Uninett deltok på en av verdens mest utfordrende cyberforsvarsøvelser

I april gikk Nato-øvelsen Locked Shields 2019 av stabelen. Øvelsen er en av verdens største og mest komplekse innen cyberforsvar. Uninett CERT deltok på det norske laget i kraft av sin rolle som nasjonalt responsmiljø for forskning og høyere utdanning. 

FOTO: CCDCOE

Locked Shields 2019 ble arrangert 1.–12. april av Nato Cooperative Cyber Defence Centre of Excellence (CCDCOE). Blant deltakerne var både strategiske beslutningstakere og cybersikkerhetseksperter fra ulike nasjonale operative responsmiljø (CERT). 

Den årlige øvelsen tar utgangspunkt i realistiske scenarioer og simulerer kompleksiteten ved et omfattende cyberangrep. I tillegg til å trene sikkerhetsekspertene i å beskytte kritisk infrastruktur, omfatter den også strategisk beslutningstaking, mediehåndtering og juss. 

Målet med Locked Shields er å trene sikkerhetsekspertene og beslutningstakerne til å samarbeide bedre, akkurat som de ville gjort ved et virkelig angrep. 

 

God og variert kompetanse fra ulike sektorer

Norge deltok i år for første gang, og Uninett CERT bidro inn i det norske laget, Team Norway, i kraft av å være kunnskapssektorens sektor-CERT.

Laget var satt sammen av et førtitalls personer fra ulike organisasjoner og sektorer, noe som bidro til god og variert kompetanse. Team Norway var stasjonert hos Cyberforsvaret ved Jørstadmoen leir i Lillehammer. 

 

– Svært utfordrende å sikre såpass varierte og kompliserte systemer 

I år gikk øvelsen ut på at hvert land måtte beskytte det fiktive landet Berylia mot angrep, blant annet fra det uvennlige nabolandet Crimsonia.  

Lagene skulle avverge og håndtere cyberangrep mot kritisk infrastruktur og tjenester, som vannfiltreringsanlegg, strøm og nett. Samtidig skulle de også håndtere media og ta stilling til juridiske problemstillinger, samt drive situasjonsrapportering og etterforskning.  

– Vi antok først at vi i hovedsak skulle beskytte systemene mot angrep fra utsiden. Dette skulle vise seg å være veldig feil. Mange systemer, inkludert rutere, var allerede hacket og fulle av bakdører. Dårlig – om ikke direkte misvisende – konfigurasjon og dokumentasjon var også en gjenganger, forklarer Rune Sydskjør som deltok i øvelsen fra Uninett CERT. 

– Det var svært utfordrende å sikre såpass varierte og kompliserte systemer på kort tid. Å sikre alt fra vannfiltreringsanlegg, strømstyring og nettverk, samt ulike Windows-, Mac- og Linux-systemer, er lettere sagt enn gjort, sier Sydskjør. 

 

Uninett CERTs seks observasjoner og erfaringer fra Locked Shields 2019 

  1. Feil og mangler i dokumentasjon gjør arbeidet tidkrevende og mye vanskeligere.

  1. Alt kan hackes. 

  1. Logger er helt avgjørende for god hendelseshåndtering, og automatisering gir mulighet til å sikre en stor mengde systemer mer effektivt. 

  1.  Forløpende varsler fra erfarne analytikere gjorde det mulig å oppdage pågående angrep og stoppe dem før man mistet kontroll. 

  1. Man må forstå teknologien for å verne den. 

  1. Av og til var det verste forsvaret det beste. I flere tilfeller ødela vi deler av en tjeneste for å minske risikoen for hacking.