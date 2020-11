Redan idag arbetar cirka 90 personer på det statliga forskningsinstitutet Rise med säkerhetscertifiering, många av dessa kommer från det som tidigare var Statens provningsanstalt, som numer är en del av Rise. Cyber Range ska fungera som en enhet för utbildning och träning i it-säkerhet och för att konkret testa system, nätverk och produkter.

– Det vi gör här är etisk hacking. Vi fokuserar på utbildning och framför allt träning. Med en simulerad men ändå verklig miljö så kan vi träna på att attackera och försvara kundens it-system. Vi jobbar med klassisk uppdelning i röda och blåa lag, och sen kan man byta sida för att testa olika roller, säger Shahid Raza, enhetschef för cybersäkerhet på Rise, och den som leder arbetet med Cyber Range.

Rigorös säkerhet

Hela lokalen är inbyggd i stål, den fysiska säkerheten är indelad i en yttre zon och en inre zon, med en sluss emellan, vilket också accentueras med olika färger på mattorna. Det finns även ett extra rum i den säkra zonen som fungerar som en faradays bur. Syftet med faraday-rummet är att skydda mot att känsliga data om system läcker ut. Kunderna har möjligheten att simulera sina system i minsta detalj och ett läckage skulle helt enkelt kunna avslöja hur systemen är byggda och konfigurerade.

Cyber Range är i slutfasen av uppbyggnaden, allt är inte på plats (vilket antagligen är en anledning så god som någon att vi släpps in) och förutom att installera de sista komponenterna i lokalerna är verksamheten i en testfas där de egna systemen för virtualisering och simulering testas. Av förklarliga skäl har vi inte kunnat ta bilder inne i lokalerna.

De simulerade systemen, eller replikor som Shahid Raza kallar dem, kan också kontinuerligt drivas inne i Rises lokaler och personalen kan då attackera systemen under kontrollerade former för att testa hur bra säkerheten är. Rise kan hålla upp till sex olika sådana replikor i drift parallellt.

– Vi kan återskapa it-miljöer och specifika system. Kunderna kan antingen komma hit och själva sätta upp sina system eller så kan vi göra det åt dem. Det kan vara allt från normala företagssystem till industriella system för vatten, el eller annan kritisk infrastruktur, med fokus på just infrastruktur. Så ett elbolag kan till exempel simulera sitt system hos oss och sen kan vi säkerhetstesta eller öva på det ”verkliga” systemet, säger Shahid Raza.

Kommer skapa en standard

Shahid Raza hoppas mycket på EU:s kommande reglering kring it-säkerhet – Cyber Security Act. Lagen dröjer ytterligare halvtannat till två år, men kommer skapa en standard för it-säkerhet inom unionen.

Vad gäller utbildningssidan av verksamheten önskar Shahid Raza att Cyber Range kommer att kunna utbilda studenter och även bjuda in talanger redan från gymnasieskolan. Och varför inte en och annan vd.

– Det vore häftigt att kunna bjuda in de kanske 20 bästa talangerna från gymnasiet och utbilda dem i cybersäkerhet. Vi är alldeles för underbemannade inom it-säkerhet i Sverige, och vi måste bygga kompetens på både kort och lång sikt.

– Men det vore lika intressant utbilda företagsledare och andra beslutsfattare på företagen som inte har en it-bakgrund. Vi har tagit fram ett träningsprogram som riktar sig till icke-tekniska beslutsfattare. Vi har sett att de som utsätts för en attack, även om det bara är en simulering, får en helt annan syn på vad en attack är och vilka konsekvenserna kan bli. När en vd får se företagets affärskritiska data stjälas mitt framför näsan kanske hen tänker ett varv till när it-säkerheten ska få sin beskärda del av budgeten, säger Shahid Raza.

En typisk kund är en som tränar sin it-personal eller ansvariga inom it-organisationen på företag, och Shahid Raza nämner ofta IoT och vikten av att dels testa utrustningen i sig, men också att utbilda och träna dem som konfigurerar och sjösätter IoT-enheter inom en organisation.

Fullfjädrade datorer

– IoT-enheter oroar mig. Det här är fullfjädrade datorer som kommunicerar över internet och som folk skruvar in i sina nätverk, ibland utan särskild eftertanke. Vad som döljer sig i koden har man ingen aning om. Även här lägger jag stort hopp till EU och vad jag hoppas blir en säkerhetsstandard för alla datakommunicerande enheter inom EU, men fram till dess måste vi på egna initiativ testa de enheter vi tar in i våra system, innan vi tar in dem, och det kan man med fördel göra här på Cyber Range, säger Shahid Raza.

