Blogg (page 11)

Invitasjon til nettverksmøte i Horisont 2020-Trøndelag

horizon2020En rekke trønderske aktører har, med støtte fra Forskningsrådet, etablert nettverket Horisont 2020-Trøndelag. Onsdag 10. juni arrangerer nettverket sitt første møte. Deltakelse på dette møtet er gratis og åpent for bedrifter, offentlige virksomheter og forskningsmiljøer.

Horisont 2020 er verdens største forsknings- og innovasjonsprogram. Her kan norske virksomheter delta på lik linje med andre virsksomheter i EU. Man kan få støtte til innovasjons- og forskningsaktiviteter, og dra nytte av samarbeid med andre europeiske aktører. Deltakelse i et EU-prosjekt kan gi verdifulle nettverk og tilgang til oppdatert kunnskap.

Continue reading “Invitasjon til nettverksmøte i Horisont 2020-Trøndelag”

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av «black hat»-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Continue reading “The Honeynet Project Workshop”

Dypdykk i BSIMM del 4 – Training

joggerHvordan kan du vite at du håndterer en oppgave hvis du aldri har gjort den før? Opplæring er svaret, og Øvelse gjør mester – og den som tror at han er ferdig utlært, er ikke utlært, men ferdig. Programvaresikkerhetsgruppen (SSG) spiller en viktig rolle her!

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på Training, eller opplæring og øvelser. Hovedmålene for denne praksisen er å utdanne en kunnskapsrik arbeidsstokk og rette opp feil i prosesser. Arbeidsstokken må ha rolle-basert kunnskap som spesifikt inkluderer ferdighetene som kreves for å utføre deres SSDL-aktiviteter på en hensiktsmessig måte. Opplæringen må omfatte spesifikk informasjon om rotårsaker til feil som oppdages i prosessaktiviteter og resultater.

Continue reading “Dypdykk i BSIMM del 4 – Training”

Arbeid for å hindre flyhacking

Copyright ESA–P. Carril
Copyright ESA–P. Carril

Vi har lagt merke til litt skriverier knyttet til hacking av passasjerfly, fortrinnsvis i Wired og gjengitt hos tek.no. I den forbindelse har vi lyst til å opplyse om at Norge deltar i et program for å utvikle neste generasjons sikker datakommunikasjonsløsning for kommersiell luftfart – IRIS, og si litt om vår rolle.

Continue reading “Arbeid for å hindre flyhacking”

Hvordan står det til med programvaresikkerheten i norske offentlige virksomheter?

BSIMM3-logoPå oppdrag fra Difi har vi har fått 20 offentlige virksomheter til å fylle ut en egenerklæring om hvilke programvaresikkerhets-aktiviteter de utfører som en del av sine egne systemutviklingsprosesser.

Det offentlige gjennomfører en rekke digitaliseringsprosjekter, og utfører dermed mange aktiviteter knyttet til utvikling og anskaffelse av nye digitale løsninger. For at disse løsningene skal kunne håndtere de digitale sikkerhetstruslene, er det viktig at det jobbes systematisk med sikkerhet i utviklingsprosessen.

Continue reading “Hvordan står det til med programvaresikkerheten i norske offentlige virksomheter?”

Falske basestasjoner – hvordan er det mulig?

radio-wireless-towerPå Sikkerhetskonferansen 2015 arrangert av Nasjonal Sikkerhetsmyndighet holdt jeg et innlegg om hvordan det er mulig å opprette falske GSM basestasjoner og hvorfor ting fungerer slik de gjør. I dette blogginnlegget skal jeg kort innom historikken til GSM-standarden for mobiltelefoni, beskrive hvilke enheter som inngår i et GSM nettverk, og hva som skjer når du ringer i en mobiltelefon. Deretter blir det litt konkrete detaljer om falske basestasjoner, og noen betraktninger rundt hvilke valg vi tar når vi kommuniserer – hvordan vi forholder oss til sikkerhet kontra brukervennlighet.

