Hur ska kritisk infrastruktur skyddas? Nato testar nu med AI

Artificiell intelligens kan hjälpa till att identifiera mönster för cyberattacker mot kritisk infrastruktur och nätverksaktivitet och upptäcka skadlig kod. Det ökar möjligheten att fatta bättre beslut kring vilka försvarsåtgärder som ska vidtas. 

Det framgår av de preliminära resultaten från ett internationellt experiment om AI:s förmåga som genomfördes under Natos Cyber Coalition 2022-möte i slutet av förra året.

I det simulerade experimentet fick sex cyberförsvarsgrupper från allierade till Nato, bland annat Sverige, i uppgift att sätta upp datorbaserade system och elnät på en tänkt militärbas och se till att de fortsatte fungera under en cyberattack.

Om hackarna störde systemdriften eller om strömmen gick ner i mer än tio minuter kunde kritiska system tappa sin uppkoppling och gå offline. Tre av lagen hade tillgång till en ny prototyp av Autonomous intelligence cyberdefense agent, AICA, som utvecklats av Argonne National Laboratory vid det amerikanska energidepartementet medan de andra tre lagen inte hade tillgång till denna prototyp.

Syftet med experimentet var att testa och mäta hur effektivt AI är när det gäller att samla in data och hjälpa cyberförsvarslagen att reagera på cyberattacker mot kritiska system och tjänster och att belysa behovet av verktyg som förbättrar samarbetet mellan människor och maskiner för att minska cyberhotet.

Experimentets resultat offentliggjordes i slutet av december 2022, kort efter att en ny rapport från det amerikanska motsvarigheten till Riksrevisionen, GAO, varnade för att många viktiga statliga enheter navigerar i blindo när det gäller säkerheten för kritisk infrastruktur, eftersom de har misslyckats med att genomföra de flesta rekommendationer som rör skydd av kritisk infrastruktur sedan 2010.

AI avslöjar mönster 

De olika lagen skapade definierade listor över tjänster, övervakade det simulerade el-mikronätet som stödde deras system, svarade på förfrågningar som injicerades och försökte störa andra gruppers försök att göra detsamma genom cyberattackstrategier, skriver Argonne National Laboratory. Inget av lagen kände till scenariot eller nätverken före experimentet.

De team som använde Argonnes AICA-prototyp gjorde viktiga observationer kring nätverksaktivitet, loggade händelser och varningar för intrångsdetektering, eller upptäckte skadlig kod som möjliggjorde bättre frågor från operatörerna och automatiserat beslutsfattande om försvarsåtgärder, enligt företaget.

– Alla lag kunde hålla sina nät online, men det var inte det enda värdefulla resultatet, konstaterar Benjamin Blakely, forskningsanalytiker inom cybersäkerhet vid Argonne, som ledde experimentet tillsammans med cyberrymdexperter från Natos Allied Command Transformation, ACT.

– Vi kunde se nätverket som AICA ser det, inklusive förhållandet mellan attackmönster, nätverkstrafik och målsystem. Agenterna använder den här informationen för att bygga upp en kunskapsgraf över nätverket och det hjälper dem att bättre skydda det.

Benjamin Blakely och Natos ACT kommer att publicera de fullständiga resultaten av experimentet inom de närmaste månaderna.

Bob Kolasky, som är chef för kritisk infrastruktur på Exiger och tidigare biträdande direktör vid den amerikanska cybersäkerhetsmyndigheten CISA, säger att övningen visar att potentialen i den nya tekniken kan förändra spelplanen när det gäller att hantera risker för komplexa, ömsesidigt beroende system.

– Nationella laboratorier, som Argonne, tillför enastående modellering, syntetiska data och mycket datorkraft för att stödja kritisk infrastruktur. Detta kommer att möjliggöra förbättrad AI och det kommer att vara viktigt att testa hur AI tillämpas genom operativa koncept. Det är spännande att se hur Nato testar hur AI ska tillämpas för skydd av kritisk infrastruktur.

