Du behöver inga joggingskor när du besöker träningsanläggningen på FOI, totalförsvarets forskningsinstitut. Här finns inget fysiskt hot som du ska skydda dig mot. Det man övar sig på i cyberanläggningen CRATE är ett hot som kommer via internet.
– Den mest skadliga it-attacken om man tittar till ekonomiska värden hette NotPetya. Den kostade världen 10 miljarder dollar 2017, berättar Tommy Gustafsson, forskningsingenjör på avdelningen.
Först trodde man att NotPetya var ett lösenordsvirus som krypterade filer. Men sedan visade det sig att skadan attacken gjorde var mycket värre än så.
– NotPetya slog ut tio procent av alla datorer i Ukraina. Tio procent, det är ganska många datorer.
Viruset började med att attackera datorer i Ukraina, men spred sig sedan över hela världen. Ett danskt företag som heter Maersk drabbades hårt av cyber-attacken.
– Maersk står för en ganska stor del av världens sjöfart. De ensamma redovisade en förlust på grund av NotPetya på 2-2,4 miljarder kronor 2017. Hela deras it-miljö stängdes ner. På två till tre timmar var den helt utslagen och företaget som står för uppemot en femtedel av världens transporter till sjöss var tillbaka på 1800-talet utan sin teknik.
Så även om hotet inte är fysiskt och ganska svårt att ta in så finns det där. Och det är därför Tommy Gustafsson jobbar med att utbilda människor i att skydda sig.
– Vi tittar på vad som gör att en användare väljer osäkra lösenord. I princip allt från buggar och hårdvarukomponenter hela vägen upp till oss som människor. Hur påverkar vi säkerhetsnivåerna i systemen? Hela det spannet.
Men även om man som sagt inte behöver några träningskläder så kommer idén från de mer praktiska sätten att förfina en kunskap på.
– Precis som försvarsmakten tränar, precis som man övar golf på driving rangen, precis som man övar på att köra på bilskolor och så vidare. Så behöver vi också öva och testa under säkra förhållanden.
Cyberanläggningen på FOI låter dem göra det. Den huvudsakliga delen av träningsanläggningen består av en serverhall som i princip är ett stort datorkluster.
– Vi har en simulerad miljö där vi bygger upp repliker av IT-miljöer. Sedan övar vi genom att försvara dessa system.
Miljön man bygger upp handlar alltså inte om skrivbord och kontorsstolar, utan om datorer och nätverk.
– Det finns en serverhall där man kan säga till servrarna att de till exempel ska vara 54 datorer på en tidningsredaktion. Vi kan simulera tiotusentals datorer om vi vill. Datorerna blir lika verkliga som laptopen man har där hemma.
När Tommy Gustafsson berättar om hur det går till på cyberanläggningen ger han också exempel på hur hotet ser ut i verkligenheten.
– New Orleans attackerades häromdagen. Boston för några månader sedan.
Hela städer kan alltså drabbas av cyberattacker. Men även om man vet att internet är en viktig del av ens liv så kan det vara svårt att förstå hur en attack faktiskt kan slå ut en stad. Tommy Gustafsson ställer en fråga:
– Kan ni tänka på något som är samhällsviktigt som inte är beroende av datorer?
– Nej, inte vi heller, svarar han själv efter en stund.
För att visa hur en cyberattack faktiskt skulle kunna påverka en stad har de byggt upp en modell. Den föreställer ett område med alla olika byggnader och den infrastruktur som behövs. Här åker bilar runt och stannar vid trafikljusen – en av sakerna i modellen som går att hacka sig in i.
I staden finns ett vattenreningsverk som behöver ett nätverk för att fungera och kunna försörja staden med rent vatten. De har även byggt en upp och nedfällbar bro över en kanal som ett tåg åker på. Om någon tar kommando över bron och fäller upp den när tåget kommer åker tåget ner i kanalen.
– Om någon slår ut nätverket i en stad har du inte ditt elevregister på skolorna, din busstidtabell, dina tillträdessystem för byggnader. Du har inte din mejl. Det är dött, och då är det bara att gå hem.
Men vilka är det då som ligger bakom cyberattackerna? Tommy Gustafsson berättar att det finns tre olika sorters angripare. Tre typer av hotagenter som de kallar dem.
Den ena är hobbyister och aktivister. De har en åsikt eller en hobby. De vill påvisa en poäng eller så är de sura på grund av olika saker. De är oftast inte så farliga, men de kan vara kompetenta och slå hårt.
Den andra kategorin är kriminella. Där ser man företrädesvis att det handlar om ekonomiska intressen i form utav att stjäla kreditkortsuppgifter, använda dem själva eller sälja dem. De kan också vara ute efter industrispionage.
– Det kan vara så att man slår ut alla filer, och sedan säger man: vill du ha tillgång till din data då får du betala mig. Du betalar och så får du tillgång till den.
När det gäller de kriminella ser Tommy Gustafsson att de blir mer och mer avancerade.
– De bedriver det här nästan som en företagsverksamhet. Vissa personer jobbar med att ta sig in på nätverk. Andra personer jobbar med att kryptera data. De har några som är marknadsansvariga som tittar vad är det för företag som har angripits och vad som gör att de kan vara villiga att betala.
Till sist har vi det forskarna på FOI fokuserar på, cyberoperationer. Det är nationer som angriper varandra när de har konflikter på olika sätt.
– Vi har spårat ungefär 300 operationer de senaste tio åren. Men det finns inte en enda nation som har ställt sig upp och sagt att vi har gjort det här. De är svåra att leda i bevis.
Hur allvarligt är cyberhotet?
– Därom tvista de lärde. Det är svårt att se att man kan träffa ett specifikt mål och göra en specifik skada som är varaktig med en attack. Men om man skulle göra attacken i samband med att man angriper ett land. Eller om man ligger i förhandling med ett land och kanske vill påverka dem i någon riktning.
Tommy Gustafsson vill inte säga att det är som i Hollywoodfilmer där allting rasar vid en attack. För så tror han inte riktigt att det är. Men hotet finns där och kan göra stor skada.
– Det är till syvende och sist så att NotPetya-fallet visade sig vara ett extremt avancerat angrepp. Och det är den som angrips som måste ha förberett sig för det här och stå emot attacken. Och som måste agera när det faktiskt har hänt. Det är därför det är viktigt att öva. Det handlar om att vi ska lära folk att skydda sina system och vi forskar på hur vi kan bli bättre på det.