22 oktober 2024
FOI Totalförsvarets forskningsinstitut

Attacker blottar brister i rysk cyber­säkerhet

Den dag Ryssland inledde sitt storskaliga anfallskrig mot Ukraina utsattes landets it-nätverk för omfattande cyberattacker. Trots att Ryssland av många rankades som en stark cybermakt visade sig cyberförsvaret oväntat sårbart enligt forskare på FOI.

Rysslands prioritering av ”kognitiv säkerhet” med fokus på att kontrollera den egna befolkningen och informationsflödet har påverkat landets förmåga att försvara sig mot cyberangrepp, enligt Carolina Vendil Pallin, forskningsledare på FOI och författare till rapporten Rysslands cyberberedskap på hemmaplan.

–Hur man påverkar med ord hamnar ofta i centrum och man vill kunna styra vilken information som befolkningen har tillgång till. I den ryska debatten tenderar de här aspekterna, den kognitiva säkerheten, att ta det mesta av utrymmet medan teknisk informationssäkerhet får mindre uppmärksamhet, säger hon.

FSB styr informationsflödet

FSB, Rysslands säkerhetstjänst, är den centrala aktören när det gäller att övervaka befolkningen.

–När Federationsrådet (överhuset i Rysslands parlament) försökte ta fram en cybersäkerhetsstrategi drygt tio år tidigare blev man slagen på fingrarna av FSB. De vill alltid att cybersäkerhet ska behandlas som en del av det större begreppet informationssäkerhet i officiella dokument, säger Carolina Vendil Pallin.

Det skedde en våg av cyberattacker mot Ryssland efter att den fullskaliga invasionen av Ukraina i februari 2022. Attacker som Ryssland verkade märkligt oförberedda inför.

–Ryssland har eventuellt inte reflekterat på allvar över att det vapen som man själva har använt kunde vändas mot dem, säger Carolina Vendil Pallin.

Cyberförmågan har överskattats

Rapporten lyfter också att både Ryssland och västvärlden troligen har överskattat den ryska cybersäkerheten. Både på grund av att Ryssland undviker att rapportera om brister i sin cyberförmåga och att landet ofta håller fast vid retoriken om att bygga ett ”suveränt internet”. En vision som dock inte speglar verkligheten.

– Samtidigt drar sig tjänstemän i auktoritära system för att komma med dåliga nyheter, så alla hjälps åt att upprätthålla bilden om Rysslands suveräna internet. Det kan också ligga i Rysslands intresse att hålla tyst om verkligt framgångsrika och avancerade cyberattacker, till exempel sådana som skulle kunna komma från USA, som är i en klass för sig när det gäller cybersäkerhet, säger Carolina Vendil Pallin.

Ett annat problem för Ryssland är att man till stor del har varit beroende av västerländska programvaror och säkerhetslösningar, som man inte längre har tillgång till. Samtidigt så råder det stor brist på kompetens inom it-området, eftersom många som arbetade inom den sektorn har lämnat landet sedan krigsutbrottet.

Hackaktivister genomför angrepp

Det är svårt att exakt spåra varifrån cyberattackerna mot Ryssland kommer, men det handlar troligen om Ukraina, hackaktivister och kriminella nätverk. I de senare ingick inte sällan hackare från olika före detta sovjetiska republiker. De tolererades tidigare av ryska myndigheter, eftersom de inte attackerade ryska mål. Denna kriminella borgfred bröts också den 24 februari 2022.

Samtidigt är Kina och Nordkorea är kända för att bedriva cyberspionage gentemot respektive utföra cyberattacker för att stjäla pengar av sin samarbetspartner, Ryssland.

–Ukraina är väldigt bra på cybersäkerhet. Ryska företag och myndigheter har dessutom lagt ut mycket av cybersäkerheten på konsulter, bland annat på Cypern, som i sin tur anlitar underleverantörer, varav många kom från Ukraina, säger Carolina Vendil Pallin och tillägger:

–En intressant attack var den på Rutube (Rysslands försök att bygga en konkurrerande lösning till Youtube) eftersom det verkar som om hackarna hade tillgång till källkoden. Det tyder på att angriparna varit med och utvecklat själva källkoden.

Känsliga koder finns på Darknet

För Sveriges del finns det flera lärdomar att dra från Rysslands erfarenheter. Trots stora investeringar i cybersäkerhet finns en risk att beroendet av underleverantörer skapar sårbarheter, särskilt när dessa underleverantörer själva tar in extern arbetskraft.

– En viktig lärdom är att säkerställa vilka leverantörer man anlitar och att man har koll på hela leverantörskedjan. Något annat som är oroande är de kriminella nätverken och tillgången på känsliga koder som finns att köpa på Darknet. Cyberkriminalitet känner dessutom inga gränser, säger Carolina Vendil Pallin.

Lär av tidigare misstag

Nu arbetar Ryssland för fullt med att lära av sina tidigare misstag, både vad gäller beroendet av väst och luckorna i cybersäkerheten.

–Precis som i skyttegravarna gör Ryssland det man måste. De håller på med importsubstituion (att ersätta västerländsk programvara och brandväggar) med ryska och kinesiska produkter, trots en skepsis inom FSB mot Kina. Man försöker även få tillbaka it-expertis. Det är ofta svårt för ryssar att få jobb utomlands eftersom de betraktas som en säkerhetsrisk, men de kan även vara misstänkliggjorda inne i Ryssland när de återvänder, säger Carolina Vendil Pallin.

Läs rapporten

Rysslands cyberberedskap på hemmaplan

Läs mer

Telefon +46 73 3713838
E-post maria.hugosson@foi.se