Cybersecurity forskningsgruppe
I november inviterte vi til seminar/dialogmøte omkring et aktuelt tema: “Hvordan håndtere data fra en bolig på en god måte?”. Arrangementet kom i stand gjennom prosjektet Safer@Home, som er støttet av VERDIKT-programmet i Norges forskningsråd. Om lag 45 deltakere fra helsevesen, kommunal sektor, teknologi-industri, forskning og myndigheter deltok. Her følger en oppsummering, og PDF-er av innleggsholdernes presentasjoner.
Det er nå ca. en måned siden den nasjonale sikkerhetsmåneden var over. Oktober var for mange en måned preget av mye engasjement og godt arbeid for å øke bevisstheten rundt informasjonssikkerhet. Det ble hengt opp plakater, delt ut effekter, invitert til foredrag, og mer til – og slik nådde man ut til mange! Dette er viktig arbeid – alt for viktig til å stoppe etter en måned! Etter en litt intens periode kan det imidlertid være nyttig å stoppe opp litt og tenke gjennom hvordan man best kan ta arbeidet med sikkerhetskultur videre.
Det finnes mye forskning på sikkerhetskultur, men jeg har nå lyst til å trekke fram en ny studie som er gjort av noen britiske forskere. De har gjort fem intervjuer med informasjonssikkerhetsledere i store organisasjoner som anses som langt framme når det gjelder informasjonssikkerhet. På bakgrunn av det de har hørt i intervjuene har de noen betraktninger som kanskje kan provosere noen, men samtidig kan være nyttige å tenke gjennom – så kan man jo selv vurdere i hvilken grad man synes de har rett, og i hvilken grad det de sier stemmer med norske forhold.
Bitcoin er en form for digital verdensvaluata som har økt mye i popularitet og omtale den siste tiden. Selv om Bitcoin ikke er bundet til noen bestemt nasjonal valuta eller andre verdier, har den nok tiltro til at man kan bruke den til å betale for ekte ting i den virkelige verden. Bitcoin har derfor en reell verdi i seg selv, og dermed vil det alltids være noen som prøver å skaffe seg slike på uærlig vis.
Vi deltok denne uken på Transatlantic Science Week som ble arrangert av den norske ambassaden, Forskningsrådet, Kunnskapsdepartementet og Justisdepartementet i Washington DC 12.-13. november.
Vil du ha hjelp med å unngå alvorlige feil når du velger leverandør av din nye cloud-tjeneste?
Telenor Research og SINTEF har nå publisert et whitepaper som hjelper deg å gå klar av de viktigste fallgruvene.
Whitepaperet kan du laste ned fra Telenor sine nettsider.
3.-5. november ble Teknologi-camp arrangert ved NTNU. Ca 100 jenter i alderen 17-19 år var invitert til NTNU for å bli kjent med studiemulighetene innenfor IKT. Vi var med på å arrangere en hacker-workshop for 22 av jentene for å vise dem informasjonssikkerhet som et spennende fagfelt med mange uløste utfordringer.
På vegne av forskningsprosjektet Safer@Home ønsker vi velkommen til seminar/dialogmøte, onsdag 13. november: «Hvordan håndtere alle data fra en bolig på en god måte?».
Fra arbeid med velferdsteknologi ser vi mye utstyr som plasseres i private boliger og samler data av ulike slag. Også i forbindelse med smarte strømmålere – og «smarte hjem» generelt – gjør det samme seg gjeldende; at dataene ikke bare samles inn, men ofte sendes ut av den private boligen – til offentlige eller private tjenesteleverandører. Vi ønsker å invitere til diskusjon om hvordan best forholde oss til dette i tiden framover, når tjenestelaget blir utviklet og utbredt i norske hjem.
En av utfordringene i nettskyen er lange og kompliserte leverandørkjeder som gjør det vanskelig å vite hvor dataene er på et hvert tidspunkt, og tilsvarende vanskelig å stille noen til ansvar dersom uønskede hendelser inntreffer.
