Utsetter du ofte oppdatering av PCen?

PCer må oppdateres iblant, og dette krever gjerne omstart av alt – både med Windows og Mac. Så hvorfor trykker du egentlig “utsett” når du får beskjed om at det er på tide å starte PCen på nytt? Hypotesen min er at nettleseren har delvis skylda. Vi er redd for å miste alt vi har oppe. Redd for å måtte logge inn igjen mange steder. Mer redd enn vi er for risikoen ved å vente. Nettleseren er nok den mest brukte applikasjonen for de fleste av oss. Du kjenner kanskje til hvordan det er å ha en hel rekke faner åpne til enhver tid, og hvis de skulle forsvinne ville det være en stor jobb å komme i orden igjen – kanskje umulig, hvis du ikke husket hvor alle sidene kom fra.

Her kommer derfor en liten guide for deg som ønsker at en litt mer smertefri omstart. Slik at du kan redde alt du holder på med i Chrome, Internet ExplorerFirefox og Safari, og heller bare slappe av med en kaffe mens oppdateringene installeres ferdig – før du fortsetter der du slapp.

Hvem er vakrest i landet her?

prettywitchcatI forrige måned deltok vi på vårens vakreste eventyr, men nå er det blitt sommer, og vi har tro på at CSA Norges Sommerkonferanse i Oslo den 17. juni også kan bli et tiltalende arrangement!

Jeg skal bidra med foredraget “Tools for accountability in the cloud: When not all of your problems look like nails” , hvor jeg skal si litt mer om verktøyene som utvikles i EU-prosjektet A4Cloud. Programmet omfatter ellers Quentyn Taylor (Canon Europe), Peter Flem (Steria), Thom Langford (Sapient) og den alltid like inspirerende Mo Amin. Etter de faglige innslagene forflytter vi oss til taket av Postgirobygget, hvor det blir lett servering og forfriskninger.

Forglem-meg-ei eller glem-meg-nå

forglem-meg-eiNå skal retten til å bli glemt forsterkes!

Googler du ditt eget navn av og til? Blir du overrasket når du ser gamle synder dukke opp uten at du har noen mulighet til å gjøre noe med det?

I vår digitaliserte verden har personopplysninger stor verdi. Bare fra de rundt én milliard smarttelefonbrukerne genereres det enorme mengder personlige data som kan kobles sammen og lenkes til individer. Dette omfatter data vi har gitt fra oss frivillig, samt det andre publiserer om oss og de elektroniske fotsporene vi etterlater oss når vi anvender ulike typer internettbaserte tjenester. Den kunnskapen som oppstår når man lenker sammen tidligere separerte data er uvurderlig for enkelte bransjer, og bidrar til at de kan skape innovative, individualiserte tjenester, for eksempel persontilpassede søk, annonser og nyheter.

IT og Prosesskontroll: Løver og sebraer

zebralionDenne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.

“Privilege escalation”-sårbarhet i Dropbox

dropboxDropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her.

Treffes vi på konferanse neste uke?

stand-dndsos13Som vi tidligere har annonsert, går konferansen Sikkerhet og sårbarhet av stabelen 13. og 14. mai. I tillegg til det innholdsrike programmet, med tema som sikkerhetskultur, økt overvåkning, økt sporing, økt bruk av Big Data og Bring Your Own Service- trenden (BYOS), får du også muligheten til å møte oss på stand. Meld deg på i dag, så sees vi neste uke i Trondheim!

Sikkerhet og brukbarhet i skjønn forening

Brukbarhetstesting av digital tavleløsning
Brukbarhetstesting av digital tavleløsning på sykehus: Kan potensielt sensitiv informasjon gjøres mer tilgjengelig?

Tirsdag 29. april i Trondheim skal undertegnede snakke på Dataforeningens fagmøte om et aktuelt tema: Er det i det hele tatt mulig å lage løsninger som er både sikre og brukervennlige?

I en rykende fersk forskningsartikkel publisert i tidsskriftet BMC Medical Informatics and Decision Making (fri tilgang), beskriver vi utviklingsarbeidet og resultatene fra eksperimentering med en digital tavleløsning for sykehus. Hvordan kan digitale tavler brukes til statusoppdateringer med potensielt sensitiv informasjon, men samtidig gjøre fordel av tavlens synlighet på en vegg som mange kan se?

