Protection Poker: Spill deg til bedre programvaresikkerhet!

bilde_pp-kort_mindreProf. Laurie Williams og hennes gruppe ved North Carolina State University har utviklet en enkel, rask og engasjerende måte å vurdere risiko på spesielt for smidige utviklingsteam: Protection Poker! I dette innlegget vil vi fortelle hvordan man kan starte å spille Protection Poker, samt noe om bakgrunnen for spillet og hvilke erfaringer som ble gjort da Laurie og hennes team testet spillet i Red Hat IT.

Risikovurdering eller sjekkliste – hva er best?

Lisence Creative Commons Attribution 2.0 Generic , Michael Coté (flickr)
Creative Commons Attribution 2.0 Generic , Michael Coté (flickr)

Samme hvor gjerne vi måtte ønske oss sikre systemer, så er det i praksis umulig å forhindre alle sikkerhetsfeil. Man har begrenset med tid, penger og ekspertise, og man trenger systemer som er enkle å bruke og vedlikeholde. Spørsmålet man da trenger svar på er hvor mye sikkerhet man skal ha, og hvor man skal satse de sikkerhetsressursene man har.

Det finnes generelt to hovedtilnærminger til å bestemme hvilket nivå man skal legge seg på angående sikkerhet, og hvilke tiltak man skal prioritere:

  • en risiko-basert tilnærming
  • overholdelse av regler og god praksis (compliance)

Disse er ikke i direkte motsetning. Som eksempel så vil man gjerne ta hensyn til regler og god praksis i vurdering av risiko, og god praksis innebærer gjerne at man har oversikt over risiko. Men hvilken av disse hovedtilnærmingene man vektlegger sterkest påvirker hvordan man jobber med sikkerhet, og de har begge sine fordeler og ulemper. Kort sagt så vil en risiko-basert tilnærming være bedre for å oppnå kostnadseffektiv sikkerhet, men det krever mer kompetanse enn om man går for sjekkliste-versjonen av sikkerhet. Vi vil nå forklare dette nærmere.

Er du cyber-forsikret? Vi ønsker å snakke med deg!

insecurancelogo_screen_resolutionVi forsker nemlig på cyberforsikring, og søker kontakt med virksomheter som har kjøpt cyberforsikring. I tillegg er vi veldig interessert i en liten prat med dere som vurderer eller har vurdert å kjøpe slik forsikring. Basert på utviklingen i andre land tror vi tematikken vil komme på agendaen hos mange bedrifter de kommende årene, og vi søker å bidra til at enda flere kan oppnå riktig sikkerhet for sin virksomhet – hvor cyberforsikring kanskje er ett tiltak.

Cyberforsikring – hva vet vi fra forskningen?

report-frontpageDet å kjøpe cyberforsikring er et mulig tiltak for å håndtere risiko i en virksomhet. Det kan imidlertid være krevende å vurdere cyberforsikring opp mot andre tiltak: Når bør man velge å forsikre, og når bør man heller gå for andre strategier? Vi har laget en rapport som oppsummerer forskningen på cyberforsikring som en risikohåndteringsstrategi.

Tilbake til røttene: Prinsipper for programvaresikkerhet

BuildingSecureSoftwareProgramvare blir stadig viktigere for alle deler av samfunnet, og det er økende bevissthet om at det er viktig med kvalitet og sikkerhet også i programvare. Sikkerhetsfeil i programvare er roten til mange av sikkerhetsutfordringene man opplever. Det har skjedd mye på programvaresikkerhetsområdet de siste årene, og det har dukket opp mange nye rammeverk og metoder man kan benytte for ulike deler av utviklingsprosessen. Det er bra. Samtidig kan det være nyttig også å se tilbake, for å gjenoppdage noe av det som har formet dette arbeidet og som har stått seg over flere år. I anledning av at vi i disse dager starter opp et nytt forskningsprosjekt innen programvaresikkerhet, gir vi en kort oversikt over 10 prinsipper for programvaresikkerhet, hentet fra en bok som har betydd mye for området, nemlig Viega og McGraws bok “Building Secure Software” fra 2001.

