Vinnova finansierar forskningsprojekt som ska minska falsklarm och stärka svensk industris cybersäkerhet

Med stöd av AI är projektets mål att hjälpa säkerhetsanalytiker att kommunicera snabbare för att se skillnad på verkliga cyberhot och falsklarm så att svenska industriföretag skyddas bättre, snabbare och till lägre kostnad.

SAVIOR har valts ut i tuff konkurrens där ett stort antal ansökningar bedömts av en expertpanel på Vinnova. En väl sammansatt aktörskonstellation bestående av både akademin, teknikaktörer och bolag med praktisk förankring har lyfts fram som avgörande för att projektet fick anslaget.

Enklare kvalificering och hantering av larm

Många Security Operations Centers (SOC) som övervakar kunders IT-miljöer dygnet runt får oftast in stora mängder larm, varav en stor del behöver valideras manuellt. Ofta innebär det att en analytiker behöver kontakta kunden för att avgöra om det handlar om en verklig incident eller ännu ett falsklarm. Det är ett arbete som både är tidskritiskt, kostsamt och svårt att skala.

“Mängden larm skapar en hög belastning på analytikerna där ett repetitivt arbete riskerar att leda till larmtrötthet och att verkliga hot blir svårare att upptäcka i tid”, menar Viktor Sjögren, cybersäkerhetsexpert på Dizparc.

Inom ramen för forskningsprojektet ska parterna utveckla en AI-lösning som hjälper SOC-team att snabbare avgöra vilka larm som faktiskt kräver kundkontakt. Målet är att ge stöd i själva valideringsdialogen, minska mängden manuellt arbete och automatiskt kunna ta fram tydliga incidentrapporter. Lösningen ska också lära sig kontinuerligt av varje hanterat fall, vilket på sikt kan bidra till färre falsklarm och bättre kvalitet i larmhanteringen redan från början.

Kontinuerlig feedback-loop för ökad kunskap

En viktig del av projektet handlar också om vad som händer efter att en incident har hanterats. Ambitionen är att ta fram AI-genererade lärdomar efter incidenterna som ger både kundens egna tekniker och SOC-analytiker en tydlig och begriplig sammanfattning av vad som hände, varför det hände och hur liknande incidenter kan undvikas framöver.

“Tanken är att göra kunskapen mer tillgänglig och mer användbar samt att anpassa den efter mottagarens roll och tekniska nivå. På så sätt hoppas vi kunna skapa en feedback-loop som successivt stärker både säkerhetsmedvetenheten och kvaliteten i framtida validering. En slags kontinuerligt lärande för teamet helt enkelt”, fortsätter Viktor Sjögren.

Skydd av kritiska delar av svensk industri

Förutom att projektet syftar till att skapa en mer effektiv och skalbar SOC samt ökad kunskap hos analytikerna finns också en tydlig samhällsnytta med som en komponent i satsningen. En snabbare och mer träffsäker incidenthantering kan minska risken för att cyberattacker påverkar produktion, leveranskedjor och andra kritiska delar av svensk industri.

“Vi tycker att det är spännande att delta som partner i ett projekt med potential att bidra till att göra kvalificerade säkerhetstjänster mer tillgängliga för små och medelstora företag, som ju ofta saknar möjlighet att bygga upp egna säkerhetsteam. När delar av arbetet kan automatiseras frigörs viktig tid för cybersäkerhetsexperter att istället lägga på sådant som verkligen kräver mänsklig bedömning och erfarenhet”, förklarar Adam Heivert Taylor, Sales Manager, Microsoft at TD SYNNEX.

Att projektet drivs som ett forskningsprojekt innebär också att kunskap och resultat kan komma fler till del. Ambitionen är att sprida lärdomarna från projektet vidare genom publikationer, riktlinjer och annan kunskapsdelning som stärker den nationella kompetensen inom tillämpad AI för cybersäkerhet.

“Genom att hjälpa människor att förstå vad som faktiskt hände i en incident, varför det hände och hur det kan undvikas nästa gång gör vi tekniken mer konkret, mer relevant och lättare att ta till sig även för personer som inte arbetar nära säkerhetsfrågor varje dag. För oss på Dizparc handlar vårt deltagande i projektet om att både vara med och utveckla nästa generations SOC-tjänster och att bidra till att göra cybersäkerhetsarbetet mer skalbart, tids- och kostnadseffektivt samt begripligt för fler”, avrundar Viktor Sjögren.