Hacking på operasjonsstua

Skrevet 30. juni 2017 av Marie Moe

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg «hackere». Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

«Pasienten» overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som «prøvekaniner». Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Les hele innlegget →

Starmus Cyber and Information Security Day

Skrevet 16. juni 2017 av Erlend Andreas Gjære

Starmus-festivalen arrangeres i Trondheim i uke 25 med. Tirsdag 20. juni er NTNU vertskap for et tematisk seminar om forskning og utdanning innen cyber- og informasjonssikkerhet på Gløshaugen. Programmet starter kl. 09.00 og inngang er helt gratis. Fra SINTEF deltar forskningsleder Marie Moe med innlegg om forskning på sikkerhet i medisinsk utstyr. I tillegg deltar Erlend Andreas Gjære i en paneldebatt om gamification i samband med informasjonssikkerhetsopplæring.

Les hele innlegget →

STOP-IT – sikkerhet i vannbransjen

Skrevet 13. juni 2017 av Martin Gilje Jaatun

1. juni startet H2020-prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats).

Dette er en såkalt Innovation Action i H2020-programmet Secure Societies, og skal sette sammen både eksisterende prototyper og nyere teknologi, prosedyrer og metoder for å sikre driftskontrollsystemer i europeiske vannverk. Fokuset er både på fysiske trusler og cyber; vi skal bidra primært mot sistnevnte.

Prosjektet har 22 partnere fra Europa og Israel, og ledes av Rita Ugarelli fra SINTEF Byggforsk med bidrag fra SINTEF Digital og SINTEF Teknologi og samfunn. Oslo VAV, Bergen kommune og Mnemonic deltar som norske partnere, og i tillegg så bidrar Powel og bransjeorganisasjonen Norsk Vann i en rådgivende funksjon.

Følg prosjektets hjemmeside http://stop-it-project.eu/ for oppdateringer i de kommende ukene!

When the going gets tough, the tough go to the pub

Skrevet 15. mai 2017 av Martin Gilje Jaatun

Vi innleder juni med en Hacker’s Pub i samarbeid med Dataforeningen på Work-Work. Temaet er «Mobile applications and security», og vi fører an med innlegget «Static Analysis Tools for analysing Security in Mobile Applications», presentert av vår post doc. Tosin Oyetoyan og gjesteforsker Marcos Chaim fra Brasil.

Les hele innlegget →

Sikkerhet og Sårbarhet 2017

Skrevet 2. mai 2017 av Erlend Andreas Gjære

Om bare noen dager er det igjen klart for Sikkerhet og sårbarhet i Trondheim – en viktig møteplass for oss som har informasjonssikkerhet på agendaen. SINTEF er godt representert i programmet, og vi ser fram til å møte deg 9.-10. mai på Clarion Hotel & Congress. Les videre for å se hvilke foredrag vi bidrar med i år.

Les hele innlegget →

Også hackere tar lunsjpause

Skrevet 6. april 2017 av Per Håkon Meland

Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.

Les hele innlegget →

7 trykkpunkter for programvaresikkerhet

Skrevet 26. mars 2017 av Martin Gilje Jaatun

fig Programvaresikkerhet er nødvendig for all programvare! Imidlertid må vi innse at sannsynligheten er liten for at alle utviklere skal hive seg på alle de 113 aktivitetene i BSIMM på en gang. Hvor kan man da begynne? Gary McGraw lanserte for over 10 år siden en samling med god praksis for programvaresikkerhet som kanskje kan være et godt utgangspunkt.

Les hele innlegget →

Vil du ha gratis penger?

Skrevet 21. mars 2017 av Martin Gilje Jaatun

Fullt så enkelt er det ikke, men det europeiske forskningsprogrammet Horizon2020 utlyser forskningsmidler for millioner av Euro i høst, og det er gode muligheter for norske små og mellomstore virksomheter. Fredag 24/3 arrangerer vi en idé-workshop spesielt rettet mot høstens utlysning relatert til beskyttelse av kritisk infrastruktur innenfor områdene Finans, Kommunikasjon og Helse.

