Undersøkelse rundt maritim kommunikasjonssikkerhet

Containerskip i havn blir lastet/lossetI forbindelse med prosjektet Cyber Security in Merchant Shipping (CySiMS), gjennomføres det nå en spørreundersøkelse for å kartlegge effekten av sikkerhetsproblemer i maritime operasjoner. Resultatet skal brukes til å lage et rammeverk og verktøy for å støtte den maritime industri i gjennomføring av risikoanalyser med fokus på sikkerhet (security).

Les hele innlegget

Sløyfer og slips i ROS analyser

De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.

Les hele innlegget

IT-sikkerhet og folks følelser

De 16 persontypene vi må ta hensyn til. Illustrasjon: Knut Gangåssæter / SINTEF

Folks følelser må hensyntas til om vi vil stimulere til sikker praksis. Illustrasjon: Knut Gangåssæter / SINTEF

Dagens Næringsliv trykket lørdag 29. oktober en kronikk skrevet av undertegnede sammen med IT-sikkerhetsleder i SINTEF, Maria Bartnes. Med DNs tillatelse har forskningsmagasinet Gemini gjort artikkelen åpent tilgjengelig. Her presenterer vi en studie som viser hvilken betydning det har å ta hensyn til folks følelser når man arbeider med den menneskelige siden av sikkerhetsarbeidet.

Digi.no har videre publisert vår oppfølger til DN-kronikken, der vi går nærmere inn på hvordan bedrifter kan gjøre de ansatte mer mottakelige for IT-sikkerhetsopplæring.

Les hele innlegget

Husk å tenke på informasjonssikkerhet når du «sourcer»!

shoppingPå lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.

Les hele innlegget

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Les hele innlegget

En ny aktivitet i BSIMM7

docker

Cigital feirer (inter)nasjonal sikkerhetsmåned med å slippe en ny versjon av BSIMM-studien – versjon 7!

Denne utgaven har med data fra 95 forskjellige virksomheter, og totalt 237 forskjellige målinger. Nytt av året er aktiviteten  [SE3.4] «Use application containers» (som vi kan oversette til «Bruk applikasjonscontainere» – f.eks. Docker). Det er tydelig at BSIMM ønsker å ligge litt i forkant her, ettersom det er ingen av de undersøkte virksomhetene som så langt rapporterer at de gjør denne aktiviteten.

Les hele innlegget

Nettverksmøte 28. september om sikkerhetsopplæring og GDPR

opplaeringDataforeningen Trøndelags faggruppe for informasjonssikkerhet inviterer til faglig påfyll og mingling onsdag 28. september fra kl.1530 til kl.18, på DIGS i Trondheim. SINTEF bidrar med erfaringer fra internt sikkerhetsarbeid koblet med forskningsbasert kunnskap om hva som gjør folk mottakelig for opplæring. Datatilsynet forteller om nye personvernregler. Gratis deltakelse, enkel servering.

Les hele innlegget

Sikkerhetsforskning og aksjespekulasjon

STJ aksjepris

Aksjekursen til St. Jude Medical falt brått på børsen da Muddy Waters og MedSec publiserte sin rapport om sårbarheter i pacemakere.

Hva har dette til felles, kan man kanskje spørre seg? Kanskje ikke helt opplagt om du ikke har fått med deg nyheten om at sikkerhetsforskere slo seg sammen med børsspekulanter og profiterte på aksjehandel i forbindelse med at de publiserte en rapport om sårbarheter i pacemakere.

Les hele innlegget

Blackbox in the cloud

Skjellet av et styrtet fly

De senere årene har flere fly styrtet og man har i ettertid hatt lange leteaksjoner etter de svarte boksene for å kunne gi pårørende og verden svar på hva som har skjedd. Dette har medført at flere har tatt til orde for at de svarte boksene burde strømmes ut i skyen. Senest i starten av juni ville NRK vite mer om muligheten for dette fra våre kollegaer Martin Gilje Jaatun og Ivonne Herrera.

Her skal vi ta en kikk på hva disse berømte svarte boksene er for noe, mulighetene som åpner seg om vi legger disse i skyen og selvsagt også noen tuer langs veien (de kan som kjent velte store lass).

Les hele innlegget

Arkitekturanalyse som risikosport

architecturalriskArkitekturanalyse (Architectural risk analysis) er en av de viktigste programvaresikkerhetsaktivitetene man kan gjøre – Gary McGraw har uttalt at hvis du bare kan gjøre én ting, bør du satse på arkitekturanalyse.

Imidlertid er det et begrep som mange har vanskeligheter med å få fatt på. Navnet er i seg selv en utfordring – på norsk skulle det kanskje ha vært «arkitektonisk risikoanalyse», men det ble nesten for meget av det gode. I denne artikkelen skal vi gjøre et forsøk på å gi et litt klarere bilde av hva vi legger i begrepet.

Les hele innlegget

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o

(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

Les hele innlegget

«Accountability» i nettskyen – tilbakeblikk og fremtid

a4cloudlogoAlle nordmenns gode venn Winston Churchill sa en gang «… this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.» I samme situasjonen befinner vi oss når det gjelder accountability i nettskyen. Prosjektet A4Cloud – Accountability for Cloud and other Future Internet Services, som vi har omtalt her på bloggen tidligere, er avsluttet, men stadig gjenstår det arbeid i både industri og forskning før vi kan påberope oss accountability i enhver nettsky.

Les hele innlegget

Protection Poker: Spill deg til bedre programvaresikkerhet!

bilde_pp-kort_mindreProf. Laurie Williams og hennes gruppe ved North Carolina State University har utviklet en enkel, rask og engasjerende måte å vurdere risiko på spesielt for smidige utviklingsteam: Protection Poker! I dette innlegget vil vi fortelle hvordan man kan starte å spille Protection Poker, samt noe om bakgrunnen for spillet og hvilke erfaringer som ble gjort da Laurie og hennes team testet spillet i Red Hat IT.

Les hele innlegget

Risikovurdering eller sjekkliste – hva er best?

Lisence Creative Commons Attribution 2.0 Generic , Michael Coté (flickr)

Creative Commons Attribution 2.0 Generic , Michael Coté (flickr)

Samme hvor gjerne vi måtte ønske oss sikre systemer, så er det i praksis umulig å forhindre alle sikkerhetsfeil. Man har begrenset med tid, penger og ekspertise, og man trenger systemer som er enkle å bruke og vedlikeholde. Spørsmålet man da trenger svar på er hvor mye sikkerhet man skal ha, og hvor man skal satse de sikkerhetsressursene man har.

Det finnes generelt to hovedtilnærminger til å bestemme hvilket nivå man skal legge seg på angående sikkerhet, og hvilke tiltak man skal prioritere:

  • en risiko-basert tilnærming
  • overholdelse av regler og god praksis (compliance)

Disse er ikke i direkte motsetning. Som eksempel så vil man gjerne ta hensyn til regler og god praksis i vurdering av risiko, og god praksis innebærer gjerne at man har oversikt over risiko. Men hvilken av disse hovedtilnærmingene man vektlegger sterkest påvirker hvordan man jobber med sikkerhet, og de har begge sine fordeler og ulemper. Kort sagt så vil en risiko-basert tilnærming være bedre for å oppnå kostnadseffektiv sikkerhet, men det krever mer kompetanse enn om man går for sjekkliste-versjonen av sikkerhet. Vi vil nå forklare dette nærmere.

Les hele innlegget

Noen ferske eksempler på SMiShing

frontpicBegrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden. Les hele innlegget