Frokostmøtet er flyttet til fredag 7.november kl.08.00-10.30, på DIGS. Hvis du ikke har meldt deg på enda, kan du gjøre det nå: https://www.dataforeningen.no/maaling-av-sikkerhet.5597310-134423.html Illustrasjon av Full Scottish Breakfast ved Mark Longair
Sikkerhet og sårbarhet 2015: Call for presentations
5.-6. mai 2015 er det igjen klart for Sikkerhet og sårbarhet! Dataforeningens årlige sikkerhetskonferanse i Trondheim har nå lagt ut Call for presentations, og fristen for å foreslå bidrag er 1. desember 2014. Programkomiteen ønsker forslag til både foredrag og workshops av noe lengre varighet.
Hva var nå de derre BSIMM-greiene igjen?
Hvis du har lyst til å høre litt mer om hva BSIMM er, skal jeg delta på et frokostmøte arrangert av Dataforeningen neste fredag (31. oktober). I tillegg får du høre om OWASP’s OPENSAMM, samt at du får være vitne…
Dobbeltkommunikasjon 2.0
I forrige uke poengterte vi at bedrifter dobbeltkommuniserer når de hevder å aldri be om brukernavn/passord i e-poster, men samtidig oppfordrer brukere til å klikke på linker i e-poster som (i alle fall indirekte) leder til innloggingssider. Nå har vi kommet til versjon 2.0 av slik dobbeltkommunikasjon.
“Ikke bit på kroken” lyder det i et nyhetsbrev fra en ikke-navngitt bank i et forsøk på å få vanlige folk til å være skeptiske til phishing-eposter. Ironien er så slående at det gjør vondt.
Studie av beredskapsøvelser
De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?
“Vi vil aldri be deg om å oppgi brukernavn/passord i en e-post”
Hver gang d
et avdekkes et forsøk på phishing får vi høre denne setningen fra bedrifter som er rammet. Ofte stemmer det rent formelt, men det er likevel noe med kommunikasjonen mellom bedrifter og privatpersoner som gjør at folk til stadighet går på limpinnen. Det er faktisk fullt forståelig at noen ikke klarer å se forskjell på en phishing-epost og en genuin e-post fra en bedrift – og det har ingen ting med manglende kritisk sans hos forbrukeren å gjøre. Det handler om dobbeltkommunikasjon fra bedrifter.
Det som skjer i skyen, blir i skyen?
På Dataforeningen/CSA Norges nettverksmøte i Trondheim 16. september presenterte jeg noen tanker om håndtering av sikkerhetshendelser i nettskyen. Hva er det som skiller skyen fra annen tjenesteutsetting når det smeller?
Utgangspunktet vårt er at det går ikke an å lage et datasystem som er 100% sikkert. Dette betyr at hvis det er noen som ser verdien av å bryte seg inn i dine systemer, så kommer de til slutt til å lykkes – og du må derfor gå ut i fra at informasjonssikkerhetshendelser kommer til å skje i ditt system.
Støtte til risikoanalyse av AMS og tilgrensende systemer
Vi har nylig utgitt en veiledning til hvordan en risikoanalyse av AMS og tilgrensende IT-systemer kan gjennomføres når fokus for analysen skal være informasjonssikkerhet og personvern. Veiledningen inneholder sjekklister og anbefalinger. Vi har valgt å bygge på en metode som mange nettselskaper er kjent med fra før, og som anbefales av NVE og Energi Norge.
Hjelp, skyen min har blitt hacket!
Tirsdag 16/9 arrangerer vi nok et meetup på Krambua i samarbeid mellom Cloud Security Alliance Norge og Dataforeningen; temaet denne gangen er håndtering av sikkerhetshendelser i nettskyen.
Sikkerhet og EU-forskning – bli med!
Det europeiske forskningsområdet (ERA) er uten sammenligning den viktigste internasjonale arenaen for norsk forskning. Horisont 2020 er verdens største program for forskning og innovasjon, med en økonomisk ramme på 77 milliarder euro (660 milliarder kroner) i perioden 2013-2020. SINTEF den største norske aktøren på EU-arenaen med kontraktsfestede EU-midler på over 140 millioner € per mai 2014. Dessverre er den totale norske EU-deltagelsen lavere enn hva den burde være, hittil har vi bare hentet ut 6 av de rundt 10 milliardene Norge har betalt inn til EUs forskningssamarbeid [1]. For å forbedre denne situasjonen ønsker vi å dra med oss flere aktører fra norsk næringsliv mot temaene knyttet til informasjonssikkerhet.
Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?
I
dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.
I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.
Hvorfor driver vi og maser om personvern i Smart Grid?
Smarte strømmålere vil samle svært mye informasjon om hver enkelt husstand. Det vil være mulig å se når noen er hjemme og borte, hvilke apparater som finnes i boligen, forbruksmønster, og døgnrytme.
