Samverkan i fokus när cyber­försvaret övar under Aurora 23

Cyberförsvaret blir en allt viktigare del av svenskt försvar och behovet av samarbeten och övning inom området har ökat.

– Övning ger träning, som man brukar säga, inleder Pauline Ärlebäck, enhetschef vid avdelningen för cyberförsvar och ledningsteknik. Att öva incidenthantering inom cyberdomänen är viktigt för att ge försvaret bättre förutsättningar att undvika svåra konsekvenser av ett angrepp.

Komplexiteten i dagens IT-miljöer gör det omöjligt att i praktiken bygga en helt säker miljö. Det innebär att det inte är frågan om ”när” eller ”om” man utsätts för och behöver hantera en incident. Därför är det viktigt att öva hantering av incidenter, påföljderna av dem avgörs av hur förberedd organisationen är.

– Det är första gången cyberförsvarsuppgifterna testas i ett så stort sammanhang som Aurora 23, säger Övningsledaren vid Försvarsmakten. Under övningen ska ett antal förband öva incidenthantering med tillförda resurser från Cyberförsvarets förstärkningsorganisation i form av tidigare utbildade cybersoldater.

FOI står för ett övningsmoment om informationsdelning

För cyberförsvarsövningen har FOI utvecklat ett övningsmoment som är koncentrerat kring strukturerad informationsdelning under incidenthantering. I FOI:s cyberanläggning Crate simuleras en virtuell företagskoncern med tre lokalkontor och en produktionsanläggning för läkemedel. I dessa IT-miljöer simuleras kontorssystem, dess användare och styrprocesser för produktionsanläggningen. Utöver IT-miljön har FOI även utvecklat det övningskoncept som används och FOI:s forskare agerar både övningsledning och hotaktörer som riktar angrepp mot de simulerade miljöerna.

– Under vårt moment vid Aurora 23 inriktas övningen mot samverkansaspekter i allmänhet och förmågan att identifiera och dela så kallade Indications of Compromise (IoC), spår av förestående eller pågående angrepp, i synnerhet, berättar Pauline Ärlebäck. Genom att organisationer kan dokumentera och dela den typen av information på ett effektivt sätt, ökar deras möjligheter att skydda sig mot angrepp.

En övningssekvens går ut på att utsätta en av övningsgrupperna för ett angrepp som genererar en IoC vid en given tidpunkt. Lite senare utsätts alla grupper för samma angrepp. Om den första gruppen lyckats identifiera IoC:n och dela information om den så att de övriga grupperna kan vidta åtgärder så misslyckas angreppet. I det fallet har gruppernas uppgift, att hålla processerna i sina respektive IT-miljöer igång, lyckats. Sekvensen upprepas med olika typer av angrepp och vilken grupp som utsätts för det initiala angreppet roteras på ett sätt som inte är känt av de som övar.

Övningen hjälper FOI dra lärdomar och slutsatser om övningsformat

Syftet med övningen är att Försvarsmakten ska öka sin förmåga gällande informationsdelning och samverkan inom cyberförsvaret, men för FOI:s del kommer övningen ge upphov till egna lärdomar och slutsatser vad gäller utveckling av övningsformat.

– Från FOI:s sida så är vi intresserade av hur övningsformat kan bidra till samverkan och samarbete, även när stressfaktorn är påtaglig, säger Pauline Ärlebäck. I den här övningen kommer vi också ha möjlighet att titta på vilken betydelse språkförbistring kan ha eftersom deltagarna kommer från olika länder och har olika modersmål.

När övningen är slut ska den utvärderas av forskare från FOI för att, tillsammans med Försvarsmakten, identifiera förbättringsmöjligheter för formatet. En faktor som kommer belysas är vilken återföring grupperna behöver under pågående övning för att öva så effektivt som möjligt. Och det övergripande målet? Det är tydligt.

– Vårt mål är att stödja ett effektivt cyberförsvar för ”AB Sverige” och där är samverkan mellan totalförsvarets olika aktörer oerhört viktigt, avslutar Pauline Ärlebäck.