NTNU har øvingsarena for å håndtere hackerangrep

Alarmen har gått. Noen har gjennomført et omfattende dataangrep mot en av de største organisasjonene i Innlandet. Eksperter er innkalt på kort varsel for å få kontroll på angrepet. Klarer de ikke det innen kort tid, kan hypersensitiv informasjon havne i feil hender. De jobber på spreng, samtidig som de kjenner på presset fra berørte og media. Foreløpig ligger hackerne foran.  

Bare en øvelse denne gangen

Dette var scenarioet da en fullskala krisehåndteringsøvelse ved Norwegian Cyber Range ved NTNU i Gjøvik nylig ble gjennomført. Denne gangen var det heldigvis bare en øvelse, men slike angrep kan skje når som helst. Derfor er arbeidet som utføres på cyber rangen veldig viktig. Her får både interne og eksterne aktører trene på å håndtere slike dataangrep.   

Denne øvelsen var en del av doktoravhandlingen til Grethe Østby. Hun forsker på hvordan offentlig og privat sektor kan bli best mulig rustet til å stå i et dataangrep.

Østby er stipendiat/faglærer ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU i Gjøvik, og hun har forsket mye på digital sikkerhet.  

Forsker på dataangrep

I doktorgradsarbeidet ser hun på hvilken oppmerksomhet informasjonssikkerhet har i samfunnet generelt, og evnen å håndtere kriser ved informasjonssikkerhetshendelser i norske og etter hvert nordiske beredskapsorganisasjoner. En beredskapsorganisasjon er organisasjoner som har et tildelt beredskapsansvar i samfunnet i dag. Eksempelvis kommuner, statsforvalteren og nødetater.

Grete Østby forsker på dataangrep. Foto: Merete Nyheim VIS MER

– Med andre ord ser jeg på hvilket ansvar ledere i disse beredskapsorganisasjonene har ved slike hendelser. Dette gjør jeg ved å måle såkalt modenhet i organisasjonene, hvordan tidligere hendelser har blitt håndtert, hvilke risiko-vurderinger som er gjort, og hvilke beredskapsplaner som eksisterer, forklarer forskeren.

• Les også: Dette må du vite om cybersikkerhet

Viktig med kompetanse på digital sikkerhet

Hun ser også på hvilke øvelser som kan være aktuelle for å forbedre modenheten, ved å se på forhold som struktur, kultur og metoden, altså på organisering, hvilken informasjonssikkerhetskultur det er i organisasjonen og hvilke sikkerhetsmetoder som benyttes.

– I tillegg ser jeg på systemsikkerhet i databaser, programmer og applikasjoner i organisasjonene, sier hun.

Digital sikkerhet er veldig viktig, og kompetanse rundt det bare blir mer og mer viktig.  

– Bare se på det nylige dataangrepet i Østre Toten kommune. Her ble det stjålet data fra kommunen, og sensitive personopplysninger kom på avveie. I tillegg ble muligheten til å kreve inn kommunale inntekter fra innbyggerne påvirket over lang tid.

• Les også: Tetter beryktede sikkerhetshull

Skal øve med reelle organisasjoner  

Øvelsen som ble gjennomført på cyber-rangen i oktober var basert på en ekte hendelse. Scenarioet dreide seg om at en ukjent aktør gjennomførte dataangrep på en større organisasjon i Innlandet. 

Dette var en test-øvelse, og rollene i spillet ble spilt av studenter fra masterstudiet «Information Security», utvekslingsstudenter, en PhD-kandidat og en post doc. Rollene som PST, presse og berørte ble spilt av representanter fra Statsforvalteren i Innlandet, Forsvaret, NTNU og Sykehuset Innlandet.

Øvelser med reelle organisasjoner skal gjennomføres neste år.   

– Vi planlegger og tester nå ulike øvelser både for studenter og beredskapsorganisasjoner. For studentene forsøker vi å innføre øvelser som en del av lederfagene. For organisasjoner gjennomfører vi analyser, men også øvelser, som den fullskalaøvelsen vi testet i oktober. Resultatene vil sammenstilles og evalueres, før de til slutt vil bli presentert i akademiske artikler og doktorgradsavhandlingen i slutten av januar 2023.

Ved NTNU i Gjøvik er det stor forskingsaktivitet på digital sikkerhet, og sikring av IT-systemer er et studietilbud. Ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi tilbys bachelor i digital infrastruktur og cybersikkerhet og master i informasjonssikkerhet.

­­