Cyberförsvaret blir en allt viktigare del av svenskt försvar och behovet av samarbeten och övning inom området har ökat.
– Övning ger träning, som man brukar säga, inleder Pauline Ärlebäck, enhetschef vid avdelningen för cyberförsvar och ledningsteknik. Att öva incidenthantering inom cyberdomänen är viktigt för att ge försvaret bättre förutsättningar att undvika svåra konsekvenser av ett angrepp.
Komplexiteten i dagens IT-miljöer gör det omöjligt att i praktiken bygga en helt säker miljö. Det innebär att det inte är frågan om ”när” eller ”om” man utsätts för och behöver hantera en incident. Därför är det viktigt att öva hantering av incidenter, påföljderna av dem avgörs av hur förberedd organisationen är, menar FOI.
– Det är första gången cyberförsvarsuppgifterna testas i ett så stort sammanhang som Aurora 23, säger övningsledaren vid Försvarsmakten. Under övningen ska ett antal förband öva incidenthantering med tillförda resurser från cyberförsvarets förstärkningsorganisation i form av tidigare utbildade cybersoldater.
För cyberförsvarsövningen har FOI utvecklat ett övningsmoment som är koncentrerat kring strukturerad informationsdelning under incidenthantering. I FOI:s cyberanläggning Crate simuleras en virtuell företagskoncern med tre lokalkontor och en produktionsanläggning för läkemedel. I dessa IT-miljöer simuleras kontorssystem, dess användare och styrprocesser för produktionsanläggningen. Utöver IT-miljön har FOI även utvecklat det övningskoncept som används och FOI:s forskare agerar både övningsledning och hotaktörer som riktar angrepp mot de simulerade miljöerna.
– Under vårt moment vid Aurora 23 inriktas övningen mot samverkansaspekter i allmänhet och förmågan att identifiera och dela så kallade Indications of Compromise (IoC), spår av förestående eller pågående angrepp, i synnerhet, berättar Pauline Ärlebäck.
En övningssekvens går ut på att utsätta en av övningsgrupperna för ett angrepp som genererar en IoC vid en given tidpunkt. Lite senare utsätts alla grupper för samma angrepp. Om den första gruppen lyckats identifiera IoC:n och dela information om den så att de övriga grupperna kan vidta åtgärder så misslyckas angreppet. I det fallet har gruppernas uppgift, att hålla processerna i sina respektive IT-miljöer igång, lyckats. Sekvensen upprepas med olika typer av angrepp och vilken grupp som utsätts för det initiala angreppet roteras på ett sätt som inte är känt av de som övar.