerhetsforskare, FOI
Foto: FOI
Den expansion som skett på datanätsidan har gett olika aktörer möjlighet att effektivisera sin verksamhet genom att nätverkskoppla sina system och därmed minska behovet av att skicka ut personal för att arbeta lokalt. Men när man kopplar ihop de traditionella systemen som finns överallt som exempelvis PLC:er (Industristyrdatorer som styr en enskild maskin) med traditionella IT-system, sker en krock. Två världar möts när nätverk som reglerar styrsystem möter vanliga kontorsnätverk. På grund av de olika världarnas teknologiska arv uppstår en säkerhetsrisk för det totala systemet.
– Inom kritisk infrastruktur har man historiskt sett pratat om säkerhet i bemärkelsen ”safety”, hur man skyddar människor från systemet. Vi försöker att få branscherna att också titta på säkerhet i bemärkelsen ”security” – hur vi kan skydda systemet från människor. Om en hackare angriper så måste systemet skyddas, säger David Lindahl. En av de stora grejerna vi gör är beredskapsarbete. Det jag arbetar mest med är Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet, NCS3. Det är ett samarbete mellan FOI och MSB om att skydda kritisk infrastruktur.
IT-angrepp sker såväl av aktivister som av stater och kriminella organisationer. På FOI utbildar forskarna grupper av personal på samhällsviktiga anläggningar för ökad beredskap när angreppen väl kommer. Vad kan hända i framtiden? Vad kan hända idag? Och hur kan vi ändra systemen så effekterna av ett angrepp blir hanterbara.
– De som är aktiva skickar folk på kurs till oss för att de ska få öva olika testsystem. Här på FOI har vi lång erfarenhet av SCADA-säkerhet och har tillsammans med MSB byggt upp ett laboratorium för SCADA-säkerhet. Det är ett område som blivit mycket efterfrågat och just nu bygger vi upp ny kursverksamhet. Exempelvis har kärnkraftsindustrin skickat personal till oss för övning. Vi har en unik övningsmiljö, som simulerar datornätverken hos riktiga anläggningar vilket varit väldigt uppskattat.
Ansökan om att bli en Nationell infrastruktur beräknas tidigast vara klar 2017.
Filed under: SvenskTeknik