Ökande och komplexa cyberhot

Komplexa cyberhot mot kritisk infrastruktur, system och tjänster ökar, det handlar bland annat om ökade risker kopplade till konflikten mellan Ryssland och Ukraina.

I december förra året släppte Microsoft sin tredje upplaga av Cyber Signals-rapporten, som avslöjade att riskerna för kritisk infrastruktur ökar på grund av den utbredda omfattningen, sårbarheten och molnanslutningen av internet of things-enheter och OT, datorsystem som styr och övervakar industriella processer. Det är en snabbt växande och ofta okontrollerad riskyta som påverkar många branscher och organisationer.

”Medan utbredningen av IoT- och OT-sårbarheter utgör en utmaning för alla organisationer, är kritisk infrastruktur utsatt för en ökad risk. Att inaktivera kritiska tjänster, inte ens nödvändigtvis förstöra dem, är en kraftfull hävstång”, konstateras det i rapporten.

Martin Riley, chef för hanterade säkerhetstjänster på cybersäkerhetsföretaget Bridewell, säger att de utrikespolitiska spänningarna i samband med kriget mellan Ryssland och Ukraina hade en betydande inverkan på kritisk infrastruktur och att hotnivåerna ökade till en högre nivå.

– Vår forskning, där vi intervjuade 521 beslutsfattare inom cybersäkerhet i kritisk nationell infrastruktur, visade att över sju av tio rapporterade en ökning av attacker sedan Rysslands invasion av Ukraina.

Martin Riley kommenterade nyligen hoten mot Europas kritiska undervattensinfrastruktur där Ryssland anklagats för att ha inlett en sabotagekampanj på djupt vatten för att förstöra viktiga energi- och datalänkar, och uppmanade nätverksoperatörer att öka tjänsternas cyberresiliens.

”Vi har sett hur det cyber-fysiska eller hybridkriget utspelas offentligt i år, medierna har gjort världen uppmärksam på det och det är något som organisationer som driver kritisk infrastruktur har förstått”, skrev han.

”Datakablar under havet står dock fortfarande utan någon konsekvent reglering eller standarder. Med 580 aktiva eller planerade undervattenskablar är våra ekonomier och samhällen beroende av den sammankoppling som vi alla älskar och förväntar oss i dagens värld.”

I april utfärdade The Five Eyes – USA, Australien, Kanada, Nya Zeeland och Storbritannien – en varning med en omfattande översikt över ryska statligt sponsrade och cyberkriminella hot mot kritisk infrastruktur, samtidigt som den ökända cyberkriminella gruppen bakom Contis utpressningstrojaner hotade att slå till mot kritisk infrastruktur till stöd för den ryska regeringen.

AI:s roll för att hantera cyberhot 

Artificiell intelligens har potential att spela en viktig roll när det gäller att säkra kritisk infrastruktur och hantera de komplexa cyberhot som sådana system står inför.

– AI är absolut nödvändigt för att upptäcka hot mot kritisk infrastruktur – sedan är det dags för överenskomna svarsåtgärder, som kan vara automatiserade för att begränsa, omintetgöra eller förhindra det bredare hotet", säger Martin Riley.

– Nödvändigheten kommer från den ständiga förändringen av den infrastruktur som hotbildsaktörer använder sig av och de små eller omfattande förändringarna av deras beteenden. Bridewell har ett eget underrättelse- och forskningsteam som aktivt spårar motståndare, deras infrastruktur och beteenden vid sidan av användningen av AI.

Kostnaden för denna forskning och underrättelseverksamhet är stor, så om man övergår till en AI-genererad modell minskar den kostnaden samtidigt som man ökar mognaden och därmed minskar risken.

Verkligheten är att kritiska funktioner vanligtvis bygger på en komplex väv av beroenden och inbördes beroenden som till stor del hanteras digitalt, säger Bob Kolasky.

– Det är omöjligt för enbart människor att förstå dessa komplexiteter och angreppspunkter. AI kommer att göra det möjligt att öka effektiviteten och ändamålsenligheten i riskövervakningen och i slutändan riskminimeringen och systemets motståndskraft.