Kredit:CC0 Public Domain
I 2014, da Rusland indledte en proxy-krig i det østlige Ukraine og annekterede Krim, og i årene efter hamrede russiske hackere Ukraine. Cyberangrebene gik så langt som til at slå strømnettet ud i dele af landet i 2015. Russiske hackere optrappede deres indsats mod Ukraine i tiden op til invasionen i 2022, men med bemærkelsesværdigt anderledes resultater. Disse forskelle rummer lektioner for USA's nationale cyberforsvar.
Jeg er en cybersikkerhedsforsker med en baggrund som politisk officer i den amerikanske ambassade i Kiev og arbejder som analytiker i lande i det tidligere Sovjetunionen. I løbet af det sidste år ledede jeg et USAID-finansieret program, hvor Florida International University og Purdue University instruktører trænede mere end 125 ukrainske universitets cybersikkerhedsfakultet og mere end 700 cybersikkerhedsstuderende. Mange af fakultetet er førende rådgivere for regeringen eller rådfører sig med kritiske infrastrukturorganisationer om cybersikkerhed. Programmet lagde vægt på praktiske færdigheder i at bruge førende cybersikkerhedsværktøjer til at forsvare simulerede virksomhedsnetværk mod ægte malware og andre cybersikkerhedstrusler.
Invasionen fandt sted få uger før den nationale cybersikkerhedskonkurrence skulle afholdes for studerende fra programmets 14 deltagende universiteter. Jeg tror, at den træning, som fakultetet og de studerende modtog i at beskytte kritisk infrastruktur, hjalp med at reducere virkningen af russiske cyberangreb. Det mest åbenlyse tegn på denne modstandskraft er den succes, Ukraine har haft med at holde sit internet tændt på trods af russiske bomber, sabotage og cyberangreb.
Hvad betyder det for USA
Den 21. marts 2022 advarede den amerikanske præsident Joe Biden den amerikanske offentlighed om, at Ruslands evne til at iværksætte cyberangreb er "temmelig konsekvens, og det kommer." Som vicenational sikkerhedsrådgiver Anne Neuberger forklarede, var Bidens advarsel en opfordring til at forberede amerikansk cyberforsvar.
Bekymringen i Det Hvide Hus over cyberangreb deles af cybersikkerhedsudøvere. De ukrainske erfaringer med russiske cyberangreb giver lektioner i, hvordan institutioner lige fra elkraftværker til offentlige skoler kan bidrage til at styrke en nations cyberforsvar.
Nationalt cyberforsvar starter med, at regeringer og organisationer vurderer risici og øger deres kapacitet til at imødekomme de seneste cybersikkerhedstrusler. Efter præsident Bidens advarsel anbefalede Neuberger, at organisationer tager fem trin:vedtage multifaktor-adgangskodegodkendelse, holde softwarepatches opdateret, sikkerhedskopiere data, køre øvelser og samarbejde med offentlige cybersikkerhedsagenturer.
Adgangskontrol
Cyberforsvar begynder med indgangene til en nations informationsnetværk. I Ukraine er hackere i de senere år kommet ind på dårligt beskyttede netværk ved hjælp af teknikker så simple som at gætte adgangskoder eller opsnappe deres brug på usikre computere.
Mere sofistikerede cyberangreb i Ukraine brugte social engineering-teknikker, herunder phishing-e-mails, der narrede netværksbrugere til at afsløre ID'er og adgangskoder. Hvis du klikker på et ukendt link, kan du også åbne døren til sporing af malware, der kan lære adgangskodeoplysninger.
Neubergers anbefaling om at anvende multifaktor-adgangskodegodkendelse erkender, at brugere aldrig vil være perfekte. Selv cybersikkerhedseksperter har lavet fejl i deres beslutninger om at give adgangskoder eller personlige oplysninger på usikre eller vildledende websteder. Det enkle trin med at autentificere et login på en godkendt enhed begrænser den adgang, en hacker kan få ved blot at få personlige oplysninger.
Softwaresårbarheder
De programmører, der udvikler apps og netværk, belønnes ved at forbedre ydeevne og funktionalitet. Problemet er, at selv de bedste udviklere ofte overser sårbarheder, når de tilføjer ny kode. Af denne grund bør brugere tillade softwareopdateringer, fordi det er sådan, udviklere retter på afdækkede svagheder, når de er identificeret.
Inden invasionen af Ukraine identificerede russiske hackere en sårbarhed i Microsofts førende datastyringssoftware. Dette svarede til en svaghed i netværkssoftware, der gjorde det muligt for russiske hackere at frigive NotPetya-malwaren på ukrainske netværk i 2017. Angrebet forårsagede en anslået skade på 10 milliarder dollars på verdensplan.
Få dage før russiske kampvogne begyndte at krydse ind i Ukraine i februar 2022, brugte russiske hackere en sårbarhed i den markedsledende datastyringssoftware SQL til at placere "wiper" malware på ukrainske servere, der sletter lagrede data. Men i løbet af de sidste fem år har ukrainske institutioner styrket deres cybersikkerhed markant. Mest bemærkelsesværdigt er ukrainske organisationer skiftet væk fra piratkopieret virksomhedssoftware, og de integrerede deres informationssystemer i det globale cybersikkerhedsfællesskab af teknologifirmaer og databeskyttelsesbureauer.
Som et resultat identificerede Microsoft Threat Intelligence Center den nye malware, da den begyndte at blive vist på ukrainske netværk. Den tidlige advarsel tillod Microsoft at distribuere en patch rundt om i verden for at forhindre serverne i at blive slettet af denne malware.
Sikkerhedskopiering af data
Ransomware-angreb er allerede ofte rettet mod offentlige og private organisationer i USA. Hackerne udelukker brugere fra en institutions datanetværk og kræver betaling for at returnere adgang til dem.
Wiper malware brugt i de russiske cyberangreb på Ukraine fungerer på samme måde som ransomware. Pseudo ransomware-angreb ødelægger dog permanent en institutions adgang til dens data.
Sikkerhedskopiering af kritiske data er et vigtigt skridt i at reducere virkningen af wiper- eller ransomware-angreb. Nogle private organisationer har endda taget til at gemme data på to separate cloud-baserede systemer. Dette reducerer chancerne for, at angreb kan fratage en organisation de data, den skal bruge for at fortsætte driften.
øvelser og samarbejde
Det sidste sæt af Neubergers anbefalinger er løbende at udføre cybersikkerhedsøvelser og samtidig opretholde samarbejdsrelationer med føderale cyberforsvarsagenturer. I månederne op til Ruslands invasion, nød ukrainske organisationer godt af at arbejde tæt sammen med amerikanske agenturer for at styrke cybersikkerheden i kritisk infrastruktur. Agenturerne hjalp med at scanne ukrainske netværk for malware og understøttede penetrationstest, der bruger hackerværktøjer til at lede efter sårbarheder, der kan give hackere adgang til deres systemer.
Små og store organisationer i USA, der er bekymrede over cyberangreb, bør søge et stærkt forhold til en bred vifte af føderale agenturer, der er ansvarlige for cybersikkerhed. Nylige regler kræver, at virksomheder afslører oplysninger om cyberangreb til deres netværk. Men organisationer bør henvende sig til cybersikkerhedsmyndigheder, før de oplever et cyberangreb.
Amerikanske regeringsorganer tilbyder bedste praksis til træning af personale, herunder brug af bordplade og simulerede angrebsøvelser. Som ukrainere har erfaret, kan morgendagens cyberangreb kun imødegås ved at forberede sig i dag.