ISF, ISACA og Faggruppen Informasjonssikkerhet i Dataforeningen Trøndelag inviterer til felles møte for faglig påfyll onsdag 14. oktober fra kl.15 til kl.18. Etter det faglige programmet blir det servering og sosialisering.
Dypdykk i BSIMM del 10 – Penetration Testing
I vår modenhetsstudie av programvaresikkerhet i offentlige virksomheter pekte penetreringstesting seg ut som en aktivitet som generelt sett ikke gjøres som en del av utviklingen – dette er overraskende når man tenker på hvor mange verktøy som er fritt tilgjengelige. Noen kunne hevde at den jevne utvikler ikke har tilstrekkelig kompetanse til å drive penetreringstesting, men vårt svar er at da er det på tide at de lærer seg noen nye triks!
Velferdsteknologi, sikkerhet og personvern
SINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.
Vi sjekker status på programvaresikkerhet, smaker på sikkerhetskultur, øver på hendelser og hacker fly
På årets ISF Høstkonferanse var alle gode ting minst fire.
Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.
(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)
Trykk på førsteslidene under for å laste ned de respektive presentasjonene.
Doktorgradsavhandling om hendelseshåndtering
PhD-prosjektet mitt om håndtering av IKT-sikkerhetshendelser i kraftbransjen er avsluttet. I prosjektet har jeg i samarbeid med mine kolleger studert hvilke faktorer som påvirker hvordan hendelseshåndtering gjøres i dag, samt hvilke utfordringer som ligger i veien for forbedringer. Viktige anbefalinger å ta med videre for bransjen, handler om å sette sammen riktige, kryssfunksjonelle team for både beredskapsøvelser og reelle situasjoner, samt å bruke tid og ressurser på læring.
Tilbake til røttene: Prinsipper for programvaresikkerhet
Programvare blir stadig viktigere for alle deler av samfunnet, og det er økende bevissthet om at det er viktig med kvalitet og sikkerhet også i programvare. Sikkerhetsfeil i programvare er roten til mange av sikkerhetsutfordringene man opplever. Det har skjedd mye på programvaresikkerhetsområdet de siste årene, og det har dukket opp mange nye rammeverk og metoder man kan benytte for ulike deler av utviklingsprosessen. Det er bra. Samtidig kan det være nyttig også å se tilbake, for å gjenoppdage noe av det som har formet dette arbeidet og som har stått seg over flere år. I anledning av at vi i disse dager starter opp et nytt forskningsprosjekt innen programvaresikkerhet, gir vi en kort oversikt over 10 prinsipper for programvaresikkerhet, hentet fra en bok som har betydd mye for området, nemlig Viega og McGraws bok «Building Secure Software» fra 2001.
Sjekkliste for sikkerhet i skytjenester
Vi har publisert en rapport som kan være til hjelp for deg som vurderer å ta i bruk nettskyen!
Rapporten «Cloud Security Requirements» (som du laster ned gratis her) inneholder nemlig en sjekkliste som du kan bruke til å evaluere sikkerhet og personvern i offentlige nettskytjenester, og til å stille krav.
Sjekklisten benytter vi selv i forbindelse med risikoanalyser av IT-systemer/applikasjoner, og nå vil vi gjerne at enda flere tar den i bruk.
Dypdykk i BSIMM del 9 – Code Review
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Code Review, eller kodegjennomgang.
Hovedmålet for praksisen «Kodegjennomgang» er kvalitetskontroll. De som utfører kodegjennomgang må sørge for at sikkerhetsfeil oppdages og korrigeres. SSG må sørge for at standarder blir fulgt og at godkjente sikkerhetsmekanismer gjenbrukes.
Dypdykk i BSIMM del 8 – Architecture Analysis
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Architecture Analysis, eller Arkitekturanalyse.
Hovedmålet for praksisen Arkitekturanalyse er kvalitetskontroll. De som utfører arkitekturanalyse må sørge for at strukturelle sikkerhetsfeil oppdages og korrigeres. Programvarearkitekter må sørge for at standarder følges, og at godkjente sikkerhetsløsninger gjenbrukes.
Dypdykk i BSIMM del 7 – Standards and Requirements
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Standards and Requirements, eller Standarder og krav.
Hovedmålet for praksisen «Standarder og krav» er å lage retningslinjer for alle interessenter. Ledere og programvaresikkerhetsgruppen (SSG) må dokumentere programvaresikkerhetsvalg, og formidle dette materialet til alle som er involvert i livssyklusen for sikker programvareutvikling (SSDL), inkludert eksterne aktører.
