Blir sikkerheten egentlig bedre med ny teknologi? – Resultater fra masteroppgave

Denne artikkelen er skrevet av Caroline Selte som en del av hennes masteroppgave. Maskinlæringsalgoritmer tar over sikkerhetsløsninger på e-post – men gjør det sikkerheten bedre? En sikkerhetsløsning for e-post som innebærer avansert analyse av lenker og vedlegg er et sånt…

Hvordan unngå at telefonen blir hacket i utlandet?

Hva kan man gjøre som privatperson for å best mulig sikre at sensitiv informasjon som tilhører arbeidsgiver ikke kommer på avveie, når man tar med seg jobbtelefonen på ferietur eller jobbtur til utlandet? Dette er for tiden et høyaktuelt tema, og NRK ringte meg for å få noen gode tips og råd.

Illustrasjonsbilde fra www.wocintechchat.com

Du kan lese hele artikkelen på NRK sine nettsider, men her følger en kort oppsummering av rådene:

IT-sikkerhet og folks følelser

De 16 persontypene vi må ta hensyn til. Illustrasjon: Knut Gangåssæter / SINTEF
Folks følelser må hensyntas til om vi vil stimulere til sikker praksis. Illustrasjon: Knut Gangåssæter / SINTEF

Dagens Næringsliv trykket lørdag 29. oktober en kronikk skrevet av undertegnede sammen med IT-sikkerhetsleder i SINTEF, Maria Bartnes. Med DNs tillatelse har forskningsmagasinet Gemini gjort artikkelen åpent tilgjengelig. Her presenterer vi en studie som viser hvilken betydning det har å ta hensyn til folks følelser når man arbeider med den menneskelige siden av sikkerhetsarbeidet.

Digi.no har videre publisert vår oppfølger til DN-kronikken, der vi går nærmere inn på hvordan bedrifter kan gjøre de ansatte mer mottakelige for IT-sikkerhetsopplæring.

Nettverksmøte 28. september om sikkerhetsopplæring og GDPR

opplaeringDataforeningen Trøndelags faggruppe for informasjonssikkerhet inviterer til faglig påfyll og mingling onsdag 28. september fra kl.1530 til kl.18, på DIGS i Trondheim. SINTEF bidrar med erfaringer fra internt sikkerhetsarbeid koblet med forskningsbasert kunnskap om hva som gjør folk mottakelig for opplæring. Datatilsynet forteller om nye personvernregler. Gratis deltakelse, enkel servering.

Security Culture Conference 2016

14-15 juni braker det løs med en ny utgave av “sommerens vakreste eventyr”. I år har CSA Nordic Summit slått seg sammen med Security Culture Conference i et heidundrande to-for-en-tilbud med bøttevis av kjente navn på talerlisten.

Vi kommer til å bidra på flere plan, bl.a. med siste nytt fra OJ!, SINTEFs eget internprogram for sikkerhetskultur.

Ukens myte: Vi trenger ikke sikkerhet

Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn.

Vi sjekker status på programvaresikkerhet, smaker på sikkerhetskultur, øver på hendelser og hacker fly

Bilde fra imdb.com

På årets ISF Høstkonferanse var alle gode ting minst fire.

Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.

(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)

Trykk på førsteslidene under for å laste ned de respektive presentasjonene.

Sikkerhet & sårbarhet 2015

stand-dndsos13Konferansen Sikkerhet & sårbarhet arrangeres 5.-6. mai i Trondheim. Denne gang blir SINTEF upåklagelig godt representert, med både tre faglige foredrag og som partner med stand. I følge arrangøren er dette møtestedet for alle som er opptatt av hva god informasjonssikkerhet kan bety for egen virksomhet. Det skulle vel med andre ord være gode muligheter for at vi sees her.

“OJ!” – Sikkerhetskultur i SINTEF

OJ! Rollup i en av våre kantinerAt NorSIS melder om stor økning i deltakelse rundt nasjonal sikkerhetsmåned i oktober, er gledelig. SINTEF er slett ikke noe unntak, selv om vi etter hvert har valgt å produsere vårt eget opplegg internt. Gjennom et konsept vi kaller “OJ!” driver vi sikkerhetarbeid blant våre medarbeidere. Her kommer en liten smakebit fra dette, og i tillegg gir vi deg en liten trykksak som kan lastes ned og trykkes opp til fritt bruk – se helt nederst i innlegget.

Informasjonssikkerhet – hvor trykker skoen?

Faktaark DifiSINTEF har, på oppdrag fra Difi, kartlagt behovet hos statsforvaltningen når det gjelder støtte til arbeidet med informasjonssikkerhet. Kartleggingen ble gjennomført ved hjelp av fokusgrupper der til sammen 18 virksomheter var representert. Gruppene diskuterte hvordan informasjonssikkerhetsarbeidet gjøres i dag, samt hvilke behov de ser framover. I tillegg ble det gjennomført en spørreundersøkelse knyttet til bruk av styringssystem for informasjonssikkerhet. Kartleggingen er ment som et grunnlag for Difi til å gjøre prioriteringer i deres arbeid.

Sikkerhetskultur? Vi har folk til slikt.

Det er nå ca. en måned siden den nasjonale sikkerhetsmåneden var over. Oktober var for mange en måned preget av mye engasjement og godt arbeid for å øke bevisstheten rundt informasjonssikkerhet. Det ble hengt opp plakater, delt ut effekter, invitert til foredrag, og mer til – og slik nådde man ut til mange! Dette er viktig arbeid – alt for viktig til å stoppe etter en måned!  Etter en litt intens periode kan det imidlertid være nyttig å stoppe opp litt og tenke gjennom hvordan man best kan ta arbeidet med sikkerhetskultur videre.

Det finnes mye forskning på sikkerhetskultur, men jeg har nå lyst til å trekke fram en ny studie som er gjort av noen britiske forskere. De har gjort fem intervjuer med informasjonssikkerhetsledere i store organisasjoner som anses som langt framme når det gjelder informasjonssikkerhet. På bakgrunn av det de har hørt i intervjuene har de noen betraktninger som kanskje kan provosere noen, men samtidig kan være nyttige å tenke gjennom – så kan man jo selv vurdere i hvilken grad man synes de har rett, og i hvilken grad det de sier stemmer med norske forhold.