Les hele innlegget →

Medisinsk utstyr kan hackes

Skrevet 10. februar 2017 av Marie Moe

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Les hele innlegget →

Blockchain – verdens frelser?

Skrevet 8. februar 2017 av Christian Frøystad

1

I media, samt ulike fora hvor undertegnede ferdes, registres det en økende interesse for og tro på at blockchain kan brukes til å løse de fleste problemer. Jeg ønsker med dette å problematisere denne oppfattelsen.

Les hele innlegget →

Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak

Skrevet 12. januar 2017 av Maria Bartnes

«For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.» Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.

Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.

SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.

Les hele innlegget →

Informasjonssikkerhets-julenøtter!

Skrevet 20. desember 2016 av Per Håkon Meland

Som årets lengste bloggtittelord indikerer, har vi lyst til å tipse om noen problemer du kan få bryne deg på i jula. Tradisjon tro kommer SANS med sin Holiday Hack Challenge, hvor du skal redde julenissen og fange slemmingen som har kidnappet ham (nei, dette er ikke akkurat samme plott som Snøfall på NRK). Her befinner vi oss i et nostalgisk point’n click eventyrspill ispedd sikkerhetsutfordringer, og dette er i det hele tatt veldig forseggjort. Anbefales!

Les hele innlegget →

Undersøkelse rundt maritim kommunikasjonssikkerhet

Skrevet 5. desember 2016 av Christian Frøystad

I forbindelse med prosjektet Cyber Security in Merchant Shipping (CySiMS), gjennomføres det nå en spørreundersøkelse for å kartlegge effekten av sikkerhetsproblemer i maritime operasjoner. Resultatet skal brukes til å lage et rammeverk og verktøy for å støtte den maritime industri i gjennomføring av risikoanalyser med fokus på sikkerhet (security).

Les hele innlegget →

Sløyfer og slips i ROS analyser

Skrevet 30. november 2016 av Karin Bernsmed

De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.

Les hele innlegget →

Trusselmodellering og hasardspill

Skrevet 18. november 2016 av Martin Gilje Jaatun

threatmodel Neste uke holder vi kurs i trusselmodellering ved hjelp av dataflytdiagrammer og angrepstrær i regi av PROFES-konferansen i Trondheim, og runder av det hele med litt Protection Poker.

Les hele innlegget →

Hacking av smarte hus

Skrevet 17. november 2016 av Christian Frøystad

I forrige uke gikk konferansen Fremtidens smarte bygg av stabelen i regi av Norsk Forening for Automatisering. I den anledning hadde jeg gleden av å gi de oppmøtte en liten innføring i noen av de sikkerhetsproblemene som følger med på lasset når husene blir stadig smartere. Her skal du få en liten smakebit av det som ble delt der.

Les hele innlegget →

IT-sikkerhet og folks følelser

Skrevet 31. oktober 2016 av Erlend Andreas Gjære

De 16 persontypene vi må ta hensyn til. Illustrasjon: Knut Gangåssæter / SINTEF

Folks følelser må hensyntas til om vi vil stimulere til sikker praksis. Illustrasjon: Knut Gangåssæter / SINTEF

Dagens Næringsliv trykket lørdag 29. oktober en kronikk skrevet av undertegnede sammen med IT-sikkerhetsleder i SINTEF, Maria Bartnes. Med DNs tillatelse har forskningsmagasinet Gemini gjort artikkelen åpent tilgjengelig. Her presenterer vi en studie som viser hvilken betydning det har å ta hensyn til folks følelser når man arbeider med den menneskelige siden av sikkerhetsarbeidet.

Digi.no har videre publisert vår oppfølger til DN-kronikken, der vi går nærmere inn på hvordan bedrifter kan gjøre de ansatte mer mottakelige for IT-sikkerhetsopplæring.

Les hele innlegget →

Husk å tenke på informasjonssikkerhet når du «sourcer»!

Skrevet 25. oktober 2016 av Per Håkon Meland

På lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.

Les hele innlegget →

Foredrag om pacemakerhacking

Skrevet 14. oktober 2016 av Marie Moe

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Les hele innlegget →