Invitasjon til nettverksmøte i Horisont 2020-Trøndelag

horizon2020En rekke trønderske aktører har, med støtte fra Forskningsrådet, etablert nettverket Horisont 2020-Trøndelag. Onsdag 10. juni arrangerer nettverket sitt første møte. Deltakelse på dette møtet er gratis og åpent for bedrifter, offentlige virksomheter og forskningsmiljøer.

Horisont 2020 er verdens største forsknings- og innovasjonsprogram. Her kan norske virksomheter delta på lik linje med andre virsksomheter i EU. Man kan få støtte til innovasjons- og forskningsaktiviteter, og dra nytte av samarbeid med andre europeiske aktører. Deltakelse i et EU-prosjekt kan gi verdifulle nettverk og tilgang til oppdatert kunnskap.

Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet

Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.

Informasjonssikkerhet – hvor trykker skoen?

Faktaark DifiSINTEF har, på oppdrag fra Difi, kartlagt behovet hos statsforvaltningen når det gjelder støtte til arbeidet med informasjonssikkerhet. Kartleggingen ble gjennomført ved hjelp av fokusgrupper der til sammen 18 virksomheter var representert. Gruppene diskuterte hvordan informasjonssikkerhetsarbeidet gjøres i dag, samt hvilke behov de ser framover. I tillegg ble det gjennomført en spørreundersøkelse knyttet til bruk av styringssystem for informasjonssikkerhet. Kartleggingen er ment som et grunnlag for Difi til å gjøre prioriteringer i deres arbeid.

Sikkerhetskultur? Vi har folk til slikt.

Det er nå ca. en måned siden den nasjonale sikkerhetsmåneden var over. Oktober var for mange en måned preget av mye engasjement og godt arbeid for å øke bevisstheten rundt informasjonssikkerhet. Det ble hengt opp plakater, delt ut effekter, invitert til foredrag, og mer til – og slik nådde man ut til mange! Dette er viktig arbeid – alt for viktig til å stoppe etter en måned!  Etter en litt intens periode kan det imidlertid være nyttig å stoppe opp litt og tenke gjennom hvordan man best kan ta arbeidet med sikkerhetskultur videre.

Det finnes mye forskning på sikkerhetskultur, men jeg har nå lyst til å trekke fram en ny studie som er gjort av noen britiske forskere. De har gjort fem intervjuer med informasjonssikkerhetsledere i store organisasjoner som anses som langt framme når det gjelder informasjonssikkerhet. På bakgrunn av det de har hørt i intervjuene har de noen betraktninger som kanskje kan provosere noen, men samtidig kan være nyttige å tenke gjennom – så kan man jo selv vurdere i hvilken grad man synes de har rett, og i hvilken grad det de sier stemmer med norske forhold.

God sikkerhetsmåned!

God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!

Risikovurderinger – hvordan kan vi gjøre dette bedre?

tu_kronikkJeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.

Smartgridkonferansen 2013

10. og 11. september går Smartgridkonferansen av stabelen i Trondheim. Konferansen dekker bredt, og tar for seg politikk og rammevilkår, status på prosjekter innen området både i næringslivet og innen forskningen, og hva som skjer framover på teknologi. Dag 2 er det satt av en sesjon til personvern og informasjonssikkerhet. I denne sesjonen vil blant annet undertegnede gi en presentasjon av det arbeidet vi i SINTEF gjør på risikovurdering i regi av DeVID-prosjektet.

Bør vi satse på mennesker eller teknologi for å bli bedre til å oppdage angrep?

Flickr user Electroburger. Creative Commons Attribution-NoDerivs. I dag er alle virksomheter mer eller mindre på nett, og er dermed utsatt for et bredt trusselbilde og mange generelle angrep mot sine systemer. Vi er vant til en mengde feilsituasjoner på IT-systemene våre, og at ansatte bruker systemene forskjellig. I dette bildet kan det være vanskelig å skille eventuelle “farlige” angrep fra de mer eller mindre dagligdagse angrep og feilsituasjoner.

Hendelseshåndtering – en kommunikasjonsutfordring!?

