Vi har tidligere skrevet om cyberforsikring på denne bloggen, og holdt foredrag om temaet på NHOs pensjons- og forsikringskonferanse i november i fjor. I år har vi fått startet et eget forskningsprosjekt ved SINTEF IKT for å utvikle teknikker og verktøy for vurdering av cyberforsikring.
Dypdykk i BSIMM del 3 – Compliance & Policy
“Security Policy” er et av mange ord som ikke har en fullgod norsk oversettelse, noe som medfører at mange bruker bastard-begrepet “sikkerhets-policy”. Muligens kan man oversette det med “sikkerhetsinstrukser og strategi”, men jeg er usikker på om det treffer helt (noen foreslo nettopp “sikkerhetsretningslinjer” – det er kanskje bedre).
I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på “Compliance and Policy”, som vi forsøksvis kunne oversette med “Etterlevelse av regler og retningslinjer”.
Litt statistikk om forskning på cybersecurity i Europa
Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin!
Med BSIMM på øret
Synes du det er vanskelig å få tak på hva BSIMM er for noe? Gary McGraw laget for noen år siden er serie podcaster hvor han intervjuet representanter fra et knippe virksomheter som hadde deltatt i den første BSIMM-studien. Hør hva ekspertene har å si, og bli venn med begreper som “SSG” og “the satellite”!
Ukas filmanbefaling: Disconnect
Det finnes mange eksempler på filmer hvor informasjonssikkerhet er en sentral ingrediens, men realismen i dem ikke henger helt på greip. Heldigvis finnes det unntak. Jeg så nylig filmen Disconnect fra 2012, og fant den god, realistisk og tankevekkende. Teknologien som brukes i filmen er omtrent den samme som vi omgir oss med i dag, og menneskene er ordinære som folk flest – uten superkrefter eller andre spesielle talenter. Den blir heller ikke kjedelig av den grunn, og er en vekker for både barn og vokse som tilbringer litt eller mye tid online.
Privacy by Design – fina ord men lite verkstad?
Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen.
Alt henger sammen med alt i den nye krafthverdagen
16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.
Du trenger en programvaresikkerhetsgruppe!
I enhver organisasjon som utvikler programvare må det finnes noen som har ansvaret for programvaresikkerheten. I BSIMM-studien fant de at ALLE virksomhetene som ble undersøkt hadde en programvaresikkerhetsgruppe (software security group – SSG) – den kan være så liten som en person, men den må være der.
Her kommer dine arme små… – og de vil ikke på Facebook
“Ikke fortell det, mamma, jeg vil si det selv!”
Et typisk utsagn fra et barn. De har opplevd noe eller fått til noe og brenner av lyst til å fortelle det – og det ødelegger gleden fullstendig om vi voksne forteller det før de rekker å si det selv.
IMSI-catchere, og andre ting man finner i rugen
Den siste uka er det mange som som har uttalt seg harmdirrende om sporing og avlytting av GSM-trafikk via falske basestasjoner. Vi kjenner saken kun fra mediene, og kan ikke si så mye om hva som har skjedd eller ikke skjedd, men for oss fremstår det (på samme måte som for tidligere professor Svein Knapskog) som noe av en storm i et vannglass.
Årets julebok: Secure and Trustworthy Service Composition
Jula er en tid da man kan sette seg i godstolen foran peisen, spise peppernøtter og kose seg med en god bok. Tips til sistnevnte er vår nylig utgitte bok om sikkerhet og tillit for tjenestekomposisjon – anbefalt julegave til både liten og stor!
Del broderlig – også informasjon?
På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål. Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.
“OJ!” – Sikkerhetskultur i SINTEF
At NorSIS melder om stor økning i deltakelse rundt nasjonal sikkerhetsmåned i oktober, er gledelig. SINTEF er slett ikke noe unntak, selv om vi etter hvert har valgt å produsere vårt eget opplegg internt. Gjennom et konsept vi kaller “OJ!” driver vi sikkerhetarbeid blant våre medarbeidere. Her kommer en liten smakebit fra dette, og i tillegg gir vi deg en liten trykksak som kan lastes ned og trykkes opp til fritt bruk – se helt nederst i innlegget.
Dypdykk i BSIMM del 2 – Attack Models
På frokostmøtet om måling av sikkerhet fikk jeg et godt spørsmål som jeg ikke kunne svare på: “Hvilket nivå skal man legge seg på?” Mitt ikke-svar var at “da må du gjøre en risikobasert vurdering”, som egentlig bare er en annen måte å si “det kommer an på”. I utgangspunktet hadde jeg sagt at “alle” burde kunne starte med aktivitetene på nivå 1 i hver praksis, men her skilte aktivitet AM1.1 seg ut i tallmaterialet – bare 21 av de 67 undersøkte bedriftene vedlikeholder en liste av de topp N mulige angrepene mot seg selv. Dette virker som en ganske grei aktivitet å gjøre et par ganger i året, og jeg finner ingen god forklaring på hvorfor det ikke gjøres.
Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet
Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.
Dypdykk i BSIMM del 1 – Configuration and vulnerability management
Etter utallige oppfordringer kommer endelig neste episode i vårt dypdykk i BSIMM – akkurat tidsnok til fredagens frokostmøte! Vi starter bakerst, med konfigurasjons- og sårbarhetshåndtering.
En av tesene i BSIMM er at hvis du driver programvareutvikling trenger du en programvaresikkerhetsgruppe (SSG). Kanskje består gruppen kun av en person, men den må være der. BSIMM tar utgangspunkt i SSG og utviklerne rundt den.
Jobb hos oss – vi søker nye medarbeidere!
Informasjonssikkerhet er et sterkt voksende fagområde, og noe alle lag av samfunnet utfordres på. Vårt fokus innen informasjonssikkerhet er knyttet til sikker programvareutvikling, sikkerhetsarkitekturer, aksesskontroll, risikovurdering og hendelseshåndtering. Vi har for tiden prosjekter innenfor flere domener, inkludert helse, luftfart, kritisk…
Frokostmøte om BSIMM, OpenSAMM etc. utsatt en uke
Frokostmøtet er flyttet til fredag 7.november kl.08.00-10.30, på DIGS. Hvis du ikke har meldt deg på enda, kan du gjøre det nå: https://www.dataforeningen.no/maaling-av-sikkerhet.5597310-134423.html Illustrasjon av Full Scottish Breakfast ved Mark Longair
Sikkerhet og sårbarhet 2015: Call for presentations
5.-6. mai 2015 er det igjen klart for Sikkerhet og sårbarhet! Dataforeningens årlige sikkerhetskonferanse i Trondheim har nå lagt ut Call for presentations, og fristen for å foreslå bidrag er 1. desember 2014. Programkomiteen ønsker forslag til både foredrag og workshops av noe lengre varighet.
Hva var nå de derre BSIMM-greiene igjen?
Hvis du har lyst til å høre litt mer om hva BSIMM er, skal jeg delta på et frokostmøte arrangert av Dataforeningen neste fredag (31. oktober). I tillegg får du høre om OWASP’s OPENSAMM, samt at du får være vitne…