Denne artikkelen er produsert og finansiert av De regionale forskningsfondene - les mer.

Fra åpningen av Senter for datasikkerhet ved IFE i fjor. Seniorforsker Vikash Katta (tv.) presenterer senteret for daværende digitaliseringsminister Nikolai Astrup (sittende).
Fra åpningen av Senter for datasikkerhet ved IFE i fjor. Seniorforsker Vikash Katta (tv.) presenterer senteret for daværende digitaliseringsminister Nikolai Astrup (sittende).

Mennesker er like viktige som teknologi for å sikre fly mot cyberangrep

Skal luftfarten bli like god på cybersikkerhet som på flysikkerhet, holder det ikke å investere i teknologi. Minst like viktig er mennesker og hvordan de reagerer på cybertruslene.

Publisert

– For mange selskaper stoler blindt på teknologien. De investerer i teknisk utstyr og programvare, men glemmer bevisstgjøring av menneskene som skal overvåke teknologien, kommunisere og samhandle med resten av organisasjonen, sier seniorforsker Vikash Katta ved Institutt for energiteknikk (IFE) i Halden.

God sikkerhet mot cyberangrep krever godt samspill mellom mennesker, responsrutiner og teknologi, ifølge forskeren. Men også forskning på cybersikkerhet legger for lite vekt på menneskets rolle.

Katta har vært teknisk leder for et fireårig prosjekt der nettopp folks møte med cybertrusler har vært sentralt.

Med i prosjektet var Eurocontrol, som er den europeiske organisasjonen for luftfartssikkerhet, de norske selskapene Jotron, Secure-NOK og Avinor Flysikring, del av statseide Avinor, med en sentral rolle for flysikkerheten i den norske delen av det europeiske luftrommet.

Vikash Katta er seniorforsker ved Institutt for energiteknikk (IFE) i Halden.
Vikash Katta er seniorforsker ved Institutt for energiteknikk (IFE) i Halden.

– Vi leverer flyvelederkapasitet og har ansvaret for teknikken i alle systemer flyveledere og piloter bruker til kommunikasjon og navigasjon i luftrommet over Norge, på Svalbard og i havområdet videre mot Nordpolen, sier Frode Bergh, enhetsleder i Avinor Flysikring.

– Vi jobber kontinuerlig for å unngå at uønskede hendelser skal inntreffe, og har som mål å bli like gode på cybersikkerhet som på flysikkerhet, sier Bergh.
– Vi jobber kontinuerlig for å unngå at uønskede hendelser skal inntreffe, og har som mål å bli like gode på cybersikkerhet som på flysikkerhet, sier Bergh.

Gamle systemer gir nye utfordringer

Målet med prosjektet er å gjøre cybersikkerhet til en naturlig del av en helhetlig tilnærming til flysikkerhet.

Samarbeidspartnerne er opptatt av kompetanseheving og av å øke bevisstheten om hvilken rolle cybersikkerhet har i å beskytte infrastruktur som er kritisk for flysikkerheten.

Internett har nemlig skapt nye utfordringer for luftfarten. Mange av systemene som brukes til navigasjon og kommunikasjon i lufta, er fra en tid da det var lite hacking og dataangrep.

I dag får viktig utstyr stadig flere kontaktpunkter mot andre nettverk. Det gjør systemene sårbare for cyberangrep.

– Dette er utfordringer som ikke er viet nok oppmerksomhet hverken av luftfartsmyndigheter, flyprodusenter eller leverandører av flysikkerhet. Vi har som mål å bli like gode på cybersikkerhet som på annen sikkerhet. Derfor passet dette prosjektet som hånd i hanske for oss, sier Bergh.

– Alle våre sikkerhetstiltak skal være integrert i en helhet. Vi skal ikke ha ulike systemer løsrevet fra hverandre, men ett hele som omfatter alle sikkerhetsområder og samspillet mellom folk, prosedyrer og tekniske systemer, sier han.

Simulerte angrep

Avinor Flysikring vil forbedre egen organisasjon. Derfor fikk forskerne fri tilgang til å intervjue ansatte på alle nivåer - fra ledere til systemingeniører, sikkerhetspersonell og operatører.

– Kartleggingen viste at de ansatte hadde en grunnleggende solid forståelse av sikkerhet, mens det samme gjaldt ikke for cybersikkerhet, sier Katta.

Forskerkolleger fra Institutt for energiteknikk og Secure-NOK fikk også tilgang systemer hos Avinor Flysikring for å kjøre tester. Ifølge Bergh ga det nyttige resultater.

– Simuleringene ga viktig innsikt som vi har brukt til å forbedre forsvarsmekanismene våre og prosedyrene for håndtering av potensielle angrep. Det handler om hvordan vi tenker, hvordan vi opptrer og hvordan vi kommer raskest mulig tilbake til normal drift igjen etter et angrep, sier Bergh.

Han forteller at bevisstgjøring gjerne handler om små endringer i tankesett:

– Hvis det oppstår en teknisk feil, må vi være bevisst på at det kan være et symptom på et cyberangrep, som må sjekkes ut. Å bli mer bevisst handler om å ha mulige cyberangrep i bakhodet i hver analyse av en situasjon utenom det vanlige.

Øvelse gjør mester

For å bli god til å håndtere cybertrusler, mener Katta det er helt nødvendig å trene på ulike scenarier der uvedkommende prøver å bryte inn i datasystemene.

– Å vite hva som skjer i et kontrollrom under et angrep, er viktig for å se hvordan trusler blir oppfattet og håndtert. Under et cyberangrep må man vite både hvem man skal kommunisere med og hva som skal kommuniseres, for at mottiltakene skal bli effektive og målrettede. Dette er i veldig liten grad kompetanse det går an å lese seg til, den må opparbeides gjennom praksis, sier han.

Det er viktig at sikkerhetsekspertene og operatørene som har ansvaret for den daglige driften, øver seg på å jobbe sammen i trusselsituasjoner.

– Her er det til en viss grad to ulike verdener som møtes. Operatørene er trent på å holde systemene i gang, men ikke på å håndtere cybertrusler. Sikkerhetsekspertene er trent på å håndtere sikkerhetsbrudd, men ikke på å holde hjulene i gang, sier Katta.

– Å samhandle på en måte som både tar hensyn til løpende drift og til å håndtere en konkret trussel på en god måte, krever en fin balansegang, sier han.

Nytt senter for datasikkerhet

Forskningsprosjektet til IFE og Avinor Flysikring har fått økonomisk støtte fra Oslofjordfondet. Da søknaden om forskningsmidler ble sendt i 2016, hadde de en langsiktig visjon om å få etablert et senter for digitalisering og datasikkerhet på IFE i Halden. Visjonen ble virkelig raskere enn noen hadde ventet.

– Som en ringvirkning av blant annet dette forskningsprosjektet, fikk vi nye midler fra både Forskningsrådet og EU. Det henger sammen med at de problemstillingene vi har snakket om, er like relevante for alle som opererer samfunnskritisk infrastruktur; enten det er olje- og gassindustri, luftfart eller energiforsyning, sier Katta.

På senteret kan de simulere ulike operasjonelle miljøer og ulike typer cyberangrep på en svært realistisk måte, for å se hvordan de involverte samhandler og kommuniserer.

– Vi evaluerer beskyttelsesmekanismer og responsrutiner, og foreslår forbedringer som kan ivareta samspillet mellom mennesker, prosess og teknologi – og dermed også cybersikkerheten – best mulig, sier Vikash Katta.