Lukk opp din hjertedør – om sensitive opplysninger i lukkede facebook-grupper

I vår viste NRK hvor lett det var å kartlegge livet til en enkeltperson gjennom å samle opplysninger fra åpne kilder på Internett. Vi var ikke overrasket over resultatet, som det også sto i saken på nrk.no, da man som enkeltperson lett mister oversikten over totalbildet når man deler litt her og litt der over tid. Og åpne kilder er naturlig nok tilgjengelig for hvem som helst. Men hva med nettsider og tjenester som ikke er åpne? Som krever medlemskap og dermed innlogging, og derfor ikke er åpent tilgjengelig for alle? Er det tryggere å dele mye informasjon i slike lukkede fora? Er det risikofritt? Eller kan det også gi uheldige konsekvenser for den enkelte, som det kan være enda vanskeligere å forholde seg til?

Jeg flyr alene

En gang i tiden var det nødvendig med en rekke personer i cockpit på flyet når man skulle fly lengre distanser. På 1950 tallet var to piloter, en ingeniør, en navigatør og en radiooperatør normen på langdistanseflygninger. Den raske utviklingen av kommersiell radio, sammen med en internasjonal enighet om at all kommunikasjon skal skje på engelsk, gjorde raskt at radiooperatøren ble overflødig. Navigatøren forsvant på 60-tallet og med introduksjonen av den moderne jetmotoren på 80-tallet var det ikke lenger bruk for en ingeniør ombord til å justere motoren underveis.

Typical Civil Aviation Flight Deck Crew from the 1940s. Bilden kommer fra artikkelen “Cyber Safety and Security for Reduced Crew Operations” skrevet av Kevin Driscoll / Honeywell.

I dag er det fortsatt et absolutt krav om to piloter i cockpit for alle kommersielle jetfly som frakter passasjerer eller last. Men, helt i tråd med den økende digitaliseringen av vårt samfunn, er det igjen aktuelt å redusere besetningen: kanskje det er mulig å erstatte andrepiloten i cockpit med en løsning der førstepiloten isteden har støtte fra bakken?

Cyberforsikring – hva vet vi fra forskningen?

report-frontpageDet å kjøpe cyberforsikring er et mulig tiltak for å håndtere risiko i en virksomhet. Det kan imidlertid være krevende å vurdere cyberforsikring opp mot andre tiltak: Når bør man velge å forsikre, og når bør man heller gå for andre strategier? Vi har laget en rapport som oppsummerer forskningen på cyberforsikring som en risikohåndteringsstrategi.

Velferdsteknologi, sikkerhet og personvern

GPS for dementeSINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.

Cyberforsikring på forskningsagendaen

insecurancelogo_screen_resolutionVi har tidligere skrevet om cyberforsikring på denne bloggen, og holdt foredrag om temaet på NHOs pensjons- og forsikringskonferanse i november i fjor. I år har vi fått startet et eget forskningsprosjekt ved SINTEF IKT for å utvikle teknikker og verktøy for vurdering av cyberforsikring.

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet

Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.

Informasjonssikkerhet – hvor trykker skoen?

Faktaark DifiSINTEF har, på oppdrag fra Difi, kartlagt behovet hos statsforvaltningen når det gjelder støtte til arbeidet med informasjonssikkerhet. Kartleggingen ble gjennomført ved hjelp av fokusgrupper der til sammen 18 virksomheter var representert. Gruppene diskuterte hvordan informasjonssikkerhetsarbeidet gjøres i dag, samt hvilke behov de ser framover. I tillegg ble det gjennomført en spørreundersøkelse knyttet til bruk av styringssystem for informasjonssikkerhet. Kartleggingen er ment som et grunnlag for Difi til å gjøre prioriteringer i deres arbeid.

Mobil-apper og deres tilganger – hva er risikoen?

android-money-permissionPå mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.

Kortsvindel – er det nødvendigvis din skyld?

credit-card-scamNå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?

Bedriftsinformasjon i Prism – en mulighet for industrispionasje

Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?

Hvorfor sikkerhetssystemer aldri skal være hemmelige

Hver gang noen sier at sikkerhetsmekanismene de bruker må være hemmelige for å være sikre, er det grunn til å være skeptisk. For, hvis det faktisk er sant at de må være hemmelige, så er de heller ikke sikre.

Det er et grunnleggende prinsipp innen informasjonssikkerhet som sier at man må anta at “angriperen vet alt om systemet”, som kan sees på som en generalisering av Kerckhoffs berømte prinsipp.  Men hvorfor er det slik? Hvorfor skal vi på død og liv betrakte angripere som orakler som kan alt? Det kan da virkelig ikke være nødvendig? Eller?

Ja, men hva er risikoen for det?

Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?