Etikettarkiv: Cybersäkerhet

Styrsystem fokus för cybersäkerhet

André Teixeira, biträdande universitetslektor vid Institutionen för elektroteknik, Uppsala universitet. Foto: Dan Pettersson / DP-Bild
André Teixeira, biträdande universitetslektor vid Institutionen för elektroteknik, Uppsala universitet. Foto: Dan Pettersson / DP-Bild

Processer i industri, energiproduktion och transport styrs av datoriserad reglerteknik. Men tekniken är ofta inte anpassad för dagens höga digitalisering och kan vara sårbar för cyberattacker. André Teixeira forskar om cybersäkerhet för dessa kritiska styrsystem.

Cyberattacker mot styrsystem i industrin, energianläggningar, transportsystem och annat kan få enormt svåra konsekvenser i form av oreda, ekonomiska skador och till och med för människors liv och hälsa. Detta såg vi för ett antal år sedan med den skadliga koden Stuxnet, som angrep kärnenergicentrifuger i Iran.

Digitalisering ökar risk
I takt med att allt fler processer digitaliseras ökar risken för cyberattacker. Därför är cybersäkerhet som är specifikt anpassad för den här typen av styrsystem kritiskt för såväl industrin som samhället i stort.
– Många av styrsystemen är av äldre modell och inte skapade för de digitaliserade nätverken och kommunikationsteknologin som används idag. Fientliga hackers kan ta sig in i systemen för att stjäla information eller helt enkelt sabotera processerna, förklarar André Teixeira, biträdande universitetslektor vid Institutionen för elektroteknik, Uppsala universitet.
Cybersäkerhet har utpekats som ett prioriterat och strategiskt viktigt område för Sverige. Tack vare bland annat ett betydande och långsiktigt bidrag av Stiftelsen för strategisk forskning, inom ramen för programmet Framtidens forskningsledare, håller André nu på att bygga upp sin forskargrupp vid Ångströmslaboratoriet på Uppsala universitet för att tackla de här utmaningarna.

Uppsala i framkant
Forskningen ska fokusera på två områden. Det ena är att utveckla metoder och analysverktyg för att bedöma cybersäkerhetsrisker i olika styrsystem. Det andra är att skapa en verktygslåda för att designa styrsystem så att de bättre kan stå emot attacker. Resultaten kommer att valideras under arbetets gång. En viktig aspekt är att cybersäkerheten inte får påverka de fysiska processerna i systemen, utan driften måste fungera smidigt och utan störningar.
– Det är ett enormt spännande område och jag är väldigt glad att ha möjlighet att bygga en plattform för att driva forskningen, säger André och fortsätter:
– Uppsala universitet är dynamiskt och holistiskt, med de olika discipliner som krävs för kvalificerad cybersäkerhetsforskning. Här finns alla förutsättningar att ta en ledande position.

UU – Cybersäkerhet i industriella styrsystem

André Teixeira och hans forskargrupp vid Institutionen för elektroteknik vid Uppsala universitet forskar om att utveckla verktyg och analysmetoder för förbättrad cybersäkerhet i industriella styrsystem. Forskningen möjliggörs bland annat av ett stort bidrag från Stiftelsen för strategisk forskning, SSF.

E-post: andre.teixeira@angstrom.uu.se
www.signal.uu.se/Research/Security/

Strategisk forskning stärker konkurrenskraft

Lars Hultman, vd för Stiftelsen för Strategisk Forskning, SSF.
Lars Hultman, vd för Stiftelsen för Strategisk Forskning, SSF.
Tvärvetenskap, nyttiggörande och rörlighet löper som en röd tråd genom forskning som finansieras av SSF. Under året som gått har flera nya utlysningar introducerats.
– Vår forskningsportfölj är tydligt strategisk, genom val av både forskningsområde och bidragsform, berättar vd Lars Hultman.

