Minns du Stuxnet? Den trojanska häst som användes för att sabotera styrdatorer för urananrikning i Iran 2010. Enligt Robert Lagerström, lektor på KTH samt grundare av uppstartsföretaget foreseeti, kan bolagets mjukvara användas för att minska risken för den typen av sabotage.
– Attacken var förvisso osannolik till sin natur med tanke på USB-minnena som användes. Likväl hade vi kunnat simulera den och därmed kunnat hjälpa till att föreslå skydd som hade kunnat försvåra attacken.
Foreseetis mjukvara securiCAD bygger på tio år av KTH-forskning. Bolaget har precis släppt den första officiella versionen som ska hjälpa små och stora företag att säkra sin it-system, och samtidigt fått 9 miljoner i riskkapital från tongivande investerare.
– SecuriCAD kan både tillhandahålla hotmodellering och attacksimulering. Mjukvaran visar vilka vägar en hackare kan ta, hur lång tid detta tar och vilka säkerhetshål som finns. Samt hur man skyddar sig.
Till skillnad från företag som anställer hackare för att testa it-säkerheten i fysisk form så simulerar securiCAD en attack på en modell av it-systemet. Tanken är att det både ska vara en effektiv lösning för att säkra upp system och ett sätt att prioritera sina dyrbara resurser.
– SecuriCAD visualiserar inte bara de säkerhetsbrister som finns, bristerna rankas också så att företagen kan se vilka problem de borde prioritera. Sedan består ofta säkerhetsbrister av en kedja sårbarheter, något vår mjukvara kan visa.
Robert Lagerström berättar att tiden är en kritisk faktor som securiCAD tar hänsyn till. Hur lång tid det tar för en hackare att ta sig in i systemet är relevant information som måste upp på bordet. Är det så att det kan ta bortåt 100 dagar att ta sig in i it-systemet kanske säkerhetshålen som utnyttjas på vägen inte är så allvarliga. Om en attack anses för tidskrävande kanske hackaren eller hackarna istället väljer ett annat företag som har mer lättillgängliga säkerhetsbrister.
– Hur lång tid tar det att hitta en så kallad ”zero day vulnerability” är intressant. Mycket handlar om hur hotbilden mot företaget ser ut. Är det en annan stat med mycket resurser som är det primära hotet, eller en ensam supersmart ung hackare? Dessa aktörer kommer att ha olika förmåga att använda sig av “zero-days”. Som användare av securiCAD kan du modellera olika hotbilder/aktörer för att förstå hur sårbar du är mot dessa olika typer av aktörer.
CAD i namnet securiCAD kommer från Computer Aided Design. Detta helt enkelt för att man i många ingenjörsvetenskaper sedan länge använder CAD/CAM för design. Dessa vetenskaper är mogna, och i verktygen som används finns många vedertagna teorier inbyggda. Är det en bro som ska ritas så finns det redan exempelvis parametrar som godstjocklek för en stålbalk angivet, så att bron håller.
– Nu har vi gjort samma sak när det kommer till it och säkerhet. Vi och andra har forskat fram vad bra och fungerande it-säkerhet är, och hur vi kan analysera och modellera it-system utifrån denna kunskap. KTH-forskningen under de tio åren, ett arbete som sysselsatt en lektor, två professorer och ett antal doktorander, handlar både om hur it-system kan modelleras och analyseras och vad bra it-säkerhet är.
Robert Lagerström lägger till att det unika med securiCAD handlar om hur verktyget hanterar sannolikheter. Det är detta som skiljer foreseeti från konkurrenterna, menar han.
– Vissa företag kan till exempel inte patcha när som helst, beroende av hur deras verksamhet ser ut. Foreseeti jobbar med sannolikheten att något ska inträffa. Världen är inte ett eller noll. Patchade eller opatchade system. Alltså arbetar vi med “Kanske” eller ”till-en-viss-grad” som parametrar.
Vad för typ av it-system kan då testas för säkerhetsproblem med securiCAD? Enligt Robert Lagerström är alla typer av it-system som är mer avancerade än att en person kan hålla det i huvudet tänkbara. Detta oavsett om de ligger i molnet – det vill Azure eller Amazon – eller lokala servrar med sporadisk kontakt med internet.
– Tittar man på olika typer av företag är elbranschen fortfarande relativt omogen. De har en lång resa kvar att göra när det kommer till säkerhetstänkande och it. Bank- och finans har kommit längre och har lättare att ta till sig våra tankar och vår mjukvara. Men på det hela taget är Sverige ganska omoget när det kommer it-säkerhet, jämfört med exempelvis Storbritannien och Tyskland. Det märks inte minst på de frågor vi får.
Robert Lagerström avslutar med att säga att it-säkerhetschefer inte alltid har ett tacksamt jobb. Många förväntar sig att säkerheten ska fungera, och gör den inte det får cheferna kritik. Dessutom är det inte alltid lätt att veta om man har prioriterat rätt. Ska man utföra åtgärd A, B eller C?!
– Efter att securiCAD använts kan det mycket väl vara så att man kommit fram till att det är åtgärd D som gäller. Det räcker med att en enda mjukvaruport är öppen och alla pengar du någonsin lagt ner på att skydda dig blir en värdelös investering. Sedan ska man nog ta med i beräkningen att ett it-system aldrig blir 100 procent säkert. Men har du ett säkrare system är grannen räcker detta troligtvis långt.
Bakom tillskottet av riskkapital står investerarna Michael Lantz (varit med och byggt upp B2B-bolaget Accedo) och Simon Josefsson (nyckelperson i it-säkerhetsföretaget Yubico).