TU-kronikk: Eksersis mot strøm-hackere

20140410 mbl tu-kronikk-utklippIT-angrep blir en ny trussel for strømbransjen når de smarte strømnettene kommer. Det må nettselskapenes beredskapsøvelser snarest mulig gjenspeile.

Teknisk Ukeblad publiserte rett før påske en kronikk av Maria B. Line hvor hun skrev om nettselskapenes behov framover for å gjøre beredskapsøvelser med utgangspunkt i IT-angrep.

Å bytte eller ikke bytte (passord altså)

username-pwdI løpet av de siste dagene har det kommet motstridende råd om å bytte passord som følge av Heartbleed-feilen i OpenSSL. Først ble alle bedt om å bytte passord, så skulle man vente litt og så igjen ba Telenor med flere  om at alle brukere byttet passord med en gang. Så, hva blir det til? Skal du bytte passord eller ikke? Og i tilfelle hvorfor (ikke)?

Når hjertet blør…

heartbleedVi hører regelmessig om sårbarheter som blir oppdaget og fikset. Noen store, mange små. Det er imidlertid få (om noen) som kommer opp i samme klasse som the Heartbleed bug i OpenSSL.

For sikre nettsider er OpenSSL det aller mest brukte kryptobiblioteket. Det er brukt i anslagsvis to tredjedeler av alle servere i verden. Men hva er egentlig denne sårbarheten? Hva blir konsekvensen? Og ikke minst: er det noe du kan gjøre?

Noen kjappe anbefalinger om risikoanalyse

I dag holdt jeg et kort innleggNEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.

Vi laget for et års tid siden en  veiledning  for risikoanalyse av AMS som inneholder følgende ting:
  • Aktivitetsliste for gjennomføring av analysen
  • Konsekvensdimensjoner og konsekvensklasser
  • Sannsynlighetsdimensjoner
  • Kort beskrivelse av relevante standarder
  • Støtte til kartlegging av informasjonsverdier
  • Liste over hendelsestyper
  • Hendelsestyper/uønskede hendelser i AMS
  • Liste over interessenter
  • Typiske sårbarheter og svakheter i IKT-systemer
  • Kort beskrivelse av relevante tiltak

Mobil-apper og deres tilganger – hva er risikoen?

android-money-permissionPå mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.

Innebygd sikkerhet i programvare – Dypdykk i BSIMM (del 0)

indexPå utallige oppfordringer skal vi fremover bruke litt tid på å beskrive detaljene i Building Security In Maturity Model. BSIMM er et rammeverk med mål og aktiviteter som brukes i for å integrere sikkerhet i programvare mens den bygges, basert på praksiser som faktisk er i bruk. I Charles Dickens’ ånd gjør vi det som en føljetong, men ettersom verden har gått litt framover siden Pickwick-klubben, hadde vi tenkt å la dere lesere få være med å bestemme rekkefølgen på det som presenteres.

Nytt fra Data Protection Day 2014

BBdECnUCMAADYmtEU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en “Data Protection Day” med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.

Målrettede angrep: hvordan foregår de egentlig?

1078183_successfulGenerelle malware-baserte angrep som har økonomisk fortjeneste som mål, forekommer mye oftere enn målrettede angrep. Men vellykkede målrettede angrep kan være svært ødeleggende. Et nyere angrep mot RSA sies å ha kostet 66 mill dollar, bare i direkte kostnader. Å kunne beskytte seg mot slike angrep krever en grundig forståelse av hvordan angriperne opptrer. En gruppe forskere i Symantec har dybdeanalysert data fra mer enn 26.000 målrettede angrep oppdaget i 2011. Dette innlegget oppsummerer studien deres og de viktigste resultatene.

Informasjonssikkerhet i kraftbransjen – hva er de største utfordringene framover?

For et par år siden ble vi spurt hva vi trodde de største utfordringene når det gjelder informasjonssikkerhet i kraftbransjen var. Nylig hentet vi svaret fram igjen, og vi må medgi at det meste av det vi sa fortsatt står ved lag.

Kortsvindel – er det nødvendigvis din skyld?

credit-card-scamNå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?