I midten av mars arrangerte USAs sikkerhetsdepartement – Department of Homeland Security – landets andre store øvelse i kyberkrig, Cyber Storm II. Øvelsen omfattet Echelon-landene (Australia, Canada, New Zealand og Storbritannia), ni amerikanske delstater og 40 private selskaper – hvorav Cisco, Juniper, McAfee og Microsoft – samt 18 direktorater, tilsyn og departementer underlagt føderale myndigheter.
Les også:
- [24.02.2009] Slik skal USA vinne kyber-krigen
- [08.12.2008] Vil legge IKT-sikkerhet rett under presidenten
- [15.09.2008] Mer enn bare verdens raskeste brannmur
- [14.08.2008] Pentagon toner ned offensiv kyberkrig
- [12.08.2008] Georgia anklager Russland for kyberkrig
- [04.08.2008] Kan beslaglegge reisendes PC-er
- [15.05.2008] Danner global allianse mot kyberterror
- [07.04.2008] USA øver på offensiv kyberkrig
- [14.03.2008] Bredt anlagt øvelse i kyberkrig
På en konferanse organisert av EMCs sikkerhetsavdeling RSA Security i San Francisco var en panelseanse viet Cyber Storm II. Paneldeltakerne hadde på forhånd skrevet under en NDA («non-disclosure agreement») med departementet, og var følgelig svært forbeholdne i sine uttalelser.
Referater i særlig Information Week, Internet News og Government Computer News gir anledning til å danne seg et inntrykk av hva som ble sagt, i påvente av en rapport som departementet lover å gjøre allment tilgjengelig på seinsommeren.
De tre viktigste deltakerne i panelet var Greg Garcia fra sikkerhetsdepartementet, Randy Vickers fra US-CERT og Paul Nicholas fra Microsoft.
Paneldeltakerne poengterte at Cyber Storm II bygget erfaringene fra på Cyber Storm I som ble organisert i februar 2006. Erfaringene fra Cyber Storm II vil danne grunnlaget for en tredje øvelse i kyberkrig. Det er først med denne framtidige øvelsen at man vil være i stand til å simulere et organisert angrep fra en fiendtlig makt etter mønsteret som er typisk for militære øvelser.
Dette er i seg selv en innrømmelse av at USA i dag ikke er forberedt på å møte et storstilt kyberangrep fra en fiendtlig makt.
Øvelsen i 2006 gikk ut på å forsvare seg mot tjenestenektangrep mot nettsteder innen distribusjon av olje og gass, datainnbrudd mot systemene til det amerikanske tilsynet for luftfart (Federal Aviation Authority), hærverk mot nettaviser, hacking av klimasystemene i offentlig bygg med mer. Etter å ha oppsummert erfaringene fra denne øvelsen, brukte departementet 18 måneder på å organisere øvelsen som ble holdt i mars.
Det ble ikke gitt detaljerte beskrivelser av innholdet i Cyber Storm II, utover at det dreide seg om angrep via kontrollsystemer, ondsinnet kode, nettverk og sosial manipulering, med tanke på å skap kaos i offentlig infrastruktur, særlig innen transport og energiforsyning.
Oppsummeringen gitt av Vickers fra CERT siteres slik:
– I Cyber Storm I lærte vi om hva vi måtte gjøre for å få ut informasjon om hva som skjedde og hvordan angrepene spredde seg. I Cyber Storm II ville vi forstå hva som må gjøres for å behandle informasjon, og utvikle og spre mottiltak.
Departementets Garcia hadde denne formuleringen om formålet med Cyber Storm II:
– Det handlet om å identifisere og svare på en raskt spredende kyberepidemi. Vi fikk testet vår evne til å identifisere et angrep, validere eller korrigere analysen med våre partnere – siden alle mottok forskjellig informasjon – og sette inn både individuelle og samordnede mottiltak.
Her er det verdt å merke seg ordbruken: «raskt spredende kyberepidemi» virker noe mindre omfattende enn et kyberangrep fra en fiendtlig makt. Det gis et klart inntrykk av at det ble øvd på å utveksle informasjon og samordne mottiltak, ikke på å ramme dem som sto bak angrepet.
Vickers erkjente at det hadde forekommet svikt i informasjonsutvekslingen under den simulerte kyberepidemien.
Garcia framhevet betydningen av å få med privat sektor:
– Noe av det vi lærte var hvor viktig leverandørene er i en krisesituasjon. De kjenner produktene og hvordan det virker. Offentlige organer og bedrifter må etablere sterke bånd til leverandører av kritiske systemer i forkant av en krise.
Til dette hadde Nicholas fra Microsoft følgende kommentar:
– Det er lett å snakke om partnerskap mellom det private og det offentlige, men i praksis er det vanskelig å få til.
Etter innledningene fra panelet ble det åpnet for spørsmål fra salen. Et av spørsmålene gikk ut på om det var mulig å kåre en vinner i øvelsen. Svaret på dette var «nei». Men man lærte mye, og det skal brukes aktivt i neste øvelse.
Les også:
- [24.02.2009] Slik skal USA vinne kyber-krigen
- [08.12.2008] Vil legge IKT-sikkerhet rett under presidenten
- [15.09.2008] Mer enn bare verdens raskeste brannmur
- [14.08.2008] Pentagon toner ned offensiv kyberkrig
- [12.08.2008] Georgia anklager Russland for kyberkrig
- [04.08.2008] Kan beslaglegge reisendes PC-er
- [15.05.2008] Danner global allianse mot kyberterror
- [07.04.2008] USA øver på offensiv kyberkrig
- [14.03.2008] Bredt anlagt øvelse i kyberkrig
