IMMER: Bedre håndtering av informasjonssikkerhetshendelser

Vi har nylig startet vårt arbeid i prosjektet IMMER – Information Security Incident Management and Emergency Preparedness. IMMER skal gjøre norsk industri bedre i stand til å håndtere uønskede IKT-hendelser, spesielt i situasjoner der man har behov for samarbeid og deling av informasjon på tvers av organisatoriske skiller og geografiske avstander. Et eksempel på en slik situasjon er oljesektorens Integrerte Operasjoner der personell fra ulike steder samarbeider ved hjelp av IKT. Smart Grids i kraftsektoren vil også gi tilsvarende utfordringer.

AMS-sikkerhet i media

Utsnitt fra Tekst-TV
Utsnitt fra Tekst-TV

Risikovurderingen av AMS som vi har utført for NVE, har vekket interesse i flere norske medier den siste uka. Teknisk Ukeblad slo det opp som forsidesak, og NRK Trøndelag har hatt radiointervju og laget nyhetssak på nett.

Det er scenarioet med hackere som kan mørklegger større områder som trekkes fram, det som vi har omtalt som det verst tenkelige scenarioet i rapporten.

Vårens vakreste eventyr – Sikkerhet og sårbarhet 2012

8.-9. mai er det duket for Sikkerhet og sårbarhet 2012! Dette er 10. år på rad at konferansen arrangeres, og programmet er nå klart. Konferansen arrangeres på Royal Garden Hotel i Trondheim, og den sosiale happeningen er – som vanlig(!) – en spennende overraskelse til deltakerne.

Risikovurdering av AMS

Generell AMS-infrastruktur

SINTEF har utført en risikovurdering av AMS – avanserte måle- og styringssystemer – for Norges vassdrags- og energidirektorat (NVE). AMS innebærer automatisk strømmåleravlesning hver time, og er et steg på veien mot Smart Grids.

Risikovurderingen er på et overordnet nivå, og hvert enkelt nettselskap er ansvarlig for å utarbeide egne risikovurderinger for sine spesifikke løsninger.

Med sikkerhet på agendaen

Aftenposten hadde i forrige uke et bilag om informasjonssikkerhet – “Corporate security – Med sikkerhet på agendaen”. Bladet inneholder gode råd og anbefalinger til hvordan man bør adressere sikkerhetsutfordringene i egen virksomhet. Vi bidro under overskriften “Økt tilgjengelighet skaper sikkerhetsutfordringer”.

– Vil spore pasienter med ultralydsender

Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)
Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)

Teknisk Ukeblad (tu.no) og forskning.no kunne før helgen presentere et av helseinformatikkprosjektene hvor SINTEF er partner (CoOperation Support Throught Transparency). En av forskningsaktivitetene som omtales her, tar sikte på å registrere hvor både pasienter og sykehusansatte (og utstyr) befinner seg til enhver tid. Hensikten er likevel ikke å overvåke – men derimot å kunne gi den enkelte ansatte et relevant utsnitt av hva som skjer – uten at noen må taste all denne informasjonen inn på en PC manuelt. Ved hjelp av et slikt verktøy skal de ansatte forhåpentligvis kunne koordinere sin egen arbeidshverdag bedre – et system som selv kan forstå hva som skjer, og på denne måten bringe slik informasjon nærmere brukerne. Problemet er bare at slik informasjon kan være sensitiv, siden det dreier seg om helseaktiviteter tilknyttet ekte pasienter.

Vi vil muligens nesten aldri selge din informasjon…

Jeg legger merke til at Google fra 1. mars skal fjerne over 60 personvernregler og erstatte de med et sett som er enklere å lese. Vel og bra, men om reglene er mindre vage er jeg usikker på. Her er noen utvalgte sitater fra de nye reglene:

  • “Det er mulig at vi samler inn informasjon om tjenestene du bruker og hvordan du bruker dem.”

Lyst til å vite mer om Smart Grid og sikkerhet?