Håndtering av informasjonssikkerhetshendelser blir ofte sett på primært som en teknisk øvelse: Maskiner har blitt infisert, systemer er nede, eller man oppdager mistenkelig aktivitet i nettet – og nå må maskiner oppdateres, brannmurkonfigurasjoner sjekkes, osv. Det tekniske arbeidet som gjøres for å få kontroll over situasjonen er selvfølgelig helt nødvendig. Flere studier peker imidlertid på kommunikasjon og samarbeid som en nøkkel til å oppnå effektiv håndtering av hendelser i et langsiktig perspektiv.

Trusler mot strømmåleren

smartgridkonferansen 12. september 2012 overleverte vi en rapport til NTE og Telenor som identifiserer 30 trusler mot strømmålere, og beskriver fem potensielle angrep relatert til Avanserte Målestystemer (AMS). Rapporten har blitt til i samarbeid med Telenor (som har finansiert arbeidet) og NTE og deres live-lab, DemoSteinkjer (som har bidratt med faglig input). Aidon, som er en leverandør av målere, har også bidratt med informasjon om hvordan AMS-systemer fungerer. Mange av truslene er relevante for de fleste typer av målere, og rapporten kan ikke brukes til å rangere ulike teknologier opp mot hverandre når det kommer til sikkerhet.

Hvor god er sikkerheten – på en skala fra en til ti?

Flickr-user whoswho: Measurement (Creative Commons with attribution)Informasjon er etter hvert blitt en av de mest sentrale verdiene i de fleste virksomheter. Man er avhengig av tilgang til og beskyttelse av regnskapsdata, kundedata, teknisk dokumentasjon, prosessbeskrivelser, osv. Man er også avhengig av systemer for å kommunisere og dele informasjon. Dette gjør informasjonssikkerhet til en essensiell oppgave. Likevel kan det være utfordrende for de med informasjonssikkerhetsansvar å vise hva deres arbeid bidrar med for virksomheten, og om sikkerhetsarbeidet drives på en effektiv måte.

For de som er opptatt av å følge sikkerhetsstandarden ISO 27001, er det et krav om å gjennomføre måling for blant annet å kunne vurdere om sikkerhetsaktivitetene blir utført etter hensikten, om sikkerhetstiltakene er virkningsfulle og om styringen av sikkerhetsarbeidet er effektiv. Men hvordan bør man egentlig gå frem når man skal måle, og hvilke ressurser kan være til hjelp i arbeidet?

SmartGrid og sikkerhet – en kort innføring

Foredrag om sikkerhet i smartgridTidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:

  • Hva smartgrid er og hvorfor vi ønsker smartgrid
  • Status for arbeidet med smartgrid i Norge
  • Hvilke informasjonssikkerhetsutfordringer man har i smartgrid
  • Om det er noen forskjell på sikkerhet i smartgrid og sikkerhet i andre typer systemer

IMMER: Bedre håndtering av informasjonssikkerhetshendelser

Vi har nylig startet vårt arbeid i prosjektet IMMER – Information Security Incident Management and Emergency Preparedness. IMMER skal gjøre norsk industri bedre i stand til å håndtere uønskede IKT-hendelser, spesielt i situasjoner der man har behov for samarbeid og deling av informasjon på tvers av organisatoriske skiller og geografiske avstander. Et eksempel på en slik situasjon er oljesektorens Integrerte Operasjoner der personell fra ulike steder samarbeider ved hjelp av IKT. Smart Grids i kraftsektoren vil også gi tilsvarende utfordringer.

Lyst til å vite mer om Smart Grid og sikkerhet?

13. – 14. mars arrangerer Tekna seminar om Risiko og sårbarhet. Seminaret arrangeres i Oslo, og det tar opp flere temaer relater til IKT-sikkerhet. Blant annet skal jeg gi en introduksjon til sikkerhet i Smart Grids. Smart Grids er fremtidens energisystem. Vi ser en utvikling der kraftnettet blir mer intelligent, og bedre i stand til å utnytte ressurser effektivt. Men mer fjernstyring – og generelt mer IKT – åpner også opp for nye trusler. Dette foredraget vil gi et innblikk i IKT-relaterte  trusler mot Smart Grids, og si noe om mulige konsekvenser av disse.