Cybersecurity Platform for Assessment and Training for Critical Infrastructures – Legacy to Digital Twin

Målet med CybWin-prosjektet har vært å utvikle en cybersikkerhetsplattform med fysiske, replikerte og simulerte komponenter i ekte/virkelig kritisk infrastruktur, utstyrt med verktøy for RAMS (pålitelighet, tilgjengelighet, vedlikehold, sikkerhet) vurdering, sårbarhetsvurdering, angrepssimulering, hendelsesforutsigelse og respons. CybWin har fokusert på cybersecurity for følgende industrier: energiproduksjon, energidistribusjon og lufttrafikktjeneste. Prosjektet har gitt akademia og industri en unik mulighet til å adressere reelle cybersikkerhets-utfordringer på ekte, full-skala systemer. For akademia har dette medført at man har fått tilgang til ekte systemer og data, og resultatet av forskningen har raskt kunne omsettes i praktiske, reelle resultater. For deltakende industri har prosjektet tilrettelagt for tilgang til ekspertise, samt støtte til å bedre forstå cyber-utfordringer på reelle systemer. Dette har igjen resultert nyttige data for bedre innsyn i og analyse av systemer, som igjen har medført direkte forbedringer av eksisterende systemer og prosedyrer. Tredjeparts system- og løsnings-leverandører har også fått relevante data og erfaringer fra prosjektet som igjen forbedrer deres produkter. CybWin har også samarbeidet med andre forskningsprosjekter og stilt infrastruktur og kunnskap til rådighet for andre forskningsprosjekter representert av CybWin medlemsorganisasjoner. Prosjektets deltakere har, i tillegg til 29 konferanseartikler og journaler, aktivt deltatt i workshops, foredrag, diskusjonsaktiviteter, og formidling i tidsskrifter og populærvitenskapelige media. CybWin har stilt med både case og akademisk støtte til både master og bachelor-studenter. I perioden 2020-2022 har CybWin arrangert den internasjonale workshopen EnCyCriS på International Conference for Software Engineering (ICSE) – workshopen har igjen medført 20 konferanseartikler innen cybersecurity av kritiske systemer. Prosjektet har hatt tilknyttet en PhD-kandidat og en PostDoc-stilling hos NTNU. PhD-arbeidet har medført et rammeverk for modellering av rammeverk for cybertrening. Rammeverket har gjennomgått flere runder med vurdering og forbedring og resultert i 3 konferanseartikler, 3 journaler og en workshop. PostDoc-stillingen, delt mellom to personer, resulterte i 2 artikler/journaler. Som eksempler på utført forskning nevnes: For å oppnå bedre forståelse for trussel-landskapet til kritiske infrastruktur, har CybWin foreslått en metodikk med seks prosesser for kvantitativ sårbarhetsvurdering av informasjonssikkerhet. Metoden er blitt anvendt på en kvantitativ sårbarhetsvurdering for den norske kritiske infrastrukturen er publisert. State-of-the-art og state-of-the-practice studier har blitt utført for å identifisere følgende: integrert risikomodell for RAMS og cybersikkerhet som kan brukes under raskt utviklende cyberhendelser; nøkkelkompetanse for cybersikkerhet i kritisk infrastruktur; menneskelig beredskap og opplæring for cybersikkerhet; simuleringsmodellering for prediksjon av cybersikkerhetshendelser. Disse studiene danner grunnlaget for å utvikle nye løsninger for system- og RAMS- og sikkerhetsmodellering, simuleringsmodeller for hendelsesrespons og rammer for menneskelig kompetanse, beredskap og opplæring i cybersikkerhet. Testsløyfer som representerer de ulike domenene er implementert i Institutt for Energiteknikks Cyber Security Centre, inneholdende maskinvare og programvare som muliggjør kontrollerte forskningseksperimenter på cybersecurity av kritiske infrastruktursystemer. I 2021 og 2022 ble testsløyfe for energidistribusjon utviklet og gjennomført forskning har adressert et sett med angrepsvektorer, identifisert den korresponderende systematferden, og kommet frem til passende hendelsesrespons, noe som resulterer i konkrete tiltak for å forbedre systemenes sikkerhetsnivå samt operatørrespons. I 2021 ble det innen flygekontrolltjeneste utført et cybersikkerhetseksperiment med fokus på flygeledernes evne til å identifisere systematferd under cyberforhold, noe som identifiserte et behov for kontrollertrening på akkurat dette. Arbeidet ble fulgt opp i 2022 hvor cybersecurity-scenarioer ble utviklet for Eurocontrol sitt simulatorsenter for flygeledere i Luxemburg. Et knippe flygeledere har gjennomført scenariene og resultatene fra dette er allerede inkludert i kursene Eurocontrol tilbyr medlemmer. Det er forventet ytterligere publiseringer fra både tekniske eksperimenter og fra eksperimenter med systemoperatører, i tillegg til lessons-learned publikasjoner. Flere prosjektmedlemmer har signalisert at de ønsker videre forskning på cybersecurity på henholdsvis systemer, prosedyrer og menneskelig adferd, og at enklavene CybWin etablerte i IFE’s cyber security center vil bli benyttet i videre arbeide. CybWin har bidratt til kunnskap og erfaring med stor verdi i forhold til blant annet EU-søknad på cybersecurity i Horizon-programmet i 2022 – og mot ulike initativer mot NFR-programmer i 2022 og 2023.

The CybWin project have established three a hardware-in-the-loop (HIL) enclaves in the IFE CyberSecurity Centre; namely the digital station (DS) (Statnett), ARTAS radar tracker and server (Eurocontrol), Safety fan (IFE). DS from Statnett is a representative of real world substations with Siemens substation equipment. ARTAS is a radar signal server providing air traffic controllers with a situation data display. The enclaves are of value as they provide realistic environments for cybersecurity research and testing. As example for DS, the laboratory has been used to gain insights and a deeper understanding of the cybersecurity challenges involved in the current SCADA communication over the IEC 104 protocol. It has also enabled Statnett to study the challenges related to introducing IEC 61850 process bus into substations. The project has established a collaborative effort that spans across asset owner, vendor, research and regulatory within power distribution. This collaborative effort will be expanded going forward to include more stakeholders from the power grid industry. Results have been elicited to Power grid stakeholders, especially distribution system operators (DSO) such as Elvia and production companies such as Statkraft, but also to other transmission system operators (TSO), especially the Swedish and Finish TSOs Svk and Fingrid. Cyberattacks have been performed on the ARTAS radar tracker system and two operational experiments on licensed air traffic controllers have been performed. The attacks on ARTAS provided an independent verification of the internal penetration test results. Operational simulator scenario created a starting point for the development of further scenarios that will be used for preparing ATCOs for ATC targeted cyber-attacks. Within nuclear the IFE safety fan setup enclave provided important insights on cyber behavior of operational technology and impacts to the control room and operator overview, as well as supporting improvement of procedures and ways of working bridging safety and security in operations. The HIL laboratory has a societal impact as it can be used to emulate cyber-attacks, emulate failure situations and other cybersecurity related incidents in CI in a controlled environment to allow for effective troubleshooting and safe development of response actions. The overall project setup entailing highly relevant stakeholders has provided a platform for close and secure collaboration across domains. PhD position at NTNU has produced a framework for developing cybersecurity training exercises, work based on systematic literature review, mapping and interviews of cybersecurity competencies and challenges in critical infrastructure companies – summarized in seven journals and papers. The PhD dissertation “Cybersecurity Training for Critical Infrastructure Protection” is defended Q1 2023.

CybWin addresses the call on Digital Vulnerabilities by developing knowledge of applicable digital vulnerabilities and threats to the Norwegian Critical Infrastructure (CI). The core deliverable of CybWin is a cybersecurity platform with physical, replicated and simulated components of real-world CIs, empowered with tools for RAMS (reliability, availability, maintainability, safety) assessment, vulnerability assessment, attack simulation, incident prediction and response. CybWin also emphasizes the role of humans in cybersecurity by looking into human preparedness and training. The annual reports from the Norwegian National Security Authority shows an increase in number and seriousness of the cyber-attacks. This requires well-trained Computer Emergency Response Teams who can assess the risk of a cyber-attack and respond with appropriate actions. To help these teams, there exist some testbeds for cybersecurity, but the testbeds are predominantly for academic purpose, or for industrial, national security or military purpose. The CybWin platform will be unique in Norway since it will (1) be a highly configurable test-bed with realistic depiction of real-world CIs and their threat environment, (2) use high-fidelity simulation technologies for cybersecurity- and RAMS- incident prediction and response, and (3) support assessments of human factors in cybersecurity incident process and operational safety. CybWin also aims to address the relevant cybe-security challenges and solutions in a larger-scale by aiming for EU projects. To this end, CybWin has three relevant international partners with industrial and academic experiences in CIs. Furthermore, this project is an amalgamation of earlier and ongoing joint efforts in cybersecurity by the project partners. The strength of CybWin is also that it includes owners of two Norwegian CIs, research institutes and universities working in relevant research fields, a cybersecurity solutions provider, and international partners.