Zbudowali sztuczne miasto dla FBI. Tak szkolą się specjalistyczne zespoły

Na początku czerwca FBI udostępniło wgląd w Kinetic Cyber Range – wiernie odwzorowane, o powierzchni ponad 2 tys. m² miasteczko szkoleniowe w Huntsville (Alabama), gdzie kursanci uczą się prowadzić cyberśledztwa w warunkach maksymalnie zbliżonych do rzeczywistości.

Od otwarcia w lutym 2025 r. w placówce przeszkolono ponad 1400 osób(pracowników FBI i partnerów z innych agencji).

W środku zamiast klasycznej sali komputerowej znajdują się domy, pokoje hotelowe, szpital, stacja benzynowa, firma energetyczna, pojazdy, sieci firmowe, urządzenia IoT i centrum danych z setkami serwerów – a każde z nich wyposażone w działające systemy, sieci i urządzenia.

„To najbardziej realistyczne warunki, jakie można stworzyć, zanim kursanci trafią do prawdziwych działań w terenie. (…) Systemy, które działają w tych obiektach, są równie realne jak fasady widoczne z zewnątrz. Gdy uczestnicy zaczną analizować sieć, zobaczą Active Directory, pocztę elektroniczną, firewalle – wszystko, czego można się spodziewać w tego typu środowisku” – mówi Dave Beachboard, kierownik Kinetic Cyber Range FBI.

Cyberpoligon ma tworzyć możliwie jak najbardziej realistyczne warunki śledztwa, gdzie kursanci łączą wiedzę techniczną z kompetencjami interpersonalnymi. W ramach ćwiczeń muszą zarówno umieć analizować cyfrowe dowody, jak i rozmawiać z pokrzywdzonymi, zadawać trafne pytania i działać w kontekście realnego incydentu, a nie abstrakcyjnego ćwiczenia.

„Na razie to tylko ćwiczenia”

Kinetic Cyber Range opiera się na scenariuszach rozgrywanych w czasie rzeczywistym. Uczestnicy muszą podejmować decyzje na miejscu zdarzenia, ustalać priorytety, zakres działań zabezpieczać potencjalne dowody i współpracować z osobami, które odgrywają określone w scenariuszu role (pokrzywdzonych, administratorów, prawników itp).

Cyber to nie tylko technologia. (...) To także ćwiczenie umiejętności miękkich, radzenia sobie z ludźmi.
Stephanie Cassioppi, Wydział Cybernetyczny FBI

W ćwiczeniach, oprócz technicznej strony incydentu, kursanci mierzą się także z jego organizacyjnymi i ludzkimi konsekwencjami.

Na przykład, gdy sprawa dotyczy działającej firmy lub instytucji, śledczy muszą zdobyć zaufanie rozmówców i przeprwadzać działania tak, aby nie zakłócać ich pracy bardziej, niż jest to konieczne. Gdy dotyczy ataku ransomware na szpital, kursanci mają reagować tak jakby opieka nad pacjentami była faktycznie zagrożona. 

Scenariusze są celowo projektowane tak, by wymuszać działanie pod presją. W takich warunkach uczestnicy mają śledzić cyfrowe ślady, ustalać źródło włamania i analizować sposób rozprzestrzeniania się ataku, reagując równocześnie na emocje, chaos informacyjny i ograniczenia czasu. Czasami mają także współpracować z zagraniczną jurysdykcją czy służbami.

Błąd jako część szkolenia

Kinetic Cyber Range ma dać kursantom możliwość przećwiczenia reakcji, zanim trafią do prawdziwych spraw. FBI zakłada, że lepiej popełnić błąd podczas szkolenia niż w realnym śledztwie. Dlatego pomyłki mają być traktowane jako część nauki – instruktorzy mogą od razu pokazać, co poszło nie tak i jak uniknąć tego w terenie.

Chcemy, żeby popełniali błędy na Kinetic Cyber Range. To okazja do nauki. (Możemy im wtedy powiedzieć - red.): "Tego nie chcecie robić, kiedy wyjdziecie do prawdziwego świata".
Stephanie Cassioppi, Wydział Cybernetyczny FBI

Dlatego też, scenariusze powstają na bazie wcześniejszych spraw i zmieniają się wraz z technologią oraz metodami działania cyberprzestępców.

Od sali szkoleniowej do miejsca zdarzenia

Ośrodek powstał jako odpowiedź na zmianę charakteru cyberśledztw. FBI uznało, że tradycyjne szkolenia prowadzone przy biurku nie wystarczają, bo w realnych sprawach analiza techniczna coraz częściej łączy się z działaniem w terenie, kontaktem z pokrzywdzonymi i współpracą różnych zespołów.

Ideą ośrodka jest więc przeniesienie kursantów z teorii do warunków możliwie najbliższych rzeczywistości, tak, aby mogli przećwiczyć cały proces reagowania na incydent – od wejścia na miejsce zdarzenia po odtworzenie przebiegu incydentu.