Detta är en mycket kort reflekterande artikel om årets Locked Shields-övning. Den är verkligen inte representativ för hela övningens alla moment och delar. Men jag vill ändå förmedla en liten bit av min upplevelse av övningen.
Bakom insatsen står Polismyndigheten, Försvarsmakten, Säkerhetspolisen och MSB som tillsammans skapade ett riktigt bra lag. Tack till alla dessa myndigheter som möjliggjorde vårt deltagande!
Förberedelser
Förberedelserna inför tävlingen har pågått i nästan två veckor. Laget organiserades i en ganska klassisk IT-organisation med uppdelning per kompetensområde (Windows, Linux, Nätverk osv.). Utöver detta hade vi även ett gäng personliga Red Teamare som genom hela övningen utmanade våra implementerade säkerhetsåtgärder, och antaganden som skydd.
Lagen var extremt engagerade i flera veckor innan övningen där tekniska färdigheter verkligen användes till max. Ett viktigt förberedelsemoment är de första 30 minutrarna under tävlingen som är “fredade”. Inga av motståndarlagets aktiviteter poängsätts. Det ger oss därför 30 minuter att ansluta till samtliga system och genomföra de härdningsaktiviteter vi ansett nödvändiga.
Så en stor del av förberedelserna handlar om att planera exakt hur minutrarna ska användas under de första 30. Här snackar vi scriptade händelseförlopp med minimal handpåläggning. Här finns det inte utrymme för människor. Typ.
Det har varit så himla roligt att se våra chatrum för i princip under dygnets alla timmar har det dykt upp meddelanden om script, ansible playbooks eller annat. För att inte nämna alla python-script som kodats och fixats. Så himla roligt med allt engagemang.
Genomförandet
Likt övningen från tidigare år ska vi hjälpa landet Berylia som enkelt sagt behöver stöd i att skydda sina nationella datornätverk och kritiska infrastrukturer. Luftvärn, satellitkommunikation, elproduktion och distribution, vattenförsörjning osv. Det finns flera förmågor i landet som ska skyddas och upprätthållas under övningen.
Även om det i huvusak är en teknisk försvarsövning finns många andra viktiga inslag som t.ex. juridiska frågeställningar om krigsrätt i cyberdomänen, eller att hantera mediala frågor, inhämta information om hotande aktörer och framställa underrättelser om attribueringar kring cyberaktivitet och att skriva lägesuppfattningar.
Det röda laget (RT) gör allt för att simulera angrepp mot ett nätverk och även simulera ett nätverk som delvis redan är övertaget. Det handlar alltså inte endast om att bygga ett försvar och sedan vänta på attackerna. Du behöver istället etablera dig i ett nätverk som redan är delvis övertaget med bakdörrar, okända maskiner osv. Det kräver ett annat mindset och andra strategier för att försvara.
Utöver det finns det användare som har vissa behov för att kunna arbeta. För vem behöver inte ibland starta Bakdörr.exe på datorer kopplade till elförsörjningen? Jo, våra användare behöver tydligen det. Skämtåsido. Användarmomentet är viktigt för att skapa realism. Riktiga användare i riktiga system.
Reflektioner
Det finns så himla mycket att säga om övningen och det är onekligen en ynnest att få delta, och andra gången för mig. Lärdomarna är flera och det jag personligen tar med mig är hur otroligt viktigt det är med ENGAGERADE och PASSIONERADE människor. Sammanhanget har givetvis en tendens att locka fram detta. Men det är ändå värt att fundera på hur vi kan lyfta in detta i våra respektive organisationer.
Framförallt tror jag stenhårt på att tillåta betydligt mer kompetensutveckling på arbetstid. Och… kanske faktiskt försöka “gamifiera” lärandet. Anordna tävlingar, låta folk utmana varandra eller sig själva. Att få möjlighet att visualisera sina framsteg tror jag är jätteviktigt.