En helt almindelig onsdag i Situationscenteret
I Center for Cybersikkerheds Situationscenter sidder et vagthold og holder øje med alarmer i døgndrift året rundt. Alarmerne kommer ind fra de sensorer, der monitorerer mistænkelig internettrafik hos myndigheder og virksomheder, der er koblet på sensornetværket.
Klokken er 6:45, og i Center for Cybersikkerheds (CFCS’) Situationscenter er ”Nemo” og ”Rusty” ved at gøre klar
til at overdrage vagten til dagholdet. Mens det meste af Danmark lå og sov, har de holdt øje med de alarmer, der er kommet ind fra CFCS’ sensornetværk.
”I nat har der været mange alarmer, men andre gange sidder vi og behandler de IoC’er, vi får ind,” fortæller ”Nemo”. IoC’er, forkortelsen for Indicators of Compromise, er de tekniske ”fingeraftryk”, som it-sikkerhedsfolk bruger til at opdage, om der f.eks. kommer malware eller trafik gennem netværket fra en server, der er kontrolleret af en kendt hackergruppe. Det kan være IP-adresser, som CFCS, sikkerhedsfirmaer og andre indsamler og deler.
Selv om de to cyberanalytikere er trætte efter en 12 timers vagt, så giver vagterne også en del frihed.
”Det er meget fedt med tre vagter om ugen, og så har man fri. Lige nu kører vi med to uger med nattevagt og så to uger med dagvagt, og vi har altid mindst tre dage til at gå fra nat til dag. Jeg har lige købt mørklægningsgardiner, så det bliver lækkert. Så er det bare fuglene i vores baggård, der kvidrer,” fortæller ”Nemo”.
Commander’s update
6:55 møder ”0b1” og ”GNUru” ind. ”0b1” er vagtleder på dagholdet, og den første opgave er at få en mundtlig overlevering fra ”Rusty”, der har haft ansvaret for at føre logbogen i løbet af natten. De lidt specielle kaldenavne, som alle cyberanalytikerne i Situationscenteret har, stammer fra uddannelsen, hvor holdet døbte hinanden ved afstemning, forklarer ”Nemo” og ”0b1”. ”Der var endda én, der lavede en hjemmeside, så folk kunne stemme,” fortæller ”Rusty”.
Klokken er 8:04, da ”0b1” er ved at lægge sidste hånd på punkterne til morgenens interne briefing.
”Der var lige en sag om en telefon, vi skulle få ind. Der skal indhentes en samtykkeerklæring, og vi skal bruge koden til telefonen. Og så skal ejeren være indforstået med, at den måske bliver destrueret efterfølgende. Så nu må vi se”, forklarer ”0b1”.
Opgaven som vagtholdsleder kører normalt på skift, men lige i øjeblikket er ”0b1” det faste holdepunkt på dagholdet.
8:37 er alle i færd med at gøre klar til konferencen med de øvrige afdelinger i CFCS. Alle kender rutinen. Lyden bliver slået fra på tv’et, der kører i baggrunden med nyhederne, og præsentationen med punkterne i dagens briefing bliver kaldt frem på projektoren.
”God morgen her til dagens ’Commander’s Update Brief’,” siger ”0b1” og begynder at gennemgå situationsbilledet på telefonkonferencen. Her gennemgås ny udvikling på igangværende sager samt udvalgte overskrifter fra dagens trusselsbillede. Alle afdelinger byder også ind på skift med dagens vigtige møder og andet, der kan være vigtigt at få delt med de andre.
Klokken 9:00 er dagens faste punkt afsluttet, men der går ikke mange minutter, før telefonerne begynder at kime. Om morgenen er det især kolleger fra andre afdelinger, der ringer for at følge op på sager eller spørge Situationscenteret til råds.
Brunsviger og alarmer
Klokken er 13:05. ”Note” spiser et stykke hjemmebagt brunsviger med den ene hånd, mens den anden rutineret klikker sig igennem det system, der viser alarmerne fra CFCS’ sensornetværk. Han fokuserer på en kritisk alarm, der kommer fra en sensor hos et dansk ministerium. Den er udløst af usædvanlig trafik fra en udenlandsk IP-adresse, der står på en liste over mulige mistænkelige IP-adresser. ”Note” opretter en rapport på sagen og klipper data fra sit analyseværktøj over i rapporten.
Han har fået sit kaldenavn ”Note”, fordi han på cyberanalytikeruddannelsen altid havde komplette noter, der dækkede al den information, der stod på de PowerPoint-præsentationer, deltagerne ellers ikke kunne få udleveret. Evnen til at tage hurtige noter kan ses, når han hastigt indtaster feltkoder, screenshots og får skrevet en konklusion. I dette tilfælde: Falsk positiv. Klokken 13:10 er ”Note” allerede videre til den næste alarm.
Svindelsider
16:21 stiger aktiviteten yderligere. I takt med at arbejdsdagen slutter for mange af dem, Situationscenteret kommunikerer med, tikker opdateringer og opgaver ind. Som vagtholdsleder er det ”0b1”, der tager telefonen.
”Min opgave er at skærme de andre, så de kan fokusere på vores kerneopgaver. Så jeg svarer på mails, telefoner og chefer, der har brug for noget,” forklarer ”0b1”.
”Note” er i gang med én af kerneopgaverne og tjekker potentielle phishing-sider ved hjælp af et værktøj, som analytikerne i Situationscenteret selv har udviklet. Det holder øje med nye sider, der registreres, og henter automatisk screenshots og anden information, som hjælper ”Note” med at vurdere, om siderne er suspekte. En af siderne ser ud til at være en side for et tysk pizzeria, en anden side er lige nu tom, men domænenavnet kunne tyde på, at den vil blive kørt i stilling til netbank-phishing.
Klokken 17:59 er der faldet ro på igen, og det meste af dagholdet er gået. ”0b1” er i færd med at opdatere logbogen og forberede overleveringen til natholdet. 18:23 møder ”Wiz” og ”Snap” fra natholdet og så begynder overleveringen af dagens begivenheder. En af de presserende opgaver er en underleverandør til et projekt hos Forsvaret, som muligvis har været udsat for et forsøg på et brute force-angreb.
”Vi har haft kontakt med dem, men hvis I får samtykkeerklæringen ind fra dem, må I meget gerne lægge den på sagen,” siger ”0b1”, som slutter overleveringen med en praktisk instruks: ”Og i andre opgaver så skal vi huske at tømme opvaskemaskinen”.