SSF är Sveriges största oberoende offentliga forskningsstiftelse, med utbetalningar på över 600 miljoner kronor om året. Fokus är på forskning som är av särskild strategisk betydelse för Sverige och det svenska näringslivet, och som bidrar till att lösa olika samhällsproblem. Genom att skapa starka forskningsmiljöer och bygga broar mellan grundforskning och nyttiggörande av forskningsresultat lyckas stiftelsen stärka Sveriges konkurrenskraft.
Under 2017 lanserades bland annat programmet Cybersäkerhet, för att stimulera utmaningsdriven forskning om cyber- och it-säkerhet med relevans för det svenska samhället och näringslivet. En annan nyhet är ITM (instrument-, teknik- och metodutveckling), vars syfte är precis enligt namnet. Det är ett riktat individuellt stöd och kompletterar därmed SSF:s program för rambidrag till ett större centrum.
– Vi vänder oss till innovatörer med smarta idéer, som systemet har svagt gehör för, säger Lars Hultman.

Neutronspridning
Neutronforskning är ett annat viktigt område. I Lund pågår bygget av den stora sameuropeiska forskningsanläggningen ESS, som när den står klar blir världens mest kraftfulla neutronkälla. SSF satsar på en forskarskola, som ska utbilda 40-talet doktorer i neutronspridning.
– Vi förstärker även våra satsningar på den nordiska marknaden genom ett partnerskap med Nordiska ministerrådet inom neutronspridning. Det får stor strategisk betydelse för Sverige, berättar Lars Hultman.
Under förra året delades SSF:s nyttiggörandepris ut för första gången. Det är ett stipendium som forskare som redan fått bidrag från SSF kan söka och meningen är att priset ska uppmuntra nyttiggörande av forskning.
Nytt för i år är också att SSF sponsrar KIT Framsteg; vetenskapsnyheter i lättsamma och korta filmklipp på Facebook. Här är målgruppen yngre personer och syftet är att skapa intresse för naturvetenskaplig och teknisk forskning. Under bara nio månader har klippen fått 2,3 miljoner visningar. SSF släpper också kontinuerligt egna forskarfilmer på Youtube för att nå ut till en bredare allmänhet.

Stiftelsen för Strategisk Forskning, SSF
Stiftelsen för Strategisk Forskning, SSF, stödjer forskning inom teknik, naturvetenskap och medicin med förutsättningar att stärka svensk konkurrenskraft. SSF gör också riktade satsningar mot informations- och kommunikationsteknik, materialutveckling och livsvetenskap med dess tekniker.

Almedalen 2018
AI, Artificiell intelligens, är temat för ett seminarium som SSF arrangerar i Almedalen den 3 juli kl 13-14.30 på Wisby Strand & Congress. Temat behandlas även utifrån olika perspektiv i en längre rapport utgiven av SSF skriven av tio fristående skribenter.

Tar helhetsgrepp på säkerhet i webbdrivna system

Professor Andrei Sabelfeld vid Chalmers tekniska högskola leder det SSF-finansierade forskningsprojektet WebSec. Foto: Patrik Bergenstav
Professor Andrei Sabelfeld vid Chalmers tekniska högskola leder det SSF-finansierade forskningsprojektet WebSec. Foto: Patrik Bergenstav

Cybersecurity är den största utmaningen för fortsatt digitalisering, och webbsäkerhet spelar en viktig roll i den strävan. Andrei Sabelfeld, professor vid avdelningen för informationssäkerhet på Chalmers och hans forskargrupp siktar på att bygga in säkerhet i webben redan från början.

