Flere af DKCERTs medarbejdere var i uge 48 til krisestyringsøvelse i Polen. Øvelsen var henlagt til vestlige Polen i Poznan – en by på størrelse med Århus med ca 600.000 indbyggere. Her mødtes ca. 70 medarbejdere fra europæiske forskningsnet – der alle er medlem af GÉANT– til den årlige øvelse, der udfordrer deltagerne på krisehåndtering i et miljø præget af politiske modsætninger, historiske konflikter, økonomiske interesser med cyberkriminelle og cyberaktivistiske aktører.
Selve krisesituationen foregår i eventyrlandet Guilder Kingdom, der er GÉANTs øvelsesunivers. Guilder er et fiktivt, mindre europæisk kongedømme med syv millioner indbyggere, otte universitets- og forskningsinstitutioner og en stærk turistindustri. I dette land træder deltagerne ind som medarbejdere i Guilders forskningsnet, kaldet Guildren, og hvor de i situationen indgår med hver deres rolle ift. at løse en krise på bedst mulige måde. Der skal afdækkes konsekvenser, tænkes i årsag til hændelsen, foretages afhjælpning for at minimere risikoen for yderligere konsekvenser, håndteres ledelse og pressens spekulationer. Er der mon tale om et cyberangreb relateret til det foregående års cyberangreb på landets togdrift?
Ransomware med politiske krav
I år var flere af Guilders otte universitets- og forskningsinstitutioner udsat for et cyberangreb – eller rettere: Øvelsesdeltagerne fra de forskellige lande mødte ind onsdag morgen med besked om, at brugere på tre universiteter havde mistet adgangen til deres emails, filtyper havde ændret navne og der var sket en form for kompromittering af visse servere, der kunne have en fortrolighedsmæssig konsekvens for patienterne på et af landets hospitaler – altså dels et uafklaret tilgængelighedsproblem, dels et muligt GDPR-issue, der krævede indrapportering inden for 72 timer.
Samtidig var der modtaget en ransomwarebesked, som muligvis kunne komme fra en yderligtgående organisation med tilknytning til en familiegren i kongehuset, der for flere hundrede år siden mistede tronen til den del af familien, som den nuværende monark i Guilder nedstammer fra. Ransomwarebeskeden krævede løsladelse af en vis professor Congar fra Oucumene universitetetet, der dagen før var blevet arresteret, mistænkt for at stå bag en angreb på togdriften tidligere på ugen i Guilders hovedstad Sardos. Congar er en kendt person i Guilder, som tidligere har udtrykt holdninger, der udfordrer det aktuelle styre, og som kan have ønsker om at destabilisere landet for i sidste ende at genindtage tronen.
Med andre ord: En krise med ekstrem cyberaktivistisk karakter – lidt urealistisk, men ikke helt set i lyset af den aktuelle geopolitiske situation i Europa.
Pressen kræver svar
En halv time efter starten på øvelsen krævede pressen svar. På de sociale medier havde rygtet om et cyberangreb bredt sig, bl.a. fordi studerende fra tre af universiteterne havde beklaget sig over manglende adgang til deres emails.
Kan I bekræfte, at der er tale om er ransomwareangreb? Er der lækket følsomme personoplysninger fra patienter på militærhospitalet? Hvad er kravet fra ransomwareaktørerne? Har det forbindelse til cyberangreb på togdriften for et par dage siden? Er myndighederne involveret?
For rullende kameraer skulle Guildrens pressemedarbejder (spillet parallelt af seks af deltagerne fra hver sit hold) navigere mellem aggressive spørgsmål og fakta, spekulationer og forventninger fra offentligheden til håndteringen af krisen, samtidig med at beredskabsgruppen i øvelsesrummet stadig var i gang med at afdække hændelsens omfang, konsekvens og årsag. Og det imens nogle hold hverken havde orienteret bestyrelsen, direktionen, medarbejderne eller de studerende, mens andre havde sørget for løbende inddragelse. Uanset hvad, var der pres på fra start.
Forskellige fagligheder i spil
Øvelsen fordrer samarbejde, ledelse, koordinering, analyse og kommunikation – og kræver altså forskellige fagligheder for at kunne håndteres. På papiret ser det nemt ud, for man har jo beskrevet situationen i sin beredskabsplan – hvis man ellers har en sådan og i øvrigt har øvet den – men når virkeligheden rammer er det langt fra så nemt, som beredskabsplanen tilsiger. Nemmere bliver det ikke af, at man som øvelsesdeltager sættes i et rum med mennesker fra forskellige lande, man aldrig har arbejdet sammen med før. Mennesker, der dog har det til fælles, at de arbejder på forskningsnet rundt om i Europa, men naturligvis ikke alle har øvelsessproget engelsk som modersmål.
Det kræver ledelse af teamets krisekoordinator, der skal sikre, at alle forskellige vinkler bliver afdækket i den indledende analyse, og at der bliver truffet en beslutning om det videre forløb: Har man nok information til at komme videre, hvem skal der ringes til, hvornår skal bestyrelsesformanden orienteres, det lokale politi, og hvad ønsker man at opnå med sin kommunikationsstrategi? Hvis man da har en.
Erfaring fra tidligere øvelser eller beredskabssituationer er et plus i sådan en situation.
Revolution
Selvom revolutionære tanker er uendeligt langt væk fra det danske universitetsmiljø, så er destabilisering, cyberangreb som politisk våben, aktivisme, terrorisme tættere på i visse af GÉANTs medlemslande, der omfatter næsten alle europæiske lande, hvoraf visse af dem endnu kun er unge demokratier. Uanset historik har krigen mellem Rusland og Ukraine medført en øget cyberaktivisme, og det er en virkelighed som mange landes forsknings- og universitetsmiljøer må forholde sig til.
Det gælder også danske forskningsinstitutioner og såmænd også offentlige institutioner og virksomheder – hvis ageren, resultater og produkter i nogens øjne kan være provokerende og være årsagen til aktivisme. I gamle dage kunne det komme til udtryk i en demonstration, graffiti eller hærværk på en virksomheds hovedsæde eller i mere ekstreme tilfælde grov gidseltagning, som vi så det i 70’erne og 80’erne. I middelalderen kunne de forkerte holdninger inden for forskningen koste en fængselsstraf eller det, der var værre. Tænk blot på Galileo.
I dag kan ofrene for aktivisme være de samme, universiteter, offentlige institutioner og virksomheder, men metoderne nogle andre – cyberangreb og gidseltagning af data – om end vi for nyligt har set særligt yngre klimaaktivister forsøge sig med hærværk mod kunstværker.
Disse situationer bliver til beredskabssituationer, som kræver krisehåndtering. Det er en generisk kompetence, som kan og bør øves igen og igen.
Det er pointen med krisestyrings- og beredskabsøvelser. Det behøver ikke sættes op som et fiktivt univers som GÉANT har bygget op og forfinet gennem de sidste fem år. En skrivebordsøvelse er en god begyndelse og så kan man altid bygge videre på det.
DKCERT hjælper gerne institutioner med at sætte beredskabsøvelser op.
Henrik Larsen skriver med jævne mellemrum en klumme om aktuelle spørgsmål om informationssikkerhed.