Føderert identitetsforvaltning

Føderert identitetsforvaltning (Federated Identity Management) er et konsept som tillater samarbeid om prosesser, politikk og teknologi for identitetsforvaltning på tvers av organisasjonsgrenser. I forskningsmiljøer har dette lenge blitt ansett som en lovende tilnærming til å fasilitere sikker og sømløs informasjonsdeling på tvers av organisasjonsgrenser.

Sårbare strømmålere

Utklipp fra Adresseavisen
Utsnitt fra Adresseavisen

Lørdag 14. april hadde jeg en kronikk på trykk i Adresseavisen, med tittelen “Sårbare strømmålere”. Den handler om AMS – avanserte måle- og styringssystemer, som skal rulles ut til alle landets strømkunder innen utgangen av 2016, og hvordan disse kan være et mål for hackere.

Kronikken er basert på risikovurderingen vi gjorde for NVE like før jul, og er en utdyping av artikkelen som Teknisk ukeblad skrev i februar.

Ikke del dette med noen…

Vi er vant med å begrense tilgangen til informasjon avhengig av hvem som ber om den. Tilgangskontroll er kanskje den mest selvsagte sikkerhetsmekanismen vi har. Det er utenkelig at en bedrift ikke skulle ha implementert noe som helst slags tilgangskontroll på sine tjenere og tjenester. Til og med på Facebook begynner folk å skjønne at det kan være greit å skille mellom hva venner og resten av verden skal ha tilgang til.

Men hva om en ansatt videresender konfidensiell informasjon, eller en “venn” på Facebook publiserer på nytt et bilde du har delt med ham?

Hva kan du gjøre for å kontrollere hvordan informasjonen blir brukt?

…og det forskes på…

Ordsky av forskningsplanen

…håndtering av IKT-sikkerhetsbrudd i en SmartGrid-kontekst.

I mitt doktorgradsarbeid skal jeg studere hvordan IKT-sikkerhets-hendelser detekteres og håndteres; både gjennom tekniske hjelpemidler og menneskelige handlinger, samt hva slags etterarbeid som gjøres; informasjonsdeling, lærdom, hvordan erfaringer overføres til det totale arbeidet med informasjonssikkerhet.

Smartmobiler – er bedrifter klare for utfordringen?

Både privat og offentlig sektor innser i stadig større grad at informasjonssikkerhet er helt nødvendig for å sikre konkurranseevnen, hindre industrispionasje og oppfylle lovkrav til sikring av sensitiv informasjon. Samtidig  slurver bedrifter regelrett med sikring av de ansattes smarte mobiltelefoner. Telefonene er ikke gjemt bak brannmurer, de passes ikke på av bedriftens sikkerhetsteknologi: de mangler passordbeskyttelse, har ikke antivirus, innhold krypteres ikke og det er redusert mulighet til å fjernlåse og slette innhold. Enda verre er det at ansatte fritt kan installere en hvilken som helst app, fra hvilken som helst leverandør med hvilke som helst motiver. Vet du hva appene dine kan gjøre?

Vannet ditt er sikkert hos oss

Rent vann og velfungerende kloakk er noe vi tar for gitt i Norge, på samme måte som luften vi puster i. De færreste har derfor noensinne lurt på hvor vannet deres er på et gitt tidspunkt (det er jo bare å åpne kranen), og hva som skjer etter at man har skylt toalettet er i hvert fall ikke vårt problem.

Hacket norsk nettside for pårørende til narkomane

Dette var en av overskriftene som lyste mot oss på Aftenpostens nettutgave den 19. Mars. Det viser seg at flere nettsider som bruker webhotelltjenester hos Domeneshop.no har blitt hacket av en ungdomsgruppe. I følge Aftenpostens kilder kan en sårbarhet hos en av webhotellets kunder føre til at andre kunder blir rammet, og at deres informasjon blir kompromittert. Hvor ligger årsaken til dette?

Min oppfatning i saken er at problemet er todelt:

På den ene siden ser vi at det er publisert websider med alvorlige sårbarheter. Aftenposten kontaktet meg i forbindelse med denne saken og viste meg deler av et eksempel på hvordan angriperne har gått fram. Fra det konkrete eksempelet så man at websideleverandøren (kunde av webhotellet) hadde brutt med flere gode praksiser for å unngå å bli hacket:

SmartGrid og sikkerhet – en kort innføring

Foredrag om sikkerhet i smartgridTidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:

  • Hva smartgrid er og hvorfor vi ønsker smartgrid
  • Status for arbeidet med smartgrid i Norge
  • Hvilke informasjonssikkerhetsutfordringer man har i smartgrid
  • Om det er noen forskjell på sikkerhet i smartgrid og sikkerhet i andre typer systemer

IMMER: Bedre håndtering av informasjonssikkerhetshendelser

Vi har nylig startet vårt arbeid i prosjektet IMMER – Information Security Incident Management and Emergency Preparedness. IMMER skal gjøre norsk industri bedre i stand til å håndtere uønskede IKT-hendelser, spesielt i situasjoner der man har behov for samarbeid og deling av informasjon på tvers av organisatoriske skiller og geografiske avstander. Et eksempel på en slik situasjon er oljesektorens Integrerte Operasjoner der personell fra ulike steder samarbeider ved hjelp av IKT. Smart Grids i kraftsektoren vil også gi tilsvarende utfordringer.

AMS-sikkerhet i media

Utsnitt fra Tekst-TV
Utsnitt fra Tekst-TV

Risikovurderingen av AMS som vi har utført for NVE, har vekket interesse i flere norske medier den siste uka. Teknisk Ukeblad slo det opp som forsidesak, og NRK Trøndelag har hatt radiointervju og laget nyhetssak på nett.

Det er scenarioet med hackere som kan mørklegger større områder som trekkes fram, det som vi har omtalt som det verst tenkelige scenarioet i rapporten.

Vårens vakreste eventyr – Sikkerhet og sårbarhet 2012

8.-9. mai er det duket for Sikkerhet og sårbarhet 2012! Dette er 10. år på rad at konferansen arrangeres, og programmet er nå klart. Konferansen arrangeres på Royal Garden Hotel i Trondheim, og den sosiale happeningen er – som vanlig(!) – en spennende overraskelse til deltakerne.

Risikovurdering av AMS

Generell AMS-infrastruktur

SINTEF har utført en risikovurdering av AMS – avanserte måle- og styringssystemer – for Norges vassdrags- og energidirektorat (NVE). AMS innebærer automatisk strømmåleravlesning hver time, og er et steg på veien mot Smart Grids.

Risikovurderingen er på et overordnet nivå, og hvert enkelt nettselskap er ansvarlig for å utarbeide egne risikovurderinger for sine spesifikke løsninger.

Med sikkerhet på agendaen

Aftenposten hadde i forrige uke et bilag om informasjonssikkerhet – “Corporate security – Med sikkerhet på agendaen”. Bladet inneholder gode råd og anbefalinger til hvordan man bør adressere sikkerhetsutfordringene i egen virksomhet. Vi bidro under overskriften “Økt tilgjengelighet skaper sikkerhetsutfordringer”.

– Vil spore pasienter med ultralydsender

Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)
Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)

Teknisk Ukeblad (tu.no) og forskning.no kunne før helgen presentere et av helseinformatikkprosjektene hvor SINTEF er partner (CoOperation Support Throught Transparency). En av forskningsaktivitetene som omtales her, tar sikte på å registrere hvor både pasienter og sykehusansatte (og utstyr) befinner seg til enhver tid. Hensikten er likevel ikke å overvåke – men derimot å kunne gi den enkelte ansatte et relevant utsnitt av hva som skjer – uten at noen må taste all denne informasjonen inn på en PC manuelt. Ved hjelp av et slikt verktøy skal de ansatte forhåpentligvis kunne koordinere sin egen arbeidshverdag bedre – et system som selv kan forstå hva som skjer, og på denne måten bringe slik informasjon nærmere brukerne. Problemet er bare at slik informasjon kan være sensitiv, siden det dreier seg om helseaktiviteter tilknyttet ekte pasienter.

Vi vil muligens nesten aldri selge din informasjon…

Jeg legger merke til at Google fra 1. mars skal fjerne over 60 personvernregler og erstatte de med et sett som er enklere å lese. Vel og bra, men om reglene er mindre vage er jeg usikker på. Her er noen utvalgte sitater fra de nye reglene:

  • “Det er mulig at vi samler inn informasjon om tjenestene du bruker og hvordan du bruker dem.”

Lyst til å vite mer om Smart Grid og sikkerhet?

13. – 14. mars arrangerer Tekna seminar om Risiko og sårbarhet. Seminaret arrangeres i Oslo, og det tar opp flere temaer relater til IKT-sikkerhet. Blant annet skal jeg gi en introduksjon til sikkerhet i Smart Grids. Smart Grids er fremtidens energisystem. Vi ser en utvikling der kraftnettet blir mer intelligent, og bedre i stand til å utnytte ressurser effektivt. Men mer fjernstyring – og generelt mer IKT – åpner også opp for nye trusler. Dette foredraget vil gi et innblikk i IKT-relaterte  trusler mot Smart Grids, og si noe om mulige konsekvenser av disse.

Opp på barrikadene

Tidligere denne uka (18. januar) opplevde vi om ikke den første, så iallefall den mest betydningsfulle streiken på Internett. Et stort antall nettsteder hvor brukere kan bidra med innhold markerte sin motstand til lovforslaget Stop Online Piracy Act (SOPA) ved å enten legge ned tjenesten eller å ha bannere på sine sider. Mange andre nettsteder markerte også sin støtte til denne streiken, og hadde for eksempel lagt opp lenker til http://sopastrike.com/. Noen eksempler på steder som deltok er Wikipedia, WordPress, Mozilla, Digital Public Library of America, Google og Wired.