Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger.

Våren 2016 kommer jeg, sammen med Maria Bartnes og Poul Heegaard, til å undervise et nytt fag på NTNU som heter Sikkerhet og robusthet i IKT-systemer. Faget skal undervises for 2. klassinger på studieretningen sivilingeniør i Kommunikasjonsteknologi, og intensjonen er at studentene tidlig i studiet skal få en grunnleggende forståelse av hva som kreves for å konstruere systemer som er både sikre og robuste, slik at de ikke låser seg i en retning.

Kurset vil fokusere på informasjonssystem og kommunikasjonsnett som kritisk infrastruktur, og det vektlegges å vise hvordan kommunikasjonsnett er integrert med andre system, som for eksempel nettskyløsninger, sensornettverk og smartgrids. Studentene kommer til å få en innføring i sentrale begreper som informasjonssikkerhet, personvern, pålitelighet, trygghet (eng: safety) og ytelse, og en klassifisering av uønskede hendelser (trusler). Trusler inkluderer både menneskeskapte (både intensjonelle, inkompetanse, ignoranse, uhell, uoverskuelige), og tilfeldige og naturskapte (omgivelse/natur, vær, slitasje).

Det finnes en rekke mottiltak som kan brukes for å lage sikre og robuste systemet. I dette kurset vil man få en oversikt over virkemidler som er teknologiske (sikkerhetsmekanismer, feilunngåelse og feiltolerant design, målinger/overvåkning, standarder), organisatoriske (beredskap, rolleavklaring, kommunikasjon mellom operative enheter), og politiske, inklusive lover og regulativer. Kurset legger vekt på kvalitative vurderinger og vil gi innføring i metodikk som risikovurdering for å vurdere sannsynlighet og konsekvens av trusler, og anvendelse av grafteori for å visualisere effekten av feil og angrep i informasjonssystem og kommunikasjonsnett.

Høres dette interessant ut? Du kan lese mer om faget her.