Informasjonssikkerhet for nettbransjen

Lille julaften 2015 svartnet det bokstavelig talt for mange ukrainere. Nærmere en kvart million var plutselig uten strøm, og mange fikk ikke strømmen tilbake på seks timer eller mer. Selv i et land hvor oppvarming hovedsakelig skjer med gass, er det ikke særlig trivelig å være strømløs midt på vinteren. Les hele innlegget

Temamøte om ikke-funksjonelle krav

Sammen med kolleger fra SINTEF arrangerte vi 26/9 et temamøte med det klingende navnet «Ikke-funksjonelle krav i smidige prosjekter» hos KnowIt i Oslo. Møtet hadde deltakere fra bedrifter som deltar i forskjellige forskningsprosjekter med SINTEF Digital i Trondheim, og fokuset var på sikkerhet (security), trygghet (safety) og skalerbarhet (scalability).
Les hele innlegget

Jeg flyr alene

En gang i tiden var det nødvendig med en rekke personer i cockpit på flyet når man skulle fly lengre distanser. På 1950 tallet var to piloter, en ingeniør, en navigatør og en radiooperatør normen på langdistanseflygninger. Den raske utviklingen av kommersiell radio, sammen med en internasjonal enighet om at all kommunikasjon skal skje på engelsk, gjorde raskt at radiooperatøren ble overflødig. Navigatøren forsvant på 60-tallet og med introduksjonen av den moderne jetmotoren på 80-tallet var det ikke lenger bruk for en ingeniør ombord til å justere motoren underveis.

Typical Civil Aviation Flight Deck Crew from the 1940s. Bilden kommer fra artikkelen «Cyber Safety and Security for Reduced Crew Operations» skrevet av Kevin Driscoll / Honeywell.

I dag er det fortsatt et absolutt krav om to piloter i cockpit for alle kommersielle jetfly som frakter passasjerer eller last. Men, helt i tråd med den økende digitaliseringen av vårt samfunn, er det igjen aktuelt å redusere besetningen: kanskje det er mulig å erstatte andrepiloten i cockpit med en løsning der førstepiloten isteden har støtte fra bakken? Les hele innlegget

Foredrag på hjemmebane

Foredraget mitt om hacking av pacemakere har etterhvert blitt veldig populært, og jeg har reist jorda rundt for å spre kunnskap om tematikken. Nå er det en stund siden jeg har holdt foredrag på hjemmebane, så da Dataforeningens lokale gruppe for Software Testing inviterte meg til å holde et foredrag i Trondheim grep jeg naturligvis sjansen!

Foredraget finner sted 21. September kl 18:00-19:30 på konferansesenteret Amfiet i Sparebank 1 SMN, Søndre gt. 4. Les mer om arrangementet her.

Arrangementet er gratis, men du må registrere deg for å delta, enten live eller via streaming.

Lenke for påmelding: https://testforum.hoopla.no/sales/dndmnsoftwaretesting

Opprinnelig skulle foredraget holdes på Work-Work, men på grunn av stor interesse ble det flyttet til større lokaler. Ryktene sier at billettene går unna i en rasende fart, så ikke nøl om du ønsker å sikre deg en plass!

Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg «hackere». Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

«Pasienten» overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som «prøvekaniner». Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Les hele innlegget

Starmus Cyber and Information Security Day

Starmus-festivalen arrangeres i Trondheim i uke 25 med. Tirsdag 20. juni er NTNU vertskap for et tematisk seminar om forskning og utdanning innen cyber- og informasjonssikkerhet på Gløshaugen. Programmet starter kl. 09.00 og inngang er helt gratis. Fra SINTEF deltar forskningsleder Marie Moe med innlegg om forskning på sikkerhet i medisinsk utstyr. I tillegg deltar Erlend Andreas Gjære i en paneldebatt om gamification i samband med informasjonssikkerhetsopplæring.

Les hele innlegget

STOP-IT – sikkerhet i vannbransjen

1. juni startet H2020-prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats).

Dette er en såkalt Innovation Action i H2020-programmet Secure Societies, og skal sette sammen både eksisterende prototyper og nyere teknologi, prosedyrer og metoder for å sikre driftskontrollsystemer i europeiske vannverk. Fokuset er både på fysiske trusler og cyber; vi skal bidra primært mot sistnevnte.

Prosjektet har 22 partnere fra Europa og Israel, og ledes av Rita Ugarelli fra SINTEF Byggforsk med bidrag fra SINTEF Digital og SINTEF Teknologi og samfunn. Oslo VAV, Bergen kommune og Mnemonic deltar som norske partnere, og i tillegg så bidrar Powel og bransjeorganisasjonen Norsk Vann i en rådgivende funksjon.

Følg prosjektets hjemmeside http://stop-it-project.eu/ for oppdateringer i de kommende ukene!

When the going gets tough, the tough go to the pub

Vi innleder juni med en Hacker’s Pub i samarbeid med Dataforeningen på Work-Work. Temaet er «Mobile applications and security», og vi fører an med innlegget «Static Analysis Tools for analysing Security in Mobile Applications», presentert av vår post doc. Tosin Oyetoyan og gjesteforsker Marcos Chaim fra Brasil.

Les hele innlegget

Også hackere tar lunsjpause

Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.

Les hele innlegget

7 trykkpunkter for programvaresikkerhet

figProgramvaresikkerhet er nødvendig for all programvare! Imidlertid må vi innse at sannsynligheten er liten for at alle utviklere skal hive seg på alle de 113 aktivitetene i BSIMM på en gang. Hvor kan man da begynne? Gary McGraw lanserte for over 10 år siden en samling med god praksis for programvaresikkerhet som kanskje kan være et godt utgangspunkt.

Les hele innlegget

Vil du ha gratis penger?

Fullt så enkelt er det ikke, men det europeiske forskningsprogrammet Horizon2020 utlyser forskningsmidler for millioner av Euro i høst, og det er gode muligheter for norske små og mellomstore virksomheter. Fredag 24/3 arrangerer vi en idé-workshop spesielt rettet mot høstens utlysning relatert til beskyttelse av kritisk infrastruktur innenfor områdene Finans, Kommunikasjon og Helse.

Les hele innlegget

Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Les hele innlegget

Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak

«For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.» Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.

Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.

SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.

Les hele innlegget