De senaste åren har antalet hackarattacker skjutit i höjden. Motiven är både ekonomiska och politiska, och it-angreppen har gått från att till stor del handla om pojkstreck till storpolitik och ekonomiskt motiverad brottslighet. KTH-forskare tillsammans med bland annat it-säkerhetsföretaget F-Secure håller på att utveckla en mjukvara som ska sätta stopp för attackerna.

Universitetslektor György Dán, KTH

Enligt SÄPO sker allvarliga it-angrepp varje vecka mot myndigheter. Under perioden 1 april 2016 till den sista mars 2017 rapporterades det in 260 it-incidenter till Myndigheten för samhällsskydd och beredskap (MSB). För någon månad sedan stod det klart att en stor internationell attack, som fått namnet ”Cloud Hopper”, riktats mot myndigheter ibland annat Sverige, Norge, Finland, Storbritannien och Frankrike. Det är tydligt att antalet hackarattacker har blivit allt fler och det är något flera samhällsinstitutioner nu rapporterar om.
För att råda bot på problemet har KTH-forskare, däribland universitetslektor György Dán, arbetat tillsammans med finska F-Secure, Tekniska Universitetet i Budapest (BME) och italienska Engineering Ingeneria Informatica för att ta fram en lösning för att upptäcka och svara på hackarattacker. Resultatet: en ny mjukvara som tagits fram med stöd från EU-finansierade EIT Digital, en europeisk organisationen som arbetar med öppen innovation.
Det aktuella innovationsprojektet, kallat SOC4CI, Security Operations Centre for Critical Infrastructure, bedrivs inom ramen för programmet Digital Infrastructure.
– Den här mjukvaran är placerad i ett privat datormoln och används av säkerhetsexperterna på F-Secure i deras tjänst Rapid Detection Service, RDS. Den upptäcker snabbt, inom bara ett par minuter, hackarattacker och möjliggör snabb incidenthantering, berättar György Dan.
Monitoreringslösningen RDS är i ett första skede inriktad på att skydda kontorsmiljöer, eftersom det ofta är den vägen illasinnade hackare utnyttjar för att komma åt mer kritiska och bättre skyddade funktioner i företag och organisationer. På KTH har György Dán och de andra forskarna fokuserat sitt arbete på maskininlärningsalgoritmer som gör det möjligt att skilja normalt och önskvärt beteende från icke normalt beteende, för att på så sätt kunna upptäcka intrång i realtid. Även om fokus ligger på kontorsmiljön så kan RDS också analysera övriga delar av nätverket.
– Hackarattacker pågår numera oftast under lång tid. Inte sällan börjar de med att en anställd luras att klicka på en länk eller starta ett skadligt program. Detta ger hackarna en första väg in, användaren har öppnat dörren åt dem, så att de i det tysta kan snoka runt för att hitta fler svagheter och säkerhetsluckor att utnyttja. Till slut, efter månader eller till och med år, när tillräckligt många svagheter är funna, slår man till.
György Dán har ett antal exempel på ”lyckade” attacker där RDS kunde ha spelat en roll om tjänsten hade varit tillgänglig. Bland dem återfinns exempelvis hackarattacken i fjol i Kiev, Ukraina där en tredjedel av elnätet stängdes av. Något tidigare, i december 2015, såg hackare till att ungefär 200 000 personer i Ukraina blev utan elektricitet i upp till sex timmar.
– Ukraina har knappast sämre it-säkerhet än övriga länder i Europa. Skillnaden mot västra Europa skulle snarare vara att Ukrainas elnät inte är lika fullt automatiserat. I det här sammanhanget lär det enbart ha varit en fördel, något som förhindrade att fler blev av med sin el.
György Dán tillägger att den pågående digitaliseringen kommer att medföra att hackare i framtiden kommer att få tillgång till allt fler system att angripa.
– Det finns en risk att förarlösa bilar och lastbilar utnyttjas och blir mer eller mindre autonoma missiler. Även sådant som tågtrafik kan sättas ur spel, och vattenförsörjningen kan hotas.
RDS är en privat molnbaserad tjänst, och placeringen i molnet innebär god skalbarhet – att den automatiskt anpassar sig efter belastningen – och tack vare att molnet är privat så är alla data väl skyddade. Maskininlärningen som KTH-forskarna arbetar med gör det möjligt för systemet att kontinuerligt förbättra sig.
För närvarande fungerar RDS på operativsystemen Windows och Linux. En version för Mac är under utveckling.

Filed under: SvenskTeknik