Øvelse viste alvorlige hull i USAs kyberforsvar

USAs departement for innenriks sikkerhet har sluppet en første oppsummering av «Cyber Storm II».

I midten av mars arrangerte USAs sikkerhetsdepartement – Department of Homeland Security – landets andre store øvelse i kyberkrig, Cyber Storm II. Øvelsen omfattet Echelon-landene (Australia, Canada, New Zealand og Storbritannia), ni amerikanske delstater og 40 private selskaper – hvorav Cisco, Juniper, McAfee og Microsoft – samt 18 direktorater, tilsyn og departementer underlagt føderale myndigheter.

    Les også:

På en konferanse organisert av EMCs sikkerhetsavdeling RSA Security i San Francisco var en panelseanse viet Cyber Storm II. Paneldeltakerne hadde på forhånd skrevet under en NDA («non-disclosure agreement») med departementet, og var følgelig svært forbeholdne i sine uttalelser.

Referater i særlig Information Week, Internet News og Government Computer News gir anledning til å danne seg et inntrykk av hva som ble sagt, i påvente av en rapport som departementet lover å gjøre allment tilgjengelig på seinsommeren.

De tre viktigste deltakerne i panelet var Greg Garcia fra sikkerhetsdepartementet, Randy Vickers fra US-CERT og Paul Nicholas fra Microsoft.

Paneldeltakerne poengterte at Cyber Storm II bygget erfaringene fra på Cyber Storm I som ble organisert i februar 2006. Erfaringene fra Cyber Storm II vil danne grunnlaget for en tredje øvelse i kyberkrig. Det er først med denne framtidige øvelsen at man vil være i stand til å simulere et organisert angrep fra en fiendtlig makt etter mønsteret som er typisk for militære øvelser.

Dette er i seg selv en innrømmelse av at USA i dag ikke er forberedt på å møte et storstilt kyberangrep fra en fiendtlig makt.

Øvelsen i 2006 gikk ut på å forsvare seg mot tjenestenektangrep mot nettsteder innen distribusjon av olje og gass, datainnbrudd mot systemene til det amerikanske tilsynet for luftfart (Federal Aviation Authority), hærverk mot nettaviser, hacking av klimasystemene i offentlig bygg med mer. Etter å ha oppsummert erfaringene fra denne øvelsen, brukte departementet 18 måneder på å organisere øvelsen som ble holdt i mars.

Det ble ikke gitt detaljerte beskrivelser av innholdet i Cyber Storm II, utover at det dreide seg om angrep via kontrollsystemer, ondsinnet kode, nettverk og sosial manipulering, med tanke på å skap kaos i offentlig infrastruktur, særlig innen transport og energiforsyning.

Oppsummeringen gitt av Vickers fra CERT siteres slik:

– I Cyber Storm I lærte vi om hva vi måtte gjøre for å få ut informasjon om hva som skjedde og hvordan angrepene spredde seg. I Cyber Storm II ville vi forstå hva som må gjøres for å behandle informasjon, og utvikle og spre mottiltak.

Departementets Garcia hadde denne formuleringen om formålet med Cyber Storm II:

– Det handlet om å identifisere og svare på en raskt spredende kyberepidemi. Vi fikk testet vår evne til å identifisere et angrep, validere eller korrigere analysen med våre partnere – siden alle mottok forskjellig informasjon – og sette inn både individuelle og samordnede mottiltak.

Her er det verdt å merke seg ordbruken: «raskt spredende kyberepidemi» virker noe mindre omfattende enn et kyberangrep fra en fiendtlig makt. Det gis et klart inntrykk av at det ble øvd på å utveksle informasjon og samordne mottiltak, ikke på å ramme dem som sto bak angrepet.

Vickers erkjente at det hadde forekommet svikt i informasjonsutvekslingen under den simulerte kyberepidemien.

Garcia framhevet betydningen av å få med privat sektor:

– Noe av det vi lærte var hvor viktig leverandørene er i en krisesituasjon. De kjenner produktene og hvordan det virker. Offentlige organer og bedrifter må etablere sterke bånd til leverandører av kritiske systemer i forkant av en krise.

Til dette hadde Nicholas fra Microsoft følgende kommentar:

– Det er lett å snakke om partnerskap mellom det private og det offentlige, men i praksis er det vanskelig å få til.

Etter innledningene fra panelet ble det åpnet for spørsmål fra salen. Et av spørsmålene gikk ut på om det var mulig å kåre en vinner i øvelsen. Svaret på dette var «nei». Men man lærte mye, og det skal brukes aktivt i neste øvelse.

    Les også:

Til toppen