Hva skal en lommelykt-app med tilganger til både kontaktliste og Internett-tilkobling? I et innlegg om Windows 8.1, har vi omtalt hvordan operativsystemet tillater brukeren å skru av og på ulike tilganger på app-nivå, for eksempel lokasjon, kamera og mikrofon. IOS7 har også en del muligheter for å styre dette, som på bildet til høyre. Nå ser dessuten det samme til å komme i Android, ettersom versjon 4.3 (i det skjulte) muliggjør slike blokkeringer via en egen app. Android blir dessverre liggende etter her, etter å ha fjernet svært lovende funksjonalitet som ble først sluppet ved en glipp.
Men hva er konsekvensene for deg som utvikler apps? Hva skjer med brukeropplevelsen dersom mange tilganger blir skrudd av, men brukeren fremdeles vil bruke appen din? Og hva skjer med forretningsmodellen for gratis-apper?
The Building Security In Maturity Model
(BSIMM) er et forsøk på å måle hvordan bedrifter jobber med programvaresikkerhet. Å måle sikkerheten til et gitt program er vanskelig, så BSIMM prøver i stedet å gi et bilde på hvilke aktiviteter innenfor sikker programvareutvikling forskjellige virksomheter bedriver. BSIMM gir ikke noe fasitsvar, men kan gi en indikasjon på hvordan man ligger an sammenlignet med “bedrifter vi liker å sammenligne oss med”.
Dataforeningens årlige konferanse Sikkerhet og sårbarhet arrangeres for 12. år på rad, og vil avholdes 13.-14. mai 2014 på Clarion Hotel & Congress i Trondheim. Programkomiteen inviterer til å foreslå foredrag til neste års konferanse. Frist for innsendelse er 29. november 2013.
Av ren nysgjerrighet har jeg vært inne og skummet det nye dokumentet som beskriver 
kommende regjerings politiske plattform. Hvordan vil den norske skuta styres de neste fire årene? Som IKT- og sikkerhetsforsker synes jeg selvfølgelig kapittel 7 – Fornyelse, administrasjon og kirke med sine underkapitler om IKT og personvern var av spesiell interesse. Etter lesningen stilte jeg meg spørsmålet: Er det samsvar mellom IKT-satsingen og personvernsatsingen? Konklusjon: ikke helt.
Vi arbeider med sikkerhetsløsninger for en ny tjeneste-orientert hverdag i europeisk luftrom, blant annet i form av verktøystøtte for krav/design, utvikling og kjøring av webtjenester.
Det er sikkerhetsmåned, men vi nøyer oss altså ikke bare med aktiviteter i Norge (og heller ikke bare i oktober, for den saks skyld). Fredag 25. oktober blir det mulighet til å delta på workshop i Roma, hvor vi lar deg få prøve og evaluere hva vi og våre forskningspartnere har utviklet i prosjektet Aniketos.
Har du ansvar for drift av vann- og avløpsanlegg, og lurer på hva du burde tenke på med hensyn til informasjonssikkerhet?
God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!
På Byscenen i Trondheim, 25. september kl. 19, avholdes «norgesmesterskapet» i forskningsformidling, og vår egen Maria B. Line stiller til start med temaet “Smarte strømmålere – smartere hackere?”. For å kunne yte maks har hun den siste tiden ligget i hardtrening i skjermede omgivelser, og har bare i løpet av de siste tre ukene hatt en økning i forskning på mellom 10 og 12 prosent. Les mer i dette eksklusive intervjuet dagen før det hele braker løs.
Jeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.
Enhver organisasjon må gjøre et svært grunnleggende valg når det gjelder sikkerhetsarbeidet: hvilket sikkerhetsnivå er riktig for oss? En må altså finne en riktig balanse mellom investering i forebyggende (gjerne tekniske) sikkerhetsmekanismer kontra evnen til å håndtere det som måtte inntreffe av hendelser. En viss risiko må aksepteres, og det er dermed viktig å føle seg trygg på at det som kan skje, det greier vi å håndtere.
Ingen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre. Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services.
Mange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.