Lägesförståelse i cybermiljön
Det moderna samhället blir alltmer beroende av fungerande IT-tjänster, och informationssäkerhet handlar alltmer om att skydda hela samhället och dess välstånd. Tekniken skapar många nya möjligheter, men också nya utmaningar i form av komplexitet och svåröverskådliga korsberoenden.
I dagens samhälle har nästan alla viktiga samhällsfunktioner inslag av IT, vilket betyder att nästan alla samhällsstörningar också har inslag av informations- och cybersäkerhet – direkt eller indirekt. I projektet utvecklas teknik och metod för förbättrad lägesförståelse i cybermiljön (eng. cyber situational awareness, CSA). För att kunna fatta kloka och relevanta beslut i händelse av krig, kriser och samhällsstörningar måste relevanta befattningshavare alltid ha en så god lägesförståelse som möjligt, och när besluten berör cybermiljön innebär det att lägesförståelsen också måste göra det.
Behovet av CSA lyfts fram i många länders nationella cyberstrategier och även i den svenska nationella säkerhetsstrategin har informations- och cybersäkerhet en egen rubrik. Här konstaterar regeringen att hoten blir allt svårare att upptäcka och att riskerna blir alltmer svårbedömda. Strategin efterlyser också förbättringar av förmågan att förebygga, identifiera och hantera IT-incidenter och antagonistiska attacker inom alla samhällsviktiga funktioner, vilket därmed kräver en god lägesförståelse.
Forskningsfältet är heterogent och rymmer flera olika inriktningar. Sett ur ett tekniskt perspektiv behövs verktyg och algoritmer för CSA i form av bland annat metoder för informations- och datafusion för att hantera osäkerhet och risk eller hitta mönster i nätverksdata. Ett annat viktigt CSA-perspektiv utgår från visualisering och människa-datorinteraktion, och fokuserar på hur information bäst bör presenteras för att mänskliga beslutsfattare ska kunna tillgodogöra sig den.
En viktig utgångspunkt för projektet, och även för CSA-forskning i stort, är att lägesförståelse inte bara handlar om teknik. Tekniska sensorer som antivirusprogram, brandväggsloggar och intrångsdetektionssystem spelar förvisso en stor och ofta avgörande roll för att detektera vad som håller på att hända, men lägesbilden uppstår inte förrän den sitter i huvudet på beslutsfattarna. Det krävs således utbildning, övning och organisationsstruktur där informationsflöden och beslutsmandat är anpassade efter aktuella hot och risker. Framtida CSA-forskning kommer i allt högre grad behöva inriktas på att åstadkomma en syntes av de befintliga byggstenarna till denna helhet.
Ett exempel på hur komplext dagens CSA-behov är handlar om hur distribuerade överbelastningsattacker (DDoS) har kommit att utvecklas från att vara relativt okvalificerade störmoment till att användas som avledande manöver exempelvis vid avancerade bankattacker. I takt med att hela samhället blir alltmer IT-beroende kommer alltfler smygande samhällsstörningar att fungera på precis samma sätt som dessa digitala bankangrepp. Därför krävs mer och bättre CSA, dvs. bättre förståelse och verktyg bland beslutsfattare för att hantera cyberhändelser.
I projektet bedrivs forskning till stöd för att utveckla CSA-förmågan hos säkerhetsfrämjande myndigheter generellt och Försvarsmakten i synnerhet. Detta görs genom att (i) kravställa förutsättningarna för god CSA med inriktning på de aktuella verksamheterna, (ii) ta fram mått och metoder för att mäta den uppnådda CSA-nivån hos en beslutsfattare eller annan användare, (iii) ta fram verktyg som underlättar för verksamheten att ta in data från externa IT-sensorer, (iv) utveckla processer och teknologier för hur data från vitt skilda typer av IT-sensorer kan fusioneras och (v) ta fram processer till grund för hur de viktiga beståndsdelar som ingår i en specifik verksamhets CSA kan identifieras. Därigenom bidrar projektet till att uppnå målsättningen om förbättrad CSA hos en för samhällets funktionalitet viktig verksamhet.