2014, när Ryssland startade ett proxykrig i östra Ukraina och annekterade Krim, och under åren som följde hamrade ryska hackare på Ukraina. Cyberattackerna gick så långt att de slog ut elnätet i delar av landet 2015. Ryska hackare ökade sina insatser mot Ukraina inför invasionen 2022, men med anmärkningsvärt annorlunda resultat. Dessa skillnader ger lärdomar för USA:s nationella cyberförsvar.

Jag är en cybersäkerhetsforskare med en bakgrund som politisk tjänsteman på den amerikanska ambassaden i Kiev och arbetar som analytiker i länder i det forna Sovjetunionen. Under det senaste året ledde jag ett USAID-finansierat program där Florida International University och Purdue University instruktörer utbildade mer än 125 ukrainska universitets cybersäkerhetsfakultet och mer än 700 cybersäkerhetsstudenter. Många av fakulteten är ledande rådgivare till regeringen eller samråder med kritiska infrastrukturorganisationer om cybersäkerhet. Programmet betonade praktiska färdigheter i att använda ledande cybersäkerhetsverktyg för att försvara simulerade företagsnätverk mot verklig skadlig programvara och andra cybersäkerhetshot.

Invasionen skedde bara veckor innan den nationella cybersäkerhetstävlingen skulle hållas för studenter från programmets 14 deltagande universitet. Jag tror att den utbildning som fakulteten och studenterna fick i att skydda kritisk infrastruktur bidrog till att minska effekten av ryska cyberattacker. Det mest uppenbara tecknet på denna motståndskraft är den framgång som Ukraina har haft med att behålla sitt internet på trots ryska bomber, sabotage och cyberattacker.

Vad detta betyder för USA

Den 21 mars 2022 varnade USA:s president Joe Biden den amerikanska allmänheten att Rysslands förmåga att starta cyberattacker är "ganska följdriktig och den kommer." Som biträdande nationell säkerhetsrådgivare Anne Neuberger förklarade var Bidens varning en uppmaning att förbereda USA:s cyberförsvar.

Oron i Vita huset över cyberattacker delas av cybersäkerhetsutövare. Den ukrainska erfarenheten av ryska cyberattacker ger lärdomar om hur institutioner som sträcker sig från elkraftverk till offentliga skolor kan bidra till att stärka en nations cyberförsvar.

Nationellt cyberförsvar börjar med att regeringar och organisationer utvärderar risker och ökar deras kapacitet att möta de senaste cybersäkerhetshoten. Efter president Bidens varning rekommenderade Neuberger att organisationer skulle ta fem steg:anta lösenordsautentisering med flera faktorer, hålla programuppdateringar uppdaterade, säkerhetskopiera data, köra övningar och samarbeta med statliga cybersäkerhetsbyråer.

Åtkomstkontroll

Cyberförsvar börjar med ingångarna till en nations informationsnätverk. I Ukraina har hackare under de senaste åren tagit sig in i dåligt skyddade nätverk med så enkla tekniker som att gissa lösenord eller avlyssna deras användning på osäkra datorer.

Mer sofistikerade cyberattacker i Ukraina använde social ingenjörsteknik, inklusive nätfiske-e-postmeddelanden som lurade nätverksanvändare att avslöja ID och lösenord. Att klicka på en okänd länk kan också öppna dörren för att spåra skadlig programvara som kan lära sig lösenordsinformation.

Neubergers rekommendation för att använda multifaktorlösenordsautentisering erkänner att användare aldrig kommer att bli perfekta. Till och med cybersäkerhetsexperter har gjort misstag i sina beslut att tillhandahålla lösenord eller personlig information på osäkra eller vilseledande webbplatser. Det enkla steget att autentisera en inloggning på en godkänd enhet begränsar åtkomsten som en hackare kan få genom att bara få personlig information.

Sårbarheter i programvaran

De programmerare som utvecklar appar och nätverk belönas genom att förbättra prestanda och funktionalitet. Problemet är att även de bästa utvecklarna ofta förbiser sårbarheter när de lägger till ny kod. Av denna anledning bör användare tillåta programuppdateringar eftersom det är så utvecklare korrigerar upptäckta svagheter när de väl har identifierats.

Före invasionen av Ukraina identifierade ryska hackare en sårbarhet i Microsofts ledande programvara för datahantering. Detta liknade en svaghet i nätverksprogramvaran som gjorde det möjligt för ryska hackare att släppa loss den skadliga programvaran NotPetya på ukrainska nätverk 2017. Attacken orsakade uppskattningsvis 10 miljarder dollar i skador över hela världen.

Bara dagar innan ryska stridsvagnar började passera in i Ukraina i februari 2022 använde ryska hackare en sårbarhet i den marknadsledande datahanteringsmjukvaran SQL för att placera ut skadlig programvara på ukrainska servrar som raderar lagrad data. Men under de senaste fem åren har ukrainska institutioner avsevärt stärkt sin cybersäkerhet. Mest anmärkningsvärt är att ukrainska organisationer har gått bort från piratkopierad företagsprogramvara, och de integrerade sina informationssystem i den globala cybersäkerhetsgemenskapen av teknikföretag och dataskyddsbyråer.

Som ett resultat identifierade Microsoft Threat Intelligence Center den nya skadliga programvaran när den började dyka upp på ukrainska nätverk. Den tidiga varningen gjorde det möjligt för Microsoft att distribuera en patch runt om i världen för att förhindra att servrarna raderas av denna skadliga programvara.

Säkerhetskopiera data

Ransomware-attacker riktar sig redan ofta till offentliga och privata organisationer i USA. Hackarna låser ut användare från en institutions datanätverk och kräver betalning för att få tillbaka tillgång till dem.

Wiper malware som används i de ryska cyberattackerna mot Ukraina fungerar på liknande sätt som ransomware. Pseudo ransomware-attacker förstör dock permanent en institutions tillgång till dess data.

Säkerhetskopiering av kritisk data är ett viktigt steg för att minska effekten av wiper- eller ransomware-attacker. Vissa privata organisationer har till och med börjat lagra data på två separata molnbaserade system. Detta minskar chansen att attacker skulle kunna beröva en organisation den data den behöver för att fortsätta fungera.

Övningar och samarbete

Den sista uppsättningen av Neubergers rekommendationer är att kontinuerligt genomföra cybersäkerhetsövningar samtidigt som man upprätthåller samarbetsrelationer med federala cyberförsvarsbyråer. Under månaderna fram till Rysslands invasion gynnades ukrainska organisationer av att arbeta nära med amerikanska myndigheter för att stärka cybersäkerheten för kritisk infrastruktur. Byråerna hjälpte till att skanna ukrainska nätverk efter skadlig programvara och stödde penetrationstester som använder hackerverktyg för att leta efter sårbarheter som kan ge hackare tillgång till deras system.

Små och stora organisationer i USA som är oroade över cyberattacker bör söka en stark relation med ett brett spektrum av federala myndigheter som ansvarar för cybersäkerhet. De senaste reglerna kräver att företag lämnar ut information om cyberattacker till sina nätverk. Men organisationer bör vända sig till cybersäkerhetsmyndigheter innan de upplever en cyberattack.

Amerikanska myndigheter erbjuder bästa praxis för att utbilda personal, inklusive användning av bordsövningar och simulerade attackövningar. Som ukrainare har lärt sig kan morgondagens cyberattacker bara motverkas genom att förbereda sig idag.