Starmus-festivalen arrangeres i Trondheim i uke 25 med. Tirsdag 20. juni er NTNU vertskap for et tematisk seminar om forskning og utdanning innen cyber- og informasjonssikkerhet på Gløshaugen. Programmet starter kl. 09.00 og inngang er helt gratis. Fra SINTEF deltar forskningsleder Marie Moe med innlegg om forskning på sikkerhet i medisinsk utstyr. I tillegg deltar Erlend Andreas Gjære i en paneldebatt om gamification i samband med informasjonssikkerhetsopplæring.
1. juni startet H2020-prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats).
Dette er en såkalt Innovation Action i H2020-programmet Secure Societies, og skal sette sammen både eksisterende prototyper og nyere teknologi, prosedyrer og metoder for å sikre driftskontrollsystemer i europeiske vannverk. Fokuset er både på fysiske trusler og cyber; vi skal bidra primært mot sistnevnte.
Prosjektet har 22 partnere fra Europa og Israel, og ledes av Rita Ugarelli fra SINTEF Byggforsk med bidrag fra SINTEF Digital og SINTEF Teknologi og samfunn. Oslo VAV, Bergen kommune og Mnemonic deltar som norske partnere, og i tillegg så bidrar Powel og bransjeorganisasjonen Norsk Vann i en rådgivende funksjon.
Følg prosjektets hjemmeside http://stop-it-project.eu/ for oppdateringer i de kommende ukene!
Vi innleder juni med en Hacker’s Pub i samarbeid med Dataforeningen på Work-Work. Temaet er «Mobile applications and security», og vi fører an med innlegget «Static Analysis Tools for analysing Security in Mobile Applications», presentert av vår post doc. Tosin Oyetoyan og gjesteforsker Marcos Chaim fra Brasil.
Om bare noen dager er det 
igjen klart for Sikkerhet og sårbarhet i Trondheim – en viktig møteplass for oss som har informasjonssikkerhet på agendaen. SINTEF er godt representert i programmet, og vi ser fram til å møte deg 9.-10. mai på Clarion Hotel & Congress. Les videre for å se hvilke foredrag vi bidrar med i år.
Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.
Programvaresikkerhet er nødvendig for all programvare! Imidlertid må vi innse at sannsynligheten er liten for at alle utviklere skal hive seg på alle de 113 aktivitetene i BSIMM på en gang. Hvor kan man da begynne? Gary McGraw lanserte for over 10 år siden en samling med god praksis for programvaresikkerhet som kanskje kan være et godt utgangspunkt.
Fullt så enkelt er det ikke, men det europeiske forskningsprogrammet Horizon2020 utlyser forskningsmidler for millioner av Euro i høst, og det er gode muligheter for norske små og mellomstore virksomheter. Fredag 24/3 arrangerer vi en idé-workshop spesielt rettet mot høstens utlysning relatert til beskyttelse av kritisk infrastruktur innenfor områdene Finans, Kommunikasjon og Helse.
Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.
Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:
I media, samt ulike fora hvor undertegnede ferdes, registres det en økende interesse for og tro på at blockchain kan brukes til å løse de fleste problemer. Jeg ønsker med dette å problematisere denne oppfattelsen.
«For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.» Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.
Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.
SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.
Første gang jeg hørt uttrykket «DevOps» var i en samtale med Gary McGraw under AReS-konferansen i Wien i 2011 – jeg tenkte ikke mye over det da, men i de siste par årene virker det som om DevOps har klatret til toppen av hype-syklusen, og det dukker opp over alt.
Som årets lengste bloggtittelord indikerer, har vi lyst til å tipse om noen problemer du kan få bryne deg på i jula. Tradisjon tro kommer SANS med sin Holiday Hack Challenge, hvor du skal redde julenissen og fange slemmingen som har kidnappet ham (nei, dette er ikke akkurat samme plott som Snøfall på NRK). Her befinner vi oss i et nostalgisk point’n click eventyrspill ispedd sikkerhetsutfordringer, og dette er i det hele tatt veldig forseggjort. Anbefales!
I forbindelse med prosjektet Cyber Security in Merchant Shipping (CySiMS), gjennomføres det nå en spørreundersøkelse for å kartlegge effekten av sikkerhetsproblemer i maritime operasjoner. Resultatet skal brukes til å lage et rammeverk og verktøy for å støtte den maritime industri i gjennomføring av risikoanalyser med fokus på sikkerhet (security).
De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.
Neste uke holder vi kurs i trusselmodellering ved hjelp av dataflytdiagrammer og angrepstrær i regi av PROFES-konferansen i Trondheim, og runder av det hele med litt Protection Poker.
I
forrige uke gikk konferansen Fremtidens smarte bygg av stabelen i regi av Norsk Forening for Automatisering. I den anledning hadde jeg gleden av å gi de oppmøtte en liten innføring i noen av de sikkerhetsproblemene som følger med på lasset når husene blir stadig smartere. Her skal du få en liten smakebit av det som ble delt der.
Folks følelser må hensyntas til om vi vil stimulere til sikker praksis. Illustrasjon: Knut Gangåssæter / SINTEF
Dagens Næringsliv trykket lørdag 29. oktober en kronikk skrevet av undertegnede sammen med IT-sikkerhetsleder i SINTEF, Maria Bartnes. Med DNs tillatelse har forskningsmagasinet Gemini gjort artikkelen åpent tilgjengelig. Her presenterer vi en studie som viser hvilken betydning det har å ta hensyn til folks følelser når man arbeider med den menneskelige siden av sikkerhetsarbeidet.
Digi.no har videre publisert vår oppfølger til DN-kronikken, der vi går nærmere inn på hvordan bedrifter kan gjøre de ansatte mer mottakelige for IT-sikkerhetsopplæring.
På lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.
Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden
Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.
Cigital feirer (inter)nasjonal sikkerhetsmåned med å slippe en ny versjon av BSIMM-studien – versjon 7!
Denne utgaven har med data fra 95 forskjellige virksomheter, og totalt 237 forskjellige målinger. Nytt av året er aktiviteten [SE3.4] «Use application containers» (som vi kan oversette til «Bruk applikasjonscontainere» – f.eks. Docker). Det er tydelig at BSIMM ønsker å ligge litt i forkant her, ettersom det er ingen av de undersøkte virksomhetene som så langt rapporterer at de gjør denne aktiviteten.