Vitenskaplig sikkerhet i smidig utvikling
Vi har nettopp fått finansiert et nytt forskningsprosjekt av Norges Forskningsråd – prosjektet SoS-Agile skal utforske hvordan man kan ivareta informasjonssikkerhet under smidig utvikling.
Brettspill laget for IT-beredskapsøvelser
Vi har i vår veiledet en masterstudent i å utvikle et brettspill som har til hensikt å støtte en beredskapsøvelse for IT-sikkerhetshendelser i kraftbransjen.
Spillet simulerer et angrep på kraftnettet, og spilldeltakerne tildeles ulike roller og skal sammen respondere på situasjonen.
Budbringeren – Hvordan varsle eiere av sårbare systemer?
En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.
Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?
Transparens i skyen – hva mener brukerne?
På CLOSER-konferansen har jeg nylig presentert artikkelen «Cloud Provider Transparency – A View from Cloud Customers» forfattet av Daniela S. Cruzes og undertegnede. Artikkelen fikk «Best paper award«, og vi spanderer derfor på oss et lite sammendrag her:
Nettskyen kommer med mange fordeler, men bekymringer rundt sikkerhet og personvern gjør at mange potensielle brukere vegrer seg. I prosjektet A4Cloud argumenterer vi for at Accountability (som vi fortsatt ikke har noe godt norsk ord for) kan være det som skal til for å døyve bekymringene.
Tilpasningsdyktighet ved kriser
For at et system skal overleve et dataangrep må man være forberedt, oppdage angrepet, respondere og så tilpasse systemet slik at man ikke blir angrepet på samme måte på nytt. Gjennom en slik evolusjon får man robuste systemer som skal tåle både forventede og uforutsette hendelser. Dette er en egenskap vi på nynorsk kaller resilience, og nå i juni har vi oppstart av et treårig forskningsprosjekt innenfor dette området.
Dypdykk i BSIMM del 6 – Security Features & Design
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Security Features & Design, eller sikkerhetsfunksjonalitet og design. En «feature» er kanskje egentlig heller en egenskap, men i de fleste tilfeller dreier det seg om funksjonalitet, så vi kjører videre med det.
Hovedmålet for denne praksisen er etablering av tilpasset kunnskap om sikkerhetsegenskaper, rammeverk og mønster. Den tilpassede kunnskapen må drive arkitektur- og komponent-beslutninger.
Invitasjon til nettverksmøte i Horisont 2020-Trøndelag
En rekke trønderske aktører har, med støtte fra Forskningsrådet, etablert nettverket Horisont 2020-Trøndelag. Onsdag 10. juni arrangerer nettverket sitt første møte. Deltakelse på dette møtet er gratis og åpent for bedrifter, offentlige virksomheter og forskningsmiljøer.
Horisont 2020 er verdens største forsknings- og innovasjonsprogram. Her kan norske virksomheter delta på lik linje med andre virsksomheter i EU. Man kan få støtte til innovasjons- og forskningsaktiviteter, og dra nytte av samarbeid med andre europeiske aktører. Deltakelse i et EU-prosjekt kan gi verdifulle nettverk og tilgang til oppdatert kunnskap.
The Honeynet Project Workshop
Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!
Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.
The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av «black hat»-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.
Dypdykk i BSIMM del 5 – Strategy and Metrics
I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på Strategy & Metrics, eller Strategi og Måling. I følge vår undersøkelse blant 20 norske offentlige virksomheter, er dette noe vi er rimelig dårlige på her på berget. Hvorfor?
Dypdykk i BSIMM del 4 – Training
Hvordan kan du vite at du håndterer en oppgave hvis du aldri har gjort den før? Opplæring er svaret, og Øvelse gjør mester – og den som tror at han er ferdig utlært, er ikke utlært, men ferdig. Programvaresikkerhetsgruppen (SSG) spiller en viktig rolle her!
I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på Training, eller opplæring og øvelser. Hovedmålene for denne praksisen er å utdanne en kunnskapsrik arbeidsstokk og rette opp feil i prosesser. Arbeidsstokken må ha rolle-basert kunnskap som spesifikt inkluderer ferdighetene som kreves for å utføre deres SSDL-aktiviteter på en hensiktsmessig måte. Opplæringen må omfatte spesifikk informasjon om rotårsaker til feil som oppdages i prosessaktiviteter og resultater.