Tio år av hotdata bakom ny AI som ska skydda kraftverk och vattenverk

När generella verktyg inte räcker

Det finns en grundläggande skillnad mellan att skydda ett kontorsnätverk och att skydda ett vattenverk. I ett kontorsnätverk handlar det om data. I ett vattenverk handlar det om fysiska processer – pumpar, ventiler, trycknivåer – där ett lyckat angrepp kan få konsekvenser långt utanför IT-systemet. Den distinktionen har länge gjort industriell cybersäkerhet till ett eget, svårt fält där generella säkerhetslösningar ofta faller platt.

Det är precis den luckan som Dragos nu siktar på att täppa till. Enligt SecurityWeek har företaget lanserat EmberAI, ett AI-system byggt specifikt för att skydda industriella styrsystem och driftsmiljöer – det som i branschen brukar kallas OT, eller operativ teknik.

Tio år av hotdata som grund

Det som direkt fångar mitt intresse som systemutvecklare är arkitekturen bakom EmberAI. Det här är inte ett generellt språkmodellsystem som råkat bli applicerat på ett nytt problem. Dragos har byggt systemet ovanpå sin egenutvecklade plattform Intelligence Fabric – ett dataunderlag som samlats in under ett decennium av aktiv hotspårning, sårbarhetsforskning och hantering av verkliga säkerhetsincidenter i industriella miljöer.

Det är en avgörande skillnad. Träningsdata och kunskapsbas är allt i ett AI-system som ska ge meningsfulla svar. Om underlaget är generellt, blir svaren generella. Om underlaget är djupt domänspecifikt – som i det här fallet, med tioårig specialiserad erfarenhet av just industriella hot – ökar chansen dramatiskt att systemet faktiskt tillför värde i skarpa lägen.

Naturligt språk möter komplex hotbild

I praktiken innebär EmberAI att en säkerhetsanalytiker kan ställa frågor på naturligt språk och få svar som väger samman information från flera källor samtidigt: hotunderrättelser, nätverksaktivitet, tillgångsdata och kända sårbarheter. Systemet anpassar dessutom svaren efter kundens specifika driftsmiljö.

Det låter enkelt, men är tekniskt sett rätt sofistikerat. Att kontextualisera ett potentiellt angrepp – att snabbt kunna svara på vem som troligtvis ligger bakom, vilket mönster de följer och vilka motåtgärder som är mest relevanta för just den här anläggningen – är precis den typ av syntes som tidigare krävt erfarna specialister med djup domänkunskap. Sådana specialister är det ont om.

Mänsklig kontroll och dataintegritet

Dragos betonar två saker som jag tycker är viktiga att lyfta fram, eftersom de ofta undervärderas i lanseringshypen kring AI-produkter.

För det första: människan behåller alltid kontrollen. Samtliga rekommendationer från systemet är transparenta och möjliga att granska i efterhand. Det är inte ett system som agerar autonomt – det är ett system som stöttar analytikern.

För det andra: EmberAI körs inom kundens egen miljö. Känslig verksamhetsdata lämnar aldrig organisationen. Det är inte en trivial detalj när vi pratar om kritisk infrastruktur. Föreställ dig vilka data som rör sig i nätverken runt ett kärnkraftverk eller ett regionalt elnät – de ska definitivt inte passera genom en extern molntjänst.

En sektor under press

Kontexten runt lanseringen är viktig. Hotbilden mot kritisk infrastruktur har eskalerat markant de senaste åren. Statliga angripare, organiserad cyberbrottslighet och hacktivister har alla riktat in sig på elnät, vattenförsörjning och tillverkningsindustri – med varierande men ibland alarmerande framgång. Traditionella säkerhetsverktyg, designade för IT-miljöer, hanterar sällan de äldre protokoll och proprietära system som är vanliga i industriella driftsmiljöer.

Det gör behovet av specialiserade lösningar som EmberAI genuint akut – inte som ett buzzword utan som ett reellt infrastrukturproblem.

Att konsult- och teknikjätten Accenture dessutom nyligen köpt in sig i Dragos för miljardbelopp signalerar att marknaden ser samma potential. Institutionellt kapital brukar ha näsan för var de riktiga problemen finns.