I stort sett ingen har kunnat undgå att det i dagsläget finns stora brister i säkerheten på webben. Media har under senare år rapporterat om attacker på ett brett spektrum av företag, organisationer och myndigheter. Ett av de allvarligaste hoten mot webbsäkerhet är så kallad cross-site-scripting, där angripare får skadlig programkod att användas av offrets webbläsare. I det SSF-finansierade forskningsprojektet WebSec som leds av professor Andrei Sabelfeld vid Chalmers tekniska högskola, siktar man på att möta utmaningen genom att bygga in säkerheten från start.
– Det stora problemet idag är att säkerheten är fragil. Nätet kontamineras av sårbara komponenter och säkerheten tenderar att spricka i gränserna mellan komponenterna. Vi vill hitta vägar för inbyggd säkerhet så att vi redan vid konstruktionen kan tillföra säkerhet. I förlängningen ska man inte behöva arbeta dagligen med de säkerhetsproblem vi ser idag.

Behovet ökar
Det finns otaliga exempel på vad som kan hända om inte nödvändiga webbsäkerhetsmekanismer finns på plats. Andrei Sabelfeld berättar bland annat om den finska bank som läste in kundinformation via Google Analytics.
– Deras syfte var att få in kunddata och statistik för att kunna rikta sina erbjudanden bättre. Men scriptet konfigurerades fel och läckte kundernas kontonummer på Google.
I takt med att samhället blir allt mer beroende av webben, systemen omfattar idag såväl sjukvård som statliga och kommunala tjänster, ökar behovet av säkerhet.
– Den nya lagen, GDPR, som infördes den 25 maj är ett sätt att komma i fatt utvecklingen. Vårt projekt handlar snarare om att ligga före.

Ramverk
Projektet WebSec kommer att främja säkerheten på webben genom både akademiska framsteg och genom att utveckla konkreta verktyg i samarbete med flertalet partners från industrin.
– Det som skiljer detta projekt från andra initiativ är att vi vill ta ett helhetsgrepp och skapa ett ramverk som bland annat inte tillåter blandning av data och kod. Ramverket kan sedan användas av utvecklare till att skapa mjukvara så att denna typ av attacker inte längre är möjliga.
I helhetsgreppet ingår även att utveckla inbyggda mekanismer som fångar upp säkerhetsluckor om något skulle ha glömts i det initiala webbygget.
– Webbservrar och webbläsare skiljer sig tekniskt sett på många sätt, därför försöker många säkerställa webbläsare och servrar var för sig. Det är dock otillräckligt i många fall eftersom säkerhetshål oftast uppstår när man kopplar samman olika komponenter, som till exempel en server och en webbläsare. WebSec ska därför utveckla ett holistiskt ramverk, som gemensamt tar sig an både servrar och webbläsare, förklarar Andrei Sabelfeld.

Framtid
Ett hett område är web-of-things där webbprotokoll och gränssnitt används för att koppla tjänster till näten.
– Vi har redan sett flera exempel på hur allt från bilar till kylskåp attackerats. I slutänden är det säkerhet som är den största utmaningen för fortsatt digitalisering; utan den kommer vi tyvärr ingenstans med våra visioner och idéer.
Om fem år tror Andrei Sabelfeld att forskargruppen har funnit lösningar på många av de problem man idag brottas med.
– Jag är säker på att vi kommer att nå våra mål, men i ett längre perspektiv kommer vi att stöta på nya utmaningar. Vår forskning handlar om att säkerställa säkerheten på webben och att förebygga attacker. Men inom säkerhetsområdet blir du aldrig riktigt färdig. Huvudmålet är därför att alltid ligga steget före.

Chalmers – WebSec
WebSec, Säkerhetsdrivna webbsystem, är forskningsprojekt som kommer att främja säkerheten på webben genom såväl teoretiska som akademiska framsteg, samtidigt som konkreta verktyg utvecklas tillsammans med partners från industrin.

Projektledare: Andrei Sabelfeld, Chalmers tekniska högskola.

Övriga deltagare: Alejandro Russo och David Sands, Chalmers tekniska högskola samt Philipp Rümmer, Uppsala universitet.

Projektet finansieras av Stiftelsen för strategisk Forskning med 30 miljoner kronor.

Chalmers tekniska högskola
412 96 Göteborg
Tel: 031-772 10 00
www.chalmers.se