Sverige deltog i världens största cyberförsvarsövning

Friday, April 12, 2019

FörsvarÖvningLocked Shields 2019

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Den 12 april avslutades världens största cyberförsvarsövning, Locked Shields 2019 . Sverige deltog med ett löst sammansatt lag med representation från det statliga såväl som privata. Vi var tveklöst en underdog och jag kan inte tänka mig att särskilt många förväntade sig att Sverige skulle placera sig särskilt väl, det gjorde vi knappt själva. Under tävlingen gick det rykten om att tävlingsledningen i Tallinn pekat på poängtavlan, förundrande över hur det ens kunde vara möjligt att Sverige låg i topp. Det var magi.

Övningen utspelar sig i det fiktiva landet Berylia vars nationella kritiska infrastruktur angrips av landet Crimsonia. Som alliansland är det vår uppgift att hjälpa Berylia att återta kontrollen på sin infrastruktur och skydda den från pågående angrepp. Övningen har många olika dimensioner och avhandlar strategiska element som internationell krigsrätt, mediehantering ner till att skydda elproduktion och vattenrening.

Den fiktiva staden med elkraftverk.

Som försvarare får vi totalt 16h av förberedelsetid och “bekantande” med miljön innan den faktiska tävlingen börjar. På dessa alldeles för få timmar är målsättningen att vi ska få tillräckligt god inblick för att kunna planera för hur vi ska “ta över” miljön och börja försvara den. Miljön består av cirka 200 olika IT-system… 16h. Du har INGEN aning om vilka bakdörrar, sårbarheter eller annat skräp som finns på dessa. Du vet inte vilka fotfästen angriparna redan har etablerat och allt du får är 16h. Det är ingenting.

Minutrarna innan start går inte att förklara, men jag skakade av nervositet. Det kändes nästan som att mitt livs framtid skulle avgöras genom övningen. När Jaak Tarien i sitt inledningstal säger “startex, startex, startex” då steg pulsen rejält. Nu var det igång, världens största och mest avancerade cyberförsvarsövning. Vårt lag började då frenetiskt stega igenom våra första 30 minuter.

Under de första 30 minuterna av övningen hade vi nämligen lite fredad tid, då inga angrepp skulle genomföras. Dessa första 30 minuter hade vi planerat på minut-nivå. Vad skulle göras, av vilka och i vilken ordning. Under två genrep gick allting perfekt, vi var redo. Under första 30 minutrarna… gick mycket åt helvete. Det fungerade inte alls som vi hade tänkt. Men då… magi. Ingen tappade fokus, ingen började gnälla eller ge upp. Vi ryckte på axlarna, stressade som bara den, och körde på ändå. Vi kastade om och fortsatte.

Yours truly…

30 minuter kan gå snabbt, typ jättesnabbt. Och sen kan de gå också LockedShields-snabbt.

Övningen ska uppfattas som kaotisk, det ska vara svårt nästan omöjligt att helt kunna försvara infrastrukturen. Du ska behöva prioritera bort saker, behöva acceptera good-enough. Dokumenterade nätverksskisser är just det, dokumenterade. De är sällan representativa. Saker förändras. Och så även här. Från start var vi i princip konstant fokuserade på att identifiera angripare i nätverket, sparka ut dom, identifiera hur de kommit in och täppa till hålen. Vid flera tillfällen var det en dragkamp mellan försvarare och angripare. Ena stunden ändras en styrparameter i vattenreningsverket, i nästa har vi ändrat tillbaka. “Men hur lyckas dom?! Har vi en rogue maskin på nätet? Nej, vi har kollat… men det ser ut som att vår DC pratar modbus. Va?! Har dom ägt vår DC!?!”

Flera gånger under dessa två mycket intensiva dagar kunde vi ibland endast höra knattrande tangentbord och plötsligt ett glädjerop. Någon hade lyckats med något, en blockerad attack, utsparkad angripare, en salva poäng för en inlämnad rapport eller uppgift.

Mellan 8 på morgonen och 16 på eftermiddagen är krigszonen öppen. När klockan är 15 börjar varje minut kännas tung. Det känns som att vi dragit omkring på en stor sten i sand, en sten som gradvis ökar i vikt och slutligen är så tung att vi inte längre kan fokusera på det som är framför oss. När nätverket, prick 16, kapar vår åtkomst går det en våg av suckar över lokalen. Fria. Fria från ansvaret att vara 110% fokuserade. Det är en lättnad och tröttheten visar sig nästan omedelbart. Gäspningar, trötta ögon. Men också… en, glöd. Vi ligger bra till, det här kan bli riktigt bra. Vågar vi hoppas på en top-3?! Några rejäla bakslag, men också några rejäla framsteg. Eftersnacket är positivt. Vi är trots trötthet laddade inför nästa dag. En dag som enligt det “röda laget” själva kommer innebära… “Tomorrow… we’ll start attacking for real, today… we were just getting warmed up.”

Efter två mycket intensiva dagar är det (äntligen) över och Sverige tog alltså hem en tredje plats och kammade således hem “bronset”. Jag är stolt över laget och otroligt glad över möjligheten att få delta i övningen. Särskilt stolt måste jag ändå få säga att jag är över rapporteringen där vi tog hem första plats. Mitt ansvar under övningen var just rapportering där jag planerat hur den skulle genomföras. Rapporteringen omfattar lägesrapportering, hotrapportering och “nyckel” incidenter, alltså särskilt anmärkningsvärda händelser. Vi behövde alltså konstant inhämta information från samtliga lagmedlemmar om vad som händer med deras system, sätta detta i ett sammanhang av de “förmågor” som vi hade i uppdrag att skydda. För dessa förmågor behövde vi bedöma hur den operativa förmågan eventuellt påverkas och sedan mer övergripande hur vår förmåga att skydda hela den kritiska infrastrukturen som helhet har påverkats.

För detta lyckades jag, tillsammans med min kollega Sara, ta hem första plats. Vi blev bäst av alla på att skapa en lägesuppfattning, sammanfatta detta och kommunicera essensen av detta organiserade kaos till ledningen och rekommendera lämpliga åtgärder och nödvändiga beslut samt behov av resurser. Att sammanfatta allt som händer under fyra timmar (vi skulle göra totalt 4 lägesrapporter, intervaller om 4 timmar), få ihop ett sammanhängande narrativ utan detaljer, men samtidigt utan att tappa detaljer är onekligen en utmaning. Men vi lyckades. Vi lyckades jäkligt bra faktiskt.

Jag kommer att återvända och försöka berätta lite mer om det tekniska, men jag måste faktiskt först undersöka exakt vad som är möjligt att dela…

Och avslutningsvis måste jag få rikta ett särskilt tack till Försvarshögskolan som huserade oss och framförallt Marcus Dansarie som gjorde en oerhörd insats i att bygga och ordna med en stabil infrastruktur till oss försvarare. Tack för det!

FörsvarÖvningLocked Shields 2019

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Föreläsning - Om att ligga steget före IT-attacken

Hotprofiler - Grunden för effektiv cybersäkerhet?