Sjukhus och it inom vården är en annan sfär som Shahid Raza tar upp flera gånger under vårt besök. Alla sjukhus går att attackera, menar han.

– Inom sjukvården finns hur mycket IoT som helst, men man ser det inte som IoT. Men det är det ju. Det är maskiner – datorer – som kommunicerar över nätverk, sen om det råkar vara en röntgenapparat spelar ingen roll. Och sen har vi hela systemet med patientjournaler och patient data, ofta på samma nätverk.

– Och hur ofta får ens ansvariga för it inom vården träning i it-säkerhet, för att inte tala om annan personal. Deras fokus ligger på att koppla in och drifta systemen och få det att fungera, vilket jag kan förstå. Men ta ett sjukhus som Nya Karolinska – det är ett extremt uppkopplat sjukhus. Hur mycket träning har de fått? Förmodligen ingen alls, säger Shahid Raza.

– På Rise har vi nu, vågar jag påstå, de sex till sju bästa personerna inom EU på IoT och säkerhet. På Cyber Range kan vi inte simulera it-miljön i ett helt sjukhus, men vi kan bygga en sjukhusvertikal och skapa utbildning och träningsprogram för den vertikalen, säger Shahid Raza.

Allt mer komplexa produkter

I princip alla system som Rises kunder kommer att träna på är existerande system, byggda på existerande produkter, i vissa fall till och med gamla system. Med den erfarenheten i ryggen borde vi också kunna bygga in bättre säkerhet i de produkter vi utvecklar idag. På sätt och vis är det också vad som sker, men samtidigt bygger vi också allt mer komplexa produkter, med nya sårbarheter, och säkerheten halkar ofta tillbaka till ruta ett.

– Det är självklart viktigt att man bygger sina system och produkter på ett säkert sätt från start, och vi har ett tjugotal experter på hur man bygger säkra system, och det är något vi gärna diskuterar med våra kunder. Man kan också få sina system säkerhetstestade på Cyber Range innan de sätts i produktion, säger Shahid Raza.

Många företag och organisationer använder idag olika molntjänster för sina system, något som är brännande aktuellt inte minst för offentliga organisationer. Och vad gäller säkerheten innebär detta oftast en delegering till molntjänsten – en attack mot en organisation med sina system i en molntjänst är i själva verket en attack mot molntjänsten.

– Det här är självklart något vi tar med i bilden när vi bygger övningar och tester för våra kunder, och i mångt och mycket handlar det om att bygga molnenklaver som egentligen skyddar mot molnleverantören i sig. Det kan handla om brister i leverantörens it-system eller enskilda personer som agerar bedrägligt.

Inga realistiska alternativ

Shahid Raza menat att till skillnad från Kina, där man byggt upp en digital suveränitet, eftersom man inte litar på amerikanska produkter och tjänster, så har vi i Europa litat på de amerikanska produkterna. Vi har helt enkelt inga realistiska alternativ inom EU. Och det bygger naturligtvis på en lång tradition av partnerskap över Atlanten och en tillåt till amerikanska it-produkter. Men det här har enligt Shahid Raza fått sig en törn under president Trump.

– Jag tycker att vi måste bygga upp vår digitala suveränitet inom EU; vi borde ha vårt eget AWS.

Cyber Range som verksamhet huserar under näringsdepartementet, som också finansierar en fjärdedel av verksamheten, övrig finansiering kommer från Vinnova, ICT Sweden, forskningsmedel och från näringslivet.

Även om Rise ägs och finansieras av staten är inte deras tjänster gratis – Cyber Range blir en kommersiell verksamhet. Och det går inte att blunda för att flera av de tjänster Cyber Range erbjuder även erbjuds av privata företag, till exempel IBM. Men Shahid Raza sticker inte under stol med att Rises Cyber Range ska konkurrera på marknaden.

– Utöver den forskning vi gör med olika aktörer i Sverige så säljer vi även kommersiella tjänster till dem som behöver. Som forskningsinstitut är vi en hybrid, som både arbetar med företag och deltar i forskningen med den övriga akademin. Det är viktigt för oss att Sverige blir starkt på området, med många aktörer.

– Kostnaden för våra tjänster kommer att ligga i nivå med andra liknande kommersiella tjänster på marknaden, säger Shahid Raza.

Han pekar på att i olika undersökningar hamnar Sverige högt inom digitalisering, vi ligger helt klart i topp globalt, men samtidigt visar en annan undersökning att vi ligger på plats 32 inom it-säkerhet.

– Det här är ett gap som är oroväckande, och med Cyber Range, och andra delar av Rises verksamhet, vill vi bidra till att minska det gapet, säger Shahid Raza.