Måledata går til nettselskapene, hvor de må lagres en viss tid. AMS-forskriften sier at timesverdier skal lagres 3-15 mnd (for fakturering), mens måneds- og årsverdier skal lagres 3 år (pga. lastprofiler, sesongvariasjoner, og energimerking).
Dette er vel og bra, men vi sitter igjen med noen sentrale spørsmål:
- Hvem har tilgang til opplysningene som samles inn?
- Hva kan opplysningene rettmessig benyttes til?
- Hva kan uvedkommende benytte opplysningene til?
- Hvordan sikres opplysningene?
NordSec 2014
Den 15-17 oktober så arrangeras, för nittonde året i rad, “The Nordic Conference on Security IT Systems (NordSec)” i Tromsø. I år har konferensen fokus på “Security and Privacy for Cloud Computing and Big Data”. Årets program innehåller en mix…
DDoS – ikke bare stammespråk
Denne sommeren var det flere som fikk ferien forstyrret av en 17-årig bergenser som moret seg med å gjennomføre et såkalt distribuert tjenestenektangrep (DDoS) mot firma som Telenor og DnB. Nå på tampen av ferien kunne det kanskje passe å se litt nærmere på hvordan et slikt angrep egentlig fungerer?
Smartgrid-konferansen 2014
Smartgridsenteret med samarbeidspartnere ønsker velkommen til Smartgridkonferansen 2014. Den arrangeres 10. og 11. september på Quality Hotel Expo, Fornebu, Oslo.
Cyberforsikring for alle penga
Informasjonssikkerhet er ikke bare et rent teknisk område, men må sees i sammenheng med økonomiske insentiver; hvor mye og hvilken type sikkerhet lønner seg? I dag velger mange bedrifter bevisst bort anerkjente sikkerhetsmekanismer fordi det rett og slett er billigere å ta støyten av et angrep, men grunnlaget for å ta slike valg er i de fleste tilfeller tynt. I andre tilfeller brukes enorme summer på sikkerhet som strengt tatt ikke er nødvendig (markedet for sikkerhetsprodukter og tjenester bare i Europa ligger på €4,6 milliarder årlig [1]). For å adressere økonomisk risiko ved dataangrep mot IT-systemer har både små og store bedrifter begynt å ty til spesielle forsikringer mot dette [2].
Informasjonssikkerhet – hvor trykker skoen?
SINTEF har, på oppdrag fra Difi, kartlagt behovet hos statsforvaltningen når det gjelder støtte til arbeidet med informasjonssikkerhet. Kartleggingen ble gjennomført ved hjelp av fokusgrupper der til sammen 18 virksomheter var representert. Gruppene diskuterte hvordan informasjonssikkerhetsarbeidet gjøres i dag, samt hvilke behov de ser framover. I tillegg ble det gjennomført en spørreundersøkelse knyttet til bruk av styringssystem for informasjonssikkerhet. Kartleggingen er ment som et grunnlag for Difi til å gjøre prioriteringer i deres arbeid.
God praksis for hendelseshåndtering
Det finnes en rekke anbefalinger for hendelseshåndtering om hvilke rutiner som bør være på plass, roller og ansvar, planer og øvelser. Men det kan være minst like mye å hente på å lære av andre organisasjoner enn å lese side opp og side ned av anbefalinger og standarder. Vi har gått gjennom en rekke vitenskapelige studier som har dokumentert erfaringer og praksis hos ulike organisasjoner. Vårt arbeid viser at praksisen er rimelig i tråd med ISO/IEC 27035, men det er noen anbefalinger som det er vanskelig å leve opp til, og kanskje er det nødvendig med mer spesifikke retningslinjer eller verktøy på disse områdene.
Empirisk forskning på informasjonssikkerhet
Forskning på informasjonssikkerhet er blant de mer påtrengende typene organisasjonsforskning [1]. Det er gjerne, og heldigvis, en grunnleggende skepsis til enhver utenforstående som ønsker innsyn i organisasjonens sikkerhetsarbeid. Som forskere er vi ikke interessert i en glansbildepresentasjon, det gir oss ingen spennende resultater. Typiske “slik gjør vi det”-framstillinger gjenspeiler kanskje helst de gode intensjonene – “slik skal vi egentlig gjøre det”, mens vi heller vil vite hvordan praksis egentlig er. Deretter er vår jobb å prøve og forstå hvorfor praksis er som den er, eventuelt hvorfor den ikke samstemmer med uttalte intensjoner. Først når vi vet noe om hvorfor, kan vi identifisere mulige forbedringer og hvordan de bør implementeres.
Interessert i nettsky? Få litt påfyll før ferien!
Ferien står for døren, men før du kler på deg badedrakta og skyene forsvinner helt (forhåpentligvis), gir vi deg muligheten til å få litt faglig påfyll samt en gratis lunsj.
Besøk oss i Trondheim 20. juni, og bli med på workshop om sikkerhet, risiko og tillit i nettskyen!