Cyber Crisis Chess Board for Strategic and Tactical Level of Organizations

Abstract

En rekke alvorlige dataangrep i de senere år har gang på gang vist hvor avhengig vi som samfunn er av digitale løsninger, og hvor sårbare vi som samfunn er, skulle disse bli satt ut av spill. Ved bortfall av digitale løsninger som følge av dataangrep, vil det kunne oppstå vanskelige situasjoner, der ulike prioriteringer og behov står opp mot hverandre, noe virksomheter er nødt til å være forberedt på og trent for å kunne håndtere på en best mulig måte. Virksomheter er nødt til å ha de nødvendige verktøy, ferdigheter, og trening for å lykkes i å minimere skaden av dataangrep.

Effektiv tilgang til informasjon for beslutningstakere underveis i håndteringen av dataangrep er nødvendig for å lykkes, og informasjonsflyten er essensiell for å respondere til dataangrep på en god måte. I dette forskningsprosjektet har vi undersøkt hvordan "operasjonell data" kan oversettes til strategisk innsikt, gjennom utviklingen av et nytt verktøy, et “Cyber Crisis Chess Board”, der denne informasjonen kan presenteres, analyseres, og videre bli benyttet som beslutningsgrunnlag. Et slikt verktøy kan brukes i fullskala cyberøvelser for å trene virksomheter i håndtering av cyberhendelser.

Verktøyet har blitt evaluert i et anvendt eksperiment på Norwegian Cyber Range, der tilbakemeldinger fra deltakere, så vel som fra teknologimiljøet i Norge, er innhentet. Resultatene fra evalueringen var blandet, deler av tilbakemeldingene uttrykte en viss usikkerhet vedrørende den antatte nytten av å bruke verktøyet for læring. Andre tilbakemeldinger var meget positive, der virksomheter ønsket å ta i bruk et slikt verktøy i sine egne treningsprogram. Alt i alt endte forskningsprosjektet opp med et konseptbevis som har blitt validert i en cyberøvelse, noe som gir et godt utgangspunkt for ytterligere forskning innen organisatorisk håndtering av cyberkriser.

In an increasingly interconnected world, the cyber threat is ever growing, as several high-profile attacks in recent years have shown. Complex cyber crises often demand difficult decisions, in which different priorities stand against each other, and such complex crises are happening, which organisations need to be prepared and trained for. Organisations need to be equipped with the right skillset, tools and training in order to succeed with cyber incident management, to reduce and mitigate the potential negative effects of cyber incidents.

We theorise that having access to information during an incident is essential for the people responding to it, and that information flow plays a critical role when responding to incidents in a successful manner. In this research project we have investigated how operational knowledge can be converted into strategic insight, through the creation of an artefact, a Cyber Crisis Chess Board, where this information can be displayed, analysed, and acted upon. Such a tool can be used to facilitate training for organisations in full-scale cyber exercises.

The developed artefact prototype has been evaluated in an applied experiment at the Norwegian Cyber Range (NCR), consisting of qualitative feedback from participants, as well as input from tech-clusters in Norway. The results of the evaluation were diverse, some feedback expressing a degree of scepticism about the perceived usefulness of the tool for training purposes. However, there were also instances of highly positive feedback, with organisations expressing immediate interest in incorporating the tool into their own training programs. Overall the research resulted in a proof of concept which is validated in an actual exercise which is a good starting point for conducting further research in organisational cyber crisis management.

Keywords: Cyber Incident Management, Incident Response, MITRE ATT&CK, Cyber Crisis, Full-scale Cyber Exercises