13. – 14. mars arrangerer Tekna seminar om Risiko og sårbarhet. Seminaret arrangeres i Oslo, og det tar opp flere temaer relater til IKT-sikkerhet. Blant annet skal jeg gi en introduksjon til sikkerhet i Smart Grids. Smart Grids er fremtidens energisystem. Vi ser en utvikling der kraftnettet blir mer intelligent, og bedre i stand til å utnytte ressurser effektivt. Men mer fjernstyring – og generelt mer IKT – åpner også opp for nye trusler. Dette foredraget vil gi et innblikk i IKT-relaterte  trusler mot Smart Grids, og si noe om mulige konsekvenser av disse.

Opp på barrikadene

Tidligere denne uka (18. januar) opplevde vi om ikke den første, så iallefall den mest betydningsfulle streiken på Internett. Et stort antall nettsteder hvor brukere kan bidra med innhold markerte sin motstand til lovforslaget Stop Online Piracy Act (SOPA) ved å enten legge ned tjenesten eller å ha bannere på sine sider. Mange andre nettsteder markerte også sin støtte til denne streiken, og hadde for eksempel lagt opp lenker til http://sopastrike.com/. Noen eksempler på steder som deltok er Wikipedia, WordPress, Mozilla, Digital Public Library of America, Google og Wired.

Vann, IKT, og sikkerhet: En giftig blanding?

Fredag 6. januar holdt jeg et kort innlegg med tittelen “IKT og sikkerhet i vannsektoren: Hva kan gå galt?” ved Kursdagene på NTNU. I det følgene presenteres et sammendrag med nogå attåt.

Moderne vann- og avløpssystemer er fullstendig avhengige av prosesskontrollsystemer. Pumper og ventiler, sensorer og målere kontrolleres av mange av de samme enhetene som vi kjenner fra olje- og gassbransjen. I oljebransjen har vi latt oss overraske over hvor steilt fagmiljøene kan stå mot hverandre – prosessingeniører og IT-folk har vært beskrevet som “løver og sebraer”: De snakker ikke samme språk, og kan knapt la være å slite hverandre i filler.

Hvem er redd for den store, stygge nettskyen?

Nettskyen (Cloud Computing) er realiseringen av en gammel drøm om å tilby datamaskinressurser over nettet.  Nettsky-modellen reduserer oppstartskostnadene for å utvikle og rulle ut nye tjenester på internett; det er ikke nødvendig å investere i maskinvare eller binde seg til lange kontrakter med underleverandører.

Tingenes internett er her – men er sikkerheten?

Det har lenge vært snakket om tingenes internett – IP over alt, alt over IP. Dette er framtiden og store forskningsprogrammer både i norsk og europeisk sammenheng lyser ut midler for å forske mer på mulighetene nettverkstilkoblede enheter vil kunne by på. Vi begynner allerede i dag å se potensialet: I min egen stue har jeg en TV som er koblet rett på internett. Med den kan jeg bruke youtube, yr.no og andre tjenester uten å koble til en PC. En kollega skaffet seg internettradio for noen år siden. Med ethernet-kontakten plugget inn kan han lytte til all verdens radiokanaler. Utbredelsen av nettbrett og smartmobiler har eksplodert. Tjenestene som tilbys er mange og fantastiske.

Vi bidrar til verdenslitteraturen

A Multidisciplinary Introduction to Information Security To nye informasjonssikkerhetsbøker er nettopp kommet på markedet, og vi har bidratt med et kapittel i hver av dem.

“A Multidisciplinary Introduction to Information Security” er redigert av Stig Frode Mjølsnes fra NTNU, og den kan bestilles fra CRC Press. Vårt kapittel heter “A Lightweight Approach to Secure Software Engineering” og er skrevet av Martin Gilje Jaatun, Jostein Jensen, Per Håkon Meland og Inger Anne Tøndel.

Skal det være nødvendig å stole på storebror hele tiden?

Etter en uke i Hellas (med overraskende få opptøyer) er det på sin plass å nevne presentasjonen av artikkelen “A Cryptographic Protocol for Anonymous Communication in a Redundant Array of Independent Net-storages” på årets utgave av IEEE CloudCom i Athen.