Continue reading “Falske basestasjoner – hvordan er det mulig?”

Sikkerhet & sårbarhet 2015

stand-dndsos13Konferansen Sikkerhet & sårbarhet arrangeres 5.-6. mai i Trondheim. Denne gang blir SINTEF upåklagelig godt representert, med både tre faglige foredrag og som partner med stand. I følge arrangøren er dette møtestedet for alle som er opptatt av hva god informasjonssikkerhet kan bety for egen virksomhet. Det skulle vel med andre ord være gode muligheter for at vi sees her.

Continue reading “Sikkerhet & sårbarhet 2015”

Utfordringer ved IT-beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

Beredskapsøvelser for IT-sikkerhetshendelser prioriteres altfor lavt i dag. Til dels skyldes dette trolig at selskapene ikke forstår hvordan de skal øve effektivt eller at de ikke opplever stor nok nytte av å øve. Derfor har vi studert hvilke utfordringer nettselskapene (kraftbransjen) møtte underveis i en øvelse for å komme fram til noen anbefalinger om hvordan de kan øve bedre og mer effektivt. Våre resultater er også viktige for at norsk næringsliv skal bli flinkere til å håndtere et trusselbilde som er i konstant endring.

Continue reading “Utfordringer ved IT-beredskapsøvelser”

Cyberforsikring på forskningsagendaen

insecurancelogo_screen_resolutionVi har tidligere skrevet om cyberforsikring på denne bloggen, og holdt foredrag om temaet på NHOs pensjons- og forsikringskonferanse i november i fjor. I år har vi fått startet et eget forskningsprosjekt ved SINTEF IKT for å utvikle teknikker og verktøy for vurdering av cyberforsikring.

Continue reading “Cyberforsikring på forskningsagendaen”

Dypdykk i BSIMM del 3 – Compliance & Policy

checklist«Security Policy» er et av mange ord som ikke har en fullgod norsk oversettelse, noe som medfører at mange bruker bastard-begrepet «sikkerhets-policy». Muligens kan man oversette det med «sikkerhetsinstrukser og strategi», men jeg er usikker på om det treffer helt (noen foreslo nettopp «sikkerhetsretningslinjer» – det er kanskje bedre).

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på «Compliance and Policy», som vi forsøksvis kunne oversette med «Etterlevelse av regler og retningslinjer».

Continue reading “Dypdykk i BSIMM del 3 – Compliance & Policy”

Litt statistikk om forskning på cybersecurity i Europa

Bilde fra eurosport.com
Bilde fra eurosport.com

Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin!

Continue reading “Litt statistikk om forskning på cybersecurity i Europa”

Ukas filmanbefaling: Disconnect

Bilde fra imdb.com
Bilde fra imdb.com

Det finnes mange eksempler på filmer hvor informasjonssikkerhet er en sentral ingrediens, men realismen i dem ikke henger helt på greip. Heldigvis finnes det unntak. Jeg så nylig filmen Disconnect fra 2012, og fant den god, realistisk og tankevekkende. Teknologien som brukes i filmen er omtrent den samme som vi omgir oss med i dag, og menneskene er ordinære som folk flest – uten superkrefter eller andre spesielle talenter. Den blir heller ikke kjedelig av den grunn, og er en vekker for både barn og vokse som tilbringer litt eller mye tid online.

Continue reading “Ukas filmanbefaling: Disconnect”

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund
Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen.

Continue reading “Privacy by Design – fina ord men lite verkstad?”

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Continue reading “Alt henger sammen med alt i den nye krafthverdagen”

Du trenger en programvaresikkerhetsgruppe!

nuclear-forensicsI enhver organisasjon som utvikler programvare må det finnes noen som har ansvaret for programvaresikkerheten. I BSIMM-studien fant de at ALLE virksomhetene som ble undersøkt hadde en programvaresikkerhetsgruppe (software security group – SSG) – den kan være så liten som en person, men den må være der.

Continue reading “Du trenger en programvaresikkerhetsgruppe!”