Hvordan står det til med programvaresikkerheten i norske offentlige virksomheter?

BSIMM3-logoPå oppdrag fra Difi har vi har fått 20 offentlige virksomheter til å fylle ut en egenerklæring om hvilke programvaresikkerhetsaktiviteter de utfører som en del av sine egne systemutviklingsprosesser.

Det offentlige gjennomfører en rekke digitaliseringsprosjekter, og utfører dermed mange aktiviteter knyttet til utvikling og anskaffelse av nye digitale løsninger. For at disse løsningene skal kunne håndtere de digitale sikkerhetstruslene, er det viktig at det jobbes systematisk med sikkerhet i utviklingsprosessen. Les hele innlegget

Sommerens vakreste eventyr

Påskeferien er knapt over, men her har du muligheten til din egen lille oase i hverdagen før neste skoleferie: CSA Norges sommerkonferanse (i år rebranded CSA Nordic Summit) går av stabelen 15. juni – hiv deg med!

Påmelding kan gjøres her: http://www.eventbrite.com/e/csa-nordic-summit-2015-tickets-15871141010

For mer informasjon om programmet, se her: https://csanorway.no/nordicsummit15/

I fortsettelsen av konferansen gir vi også som de første i Norge muligheten til å ta et ettdags kurs for kvalifisering til Certificate of Cloud Security Knowledge (CCSK) – se her for mer informasjon: https://csanorway.no/nordicsummit15/ccsk-training/

Falske basestasjoner – hvordan er det mulig?

radio-wireless-towerSikkerhetskonferansen 2015 arrangert av Nasjonal Sikkerhetsmyndighet holdt jeg et innlegg om hvordan det er mulig å opprette falske GSM basestasjoner og hvorfor ting fungerer slik de gjør. I dette blogginnlegget skal jeg kort innom historikken til GSM-standarden for mobiltelefoni, beskrive hvilke enheter som inngår i et GSM nettverk, og hva som skjer når du ringer i en mobiltelefon. Deretter blir det litt konkrete detaljer om falske basestasjoner, og noen betraktninger rundt hvilke valg vi tar når vi kommuniserer – hvordan vi forholder oss til sikkerhet kontra brukervennlighet. Les hele innlegget

Sikkerhet & sårbarhet 2015

stand-dndsos13Konferansen Sikkerhet & sårbarhet arrangeres 5.-6. mai i Trondheim. Denne gang blir SINTEF upåklagelig godt representert, med både tre faglige foredrag og som partner med stand. I følge arrangøren er dette møtestedet for alle som er opptatt av hva god informasjonssikkerhet kan bety for egen virksomhet. Det skulle vel med andre ord være gode muligheter for at vi sees her.

Les hele innlegget

Utfordringer ved IT-beredskapsøvelser

ill.: Movimento Italia

ill.: Movimento Italia

Beredskapsøvelser for IT-sikkerhetshendelser prioriteres altfor lavt i dag. Til dels skyldes dette trolig at selskapene ikke forstår hvordan de skal øve effektivt eller at de ikke opplever stor nok nytte av å øve. Derfor har vi studert hvilke utfordringer nettselskapene (kraftbransjen) møtte underveis i en øvelse for å komme fram til noen anbefalinger om hvordan de kan øve bedre og mer effektivt. Våre resultater er også viktige for at norsk næringsliv skal bli flinkere til å håndtere et trusselbilde som er i konstant endring.

Les hele innlegget

Dypdykk i BSIMM del 3 – Compliance & Policy

checklist«Security Policy» er et av mange ord som ikke har en fullgod norsk oversettelse, noe som medfører at mange bruker bastard-begrepet «sikkerhets-policy». Muligens kan man oversette det med «sikkerhetsinstrukser og strategi», men jeg er usikker på om det treffer helt (noen foreslo nettopp «sikkerhetsretningslinjer» – det er kanskje bedre).

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på «Compliance and Policy», som vi forsøksvis kunne oversette med «Etterlevelse av regler og retningslinjer».

Les hele innlegget

Litt statistikk om forskning på cybersecurity i Europa

Bilde fra eurosport.com

Bilde fra eurosport.com

Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin! Les hele innlegget

Med BSIMM på øret

Synes du det er vanskelig å få tak på hva BSIMM er for noe? Gary McGraw laget for noen år siden er serie podcaster hvor han intervjuet representanter fra et knippe virksomheter som hadde deltatt i den første BSIMM-studien. Hør hva ekspertene har å si, og bli venn med begreper som «SSG» og «the satellite»!

Les hele innlegget

Ukas filmanbefaling: Disconnect

Bilde fra imdb.com

Bilde fra imdb.com

Det finnes mange eksempler på filmer hvor informasjonssikkerhet er en sentral ingrediens, men realismen i dem ikke henger helt på greip. Heldigvis finnes det unntak. Jeg så nylig filmen Disconnect fra 2012, og fant den god, realistisk og tankevekkende. Teknologien som brukes i filmen er omtrent den samme som vi omgir oss med i dag, og menneskene er ordinære som folk flest – uten superkrefter eller andre spesielle talenter. Den blir heller ikke kjedelig av den grunn, og er en vekker for både barn og vokse som tilbringer litt eller mye tid online. Les hele innlegget

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund

Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen. Les hele innlegget

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Les hele innlegget

Du trenger en programvaresikkerhetsgruppe!

nuclear-forensicsI enhver organisasjon som utvikler programvare må det finnes noen som har ansvaret for programvaresikkerheten. I BSIMM-studien fant de at ALLE virksomhetene som ble undersøkt hadde en programvaresikkerhetsgruppe (software security group – SSG) – den kan være så liten som en person, men den må være der.

Les hele innlegget

IMSI-catchere, og andre ting man finner i rugen

sim-cardDen siste uka er det mange som som har uttalt seg harmdirrende om sporing og avlytting av GSM-trafikk via falske basestasjoner. Vi kjenner saken kun fra mediene, og kan ikke si så mye om hva som har skjedd eller ikke skjedd, men for oss fremstår det (på samme måte som for tidligere professor Svein Knapskog)  som noe av en storm i et vannglass.

Les hele innlegget

Årets julebok: Secure and Trustworthy Service Composition

aniketosbokJula er en tid da man kan sette seg i godstolen foran peisen, spise peppernøtter og kose seg med en god bok. Tips til sistnevnte er vår nylig utgitte bok om sikkerhet og tillit for tjenestekomposisjon – anbefalt julegave til både liten og stor!

Les hele innlegget

Del broderlig – også informasjon?

CSA-cloud-panel-nov-2014På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål.  Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.

Les hele innlegget