Dette er en del av et pågående arbeid for å se om det er mulig å oppnå tilstrekkelig sikkerhet i nettskyen uten å kryptere data, men kun ved å dele dem opp og spre dem på forskjellige nettskytilbydere.

SmartGrid-sikkerhet på konferanse

Poster presentert på konferansen
Poster presentert på konferansen

Økt bruk av IKT i kraftnettet er som kjent et av de viktigste stegene i veien mot Smart Grids. Dette innebærer nye utfordringer knyttet til informasjonssikkerhet og personvern, som må adresseres på riktig måte fra begynnelsen av. I tillegg må menneskelige faktorer knyttet til nye arbeidsprosesser og nye tankesett også adresseres. Det er mye å lære fra oljebransjen, som allerede har jobbet med integrerte operasjoner i noen år.

Dette har vi skrevet om i artikkelen Cyber Security Challenges in Smart Grids. Maria B. Line presenterte denne på konferansen IEEE PES Innovative Smart Grid Technologies 2011 Europe i Manchester denne uka.

Trøbbel med trojanske tjenester

Når du benytter en tjeneste på nettet levert av en eller annen aktør er det ofte et sett med underleverandører til denne som du ikke har oversikt over. Sist gang du bestilte en reise gjennom en reiseportal benyttet du sannsynligvis et sett med forskjellige tjenesteunderleverandører for å ordne med fly, hotell, bil, betaling, osv. Vi kaller dette tjenestekomposisjon, og prinsippet er omtrent det samme som når en sluttbruker bestiller et hus fra en totalentreprenør. Sluttbrukeren trenger da bare å forholde seg til den med det overordnede avsvaret dersom noe skulle gå galt.

Energiteknikk: “AMS truer sikkerheten”

Faksimile fra Energiteknikk

Fagbladet Energiteknikk har i november-nummeret intervjuet forsker Maria B. Line om utfordringer knyttet til informasjonssikkerhet og AMS (avanserte måle- og styresystemer) og utviklingen av smarte nett (SmartGrids). I artikkelen nevnes oppdraget som SINTEF i høst har fått fra NVE om å utføre en overordnet risikovurdering av AMS. Dessuten pekes det på forskjellene i sikkerhetstankegangen mellom prosessverdenen, som kraftforsyningen i all hovedsak har vært en del av, og IT-verdenen, som nå kommer for fullt inn med SmartGrids-visjonen.

Ikke la lommelykt-app’en få tilgang til telefonlisten din!

Apps for Android og iPhone har blitt ekstremt populært og stadig flere gjør stadig mer ved hjelp av en smarttelefon.

Men hva kan egentlig app-utviklere få tilgang til når vi installerer apps? Har appene behov for den tilgangen de ønsker?

For å sitere Ove Skåra i Datatilsynet: “Hvorfor skal en lommelykt-app ha tilgang til telefonlisten din?”.

På vegne av vår syke mor

Vi er forskere ansatt i et uavhengig forskningsinstitutt, noe som betyr at vi må selv bidra til å skaffe finansieringen som betaler lønna vår. I praksis betyr dette å skrive søknader til Norges forskningsråd og EUs 7ende rammeprogram. Når vi søker på forskningsrådets ulysninger i VERDIKT-programmet, konkurrerer vi med andre norske forskningsinstittutter som Norsk Regnesentral og Christian Michelsens Institutt, men også mot alle norske universiteter og høgskoler. Når det gjelder sistnevnte, er det noe som skurrer.

Hva er programvaresikkerhet?

I siste nummer av The International Journal of Secure Software Engineering (IJSSE) var undertegnede og Martin Gilje Jaatun gjesteredaktører, og skrev i den forbindelse en introduksjon for å gjøre selve begrepet “software security” noe mer håndgripelig. Bakgrunnen for skrive om nettopp dette er at vi opplever at begrepet ofte benyttes i en veldig vid forstand.