Ansvarlighet i skyen

Ansvarlighet (accountability) i nettskyen kommer til å bli stadig mer viktig i årene som kommer. Usikkerhet rundt sikkerhet og personvern er en barriere for bred bruk av nettskyen – vanlige forbrukere spør seg selv: Er mine familiebilder trygge i skyen? Små og store bedrifter er nok vant til forskjellige former for tjenesteutsetting, men blir flakkende i blikket hvis du antyder at forretningshemmeligheter kan lagres i et eller annet datasenter et udefinerbart sted i verden.

Kakemonster vs. Do Not Track

Selvironisk(?) doodle fra nettsøk-leverandøren

Do Not Track er en policy-standard foreslått for at man kan be pent om å ikke bli sporet på nett. Dette fungerer litt som å reservere seg mot telefonsalg – du kan be om å bli respektert, men det finnes ingen fysiske hindringer for at du ikke fremdeles kan bli oppringt (eller sporet). Nå er det igjen tid for å finne ut hvorvidt enda en personvernteknologi går i bøtta, eller om det faktisk blir enkelt for vanlige folk å beskytte sine surfespor på nettet. I går kom nemlig Microsoft med siste offentlige forhåndsvisning (Release Preview) av sitt nye operativsystem Windows 8, hvor nettleseren Internet Explorer 10 som første nettleser har aktivert Do Not Track som standardinnstilling. Teknologien støttes også av Firefox, men må inntil videre aktiveres manuelt.

Føderert identitetsforvaltning

Føderert identitetsforvaltning (Federated Identity Management) er et konsept som tillater samarbeid om prosesser, politikk og teknologi for identitetsforvaltning på tvers av organisasjonsgrenser. I forskningsmiljøer har dette lenge blitt ansett som en lovende tilnærming til å fasilitere sikker og sømløs informasjonsdeling på tvers av organisasjonsgrenser.

Sårbare strømmålere

Utklipp fra Adresseavisen
Utsnitt fra Adresseavisen

Lørdag 14. april hadde jeg en kronikk på trykk i Adresseavisen, med tittelen “Sårbare strømmålere”. Den handler om AMS – avanserte måle- og styringssystemer, som skal rulles ut til alle landets strømkunder innen utgangen av 2016, og hvordan disse kan være et mål for hackere.

Kronikken er basert på risikovurderingen vi gjorde for NVE like før jul, og er en utdyping av artikkelen som Teknisk ukeblad skrev i februar.

Ikke del dette med noen…

Vi er vant med å begrense tilgangen til informasjon avhengig av hvem som ber om den. Tilgangskontroll er kanskje den mest selvsagte sikkerhetsmekanismen vi har. Det er utenkelig at en bedrift ikke skulle ha implementert noe som helst slags tilgangskontroll på sine tjenere og tjenester. Til og med på Facebook begynner folk å skjønne at det kan være greit å skille mellom hva venner og resten av verden skal ha tilgang til.

Men hva om en ansatt videresender konfidensiell informasjon, eller en “venn” på Facebook publiserer på nytt et bilde du har delt med ham?

Hva kan du gjøre for å kontrollere hvordan informasjonen blir brukt?

…og det forskes på…

Ordsky av forskningsplanen

…håndtering av IKT-sikkerhetsbrudd i en SmartGrid-kontekst.

I mitt doktorgradsarbeid skal jeg studere hvordan IKT-sikkerhets-hendelser detekteres og håndteres; både gjennom tekniske hjelpemidler og menneskelige handlinger, samt hva slags etterarbeid som gjøres; informasjonsdeling, lærdom, hvordan erfaringer overføres til det totale arbeidet med informasjonssikkerhet.

Smartmobiler – er bedrifter klare for utfordringen?

Både privat og offentlig sektor innser i stadig større grad at informasjonssikkerhet er helt nødvendig for å sikre konkurranseevnen, hindre industrispionasje og oppfylle lovkrav til sikring av sensitiv informasjon. Samtidig  slurver bedrifter regelrett med sikring av de ansattes smarte mobiltelefoner. Telefonene er ikke gjemt bak brannmurer, de passes ikke på av bedriftens sikkerhetsteknologi: de mangler passordbeskyttelse, har ikke antivirus, innhold krypteres ikke og det er redusert mulighet til å fjernlåse og slette innhold. Enda verre er det at ansatte fritt kan installere en hvilken som helst app, fra hvilken som helst leverandør med hvilke som helst motiver. Vet du hva appene dine kan gjøre?

Vannet ditt er sikkert hos oss

Rent vann og velfungerende kloakk er noe vi tar for gitt i Norge, på samme måte som luften vi puster i. De færreste har derfor noensinne lurt på hvor vannet deres er på et gitt tidspunkt (det er jo bare å åpne kranen), