Hoe visualiseer je een cyberaanval in een militair commandocentrum?
Binnen de NATO-organisatie ontwikkelen diverse R&D instellingen technologie en standaarden om als bondgenoten gezamenlijk en effectief op te kunnen treden. NATO maakt ook gebruik van niet-militaire instituten die met hun kennis uit het IT-domein bijdragen aan de innovatie van de bondgenootschappelijke capaciteiten. Recentelijk heeft een team van Capgemini-experts een analyse uitgevoerd naar de wijze waarop cyberinformatie in een militaire commandocentrum gepresenteerd en gedeeld kan worden. Dit artikel is een bewerking van het onderzoeksrapport en is tot stand gekomen door de succesvolle samenwerking van de onderzoeksleider van NCIA, Manisha Parmar en de projectleider van Capgemini, Peter Kwant.
Het expertteam van Capgemini bestond verder uit Frits Broekema, Ton Slewe, Jack van ’t Wout, Bart van Riel en Manon Kornmann.
De samenwerking tussen NCIA en Capgemini werd mede mogelijk gemaakt door de begeleiding van ‘The Hague Security Delta’ (HSD) : https://www.thehaguesecuritydelta.com/
Van oudsher kennen het militaire land-, zee- en luchtdomein hun eigen ‘picture’. Op een hoger abstractieniveau worden die pictures geïntegreerd in het Common Operational Picture (COP). Nu het militaire cyberdomein zich razendsnel ontwikkelt, moet ook hiervan een picture samengesteld worden. Hoe dit picture ingevuld moet worden en hoe dit moet worden weergegeven, wordt in dit artikel verder verkend.
Deze visualisaties worden ‘Common Operational Pictures’ genoemd (‘COP’) en die ‘pictures’ worden live gedeeld met zijn collega commandanten in het operatiegebied zodat er een gezamenlijk en integraal beeld wordt gevormd. Op basis van dit COP en de gemeenschappelijke doctrines en tactieken kunnen de verschillende commandanten ieder op hun eigen niveau en binnen bevoegdheden operationele besluiten nemen. Een gedegen COP is dus van levensbelang om de operatie goed en effectief uit te voeren.
Naast de pictures van het land-, zee- en luchtdomein heeft de commandant nu ook behoefte aan een cyberpicture. Maar welke informatie stop je hierin? En hoe geef je dat op een militair operationeel zinvolle wijze weer? Hoe communiceer je dit plaatje met de andere commandanten? En de vervolgvraag: hoe integreer je dit cyberpicture met de pictures van land, zee en lucht?
Het NATO Communications and Information Agency (NCIA) doet al langere tijd onderzoek naar dit complexe vraagstuk. De NCIA heeft in 2019 aan Capgemini gevraagd om met de actuele inzichten vanuit de civiele en militaire wereld een analyse uit te voeren op dit specifieke vraagstuk.
Wicked problem
In een militaire operatie werken veel verschillende partijen samen, elk met eigen economische, politieke en culturele achtergronden. Dat zijn vaak NATO bondgenoten maar dat kunnen ook ad hoc coalitiepartners van allerlei soort zijn. In deze soms zeer complexe coalities moet technische cyberinformatie kunnen worden uitgewisseld om cyber-gerelateerde aanvallen te detecteren, er op te reageren of juist te voorkomen.
In de door Capgemini uitgevoerde analyse is onderzocht welke informatiestandaarden en applicaties er op de markt beschikbaar zijn, om die uitwisseling van informatie mogelijk te maken. Bovendien is onderzocht in welke mate deze voldoen aan de eisen die in het militaire cyberdomein worden gesteld. Hieruit is geconcludeerd dat er een breed aanbod van producten op de markt beschikbaar is, met een grote variatie aan (on)mogelijkheden voor informatie-uitwisseling. Afhankelijk van de gevraagde interoperabiliteit met reeds in gebruik zijnde systemen en informatie-uitwisselingstandaarden en afhankelijk van de gewenste workflow kan een geschikte keuze worden gemaakt. Hierbij is de ‘Use Case Analysis methodology’, uitgewerkt waarmee NATO de productselectie gestructureerd kan uitvoeren en eventuele hiaten met eigen ontwikkeling kan overbruggen.
Information requirements
Naast duidelijkheid over hoe operationele cyberdata gedeeld kan worden, is er ook onderzocht welke cyberdata een commandant nodig heeft om het Recognized Cyber Picture (RCP) zo optimaal mogelijk te vullen. Het RCP vraagt om zinvolle gegevens over de digitale infrastructuur, over de missie van de operatie en gegevens afkomstig van inlichtingen. Alhoewel vele bondgenoten al bezig zijn met de ontwikkeling van dergelijke RCP-visualisaties, is er nog geen breed gedeeld overzicht van de gegevens die nodig zijn om een commandant in het operatiegebied optimaal te ondersteunen.
In de door Capgemini uitgevoerde analyse is een set van initiële information requirements opgesteld die van belang zijn voor de commandant. Uitgangspunt is dat de gepresenteerde informatie aansluit op de beschikbare beslissingsopties voor die commandant. Primair is een commandant vervolgens geïnteresseerd in gegevens die betrekking hebben op de beschikbaarheid van zijn eigen eenheden.
Verder heeft hij behoefte aan inzicht in de operationele situatie in zijn operatiegebied inclusief het cyberdomein. Hierbij gaat het natuurlijk voornamelijk om de capaciteit en de activiteit van de opponenten. Tenslotte heeft hij een visualisatie nodig die hem een zo breed mogelijk overzicht biedt van zijn eigen militair-tactische opties. Oftewel in spreektaal: hij wil weten wat er speelt, waarom dit speelt en een voorspelling over wat er waarschijnlijk gaat gebeuren.
De functionele eisen die voortvloeien uit deze informatiebehoefte is uitgewerkt in concrete informatie-elementen en hun onderlinge samenhang. Op basis van een operationele analyse is vervolgens geëvalueerd welke informatie relevant is voor de missiecommandant.
De belangrijkste conclusie uit deze analyse is dat een cyberpicture meer is dan een vooraf ingericht samenstel van gegevens. Want veel meer dan in het fysieke domein veranderen de technieken en tactieken in het operationele cyberdomein voortdurend. Om een duurzaam strategisch voordeel te halen en te houden moet een picture zich dus steeds aanpassen aan de omstandigheden. En daarvoor heb je een uitgebreid en breed samengesteld team van experts nodig, bestaande uit analisten, architecten en ontwikkelaars. Dit team moet dicht tegen de commandant aan zitten en in staat zijn om razendsnel nieuwe pictures te bouwen van de cybersituatie op dat moment. Maar ook het command-team zelf – de operators die de pictures uitlezen – moeten getraind worden om met deze voortdurende aangepaste pictures om te gaan. Er wordt dus veel gevraagd van de militaire staf en het backoffice. Zij moeten in staat zijn zich snel aan te passen aan de veranderende omstandigheden. Binnen en buiten defensie is er reeds veel ervaring met dergelijke adaptieve methodes. In het operationeel militaire domein worden deze methodes nu echter nog weinig toegepast.
Informatie-uitwisseling in een coalitie vraagt om een ‘Combat Cloud’
Militaire operaties vinden vrijwel altijd plaats in coalities. Soms met NATO-partners alleen, maar heel vaak ook met partners daarbuiten, waarbij het per partner kan verschillen welke gegevens wel en niet gedeeld kunnen worden. Ook cybergegevens moeten in dergelijke omgevingen snel en effectief uitgewisseld kunnen worden. De basis voor een dergelijke samenwerking is een minimaal kwaliteitsniveau van de Command & Control (C2) infrastructuur van de partners. Door NATO is een set met minimale kwaliteitseisen gedefinieerd voor de C2-infrastructuur van de partners. Deze eisen maken deel uit van het Federated Mission Network (FMN) programma waaraan inmiddels vele bondgenoten zich hebben gecommitteerd.
Het eerste doel van een militaire operatie is het bereiken van ‘superiority’ op land, zee en in de lucht. Als die superiority is bereikt kan vervolgens het uiteindelijke doel van de operatie worden gerealiseerd. Voorafgaand aan de superiority in de fysieke domeinen zal eerst ‘information superiority’ bereikt moeten worden. Met de uitvoering van het FMN-programma wordt invulling gegeven aan deze ambitie.
De gemeenschappelijke C2-omgeving is uiteindelijk nodig voor de ontwikkeling van een concept waarbij de data centraal staat (‘data-centric’). De infrastructuur moet het verwerken en analyseren van grote volumes data mogelijk maken; een ‘information highway’ dus. Een Virtual Data Warehouse biedt deze beschikbaarheid en toegang. Om een Virtual Data Warehouse ter ondersteuning van de collaborative C2 te creëren is effectieve en veilige militaire Cloud oplossing nodig: de ‘Combat Cloud’.
De Combat Cloud bestaat uit vier lagen: 1) een laag die de samenwerking en/of samenhang beschrijft tussen sensoren, effectoren en besluitvorming, 2) een functionaliteitslaag, 3) een data laag en 4) tot slot de infrastructuur laag.
Bevindingen vertaald naar architectuur: Recognized Cyber Picture architectuur
De resultaten van de voorgaande drie analyses zijn voor verdere analyses en implementatie toegankelijk gemaakt in een set architectuur views die aansluiten op het NATO Architecture Framework. Deze vormen daarmee het proof-of-concept voor de eerste iteraties van het Recognized Cyber Picture. Deze views zijn in een workshop met NATO-architectuur experts getoetst en met de feedback is een basis gecreëerd waar NATO verder invulling aan kan geven.
Tot slot
Het integraal gevisualiseerd overzicht van de alle relevante gegevens in een militair operatiegebied, waarbij de beschikbare beslissingsopties gelijktijdig toegankelijk zijn voor alle commandanten in het theater vormt een randvoorwaarde voor succesvolle militaire operaties is. Er is reeds veel ervaring met dergelijke presentaties in het militaire land-, zee- en luchtdomein. In het cyberdomein is die ervaring echter nog zeer beperkt, dit terwijl de cybercomponent in militaire operaties de afgelopen jaren juist enorm is ontwikkeld.
NCIA heeft met Capgemini een analyse uitgevoerd waarin actuele inzichten en technologie uit het civiele cyberdomein worden geprojecteerd op de behoefte van militaire commandanten. Deze resultaten worden nu door NCIA verwerkt in de verdere ontwikkeling van het Recognized Cyber Picture en zullen er uiteindelijk toe leiden dat toekomstige militaire commandanten gelijktijdig beslissingen kunnen nemen over de inzet van fysieke én digitale wapensystemen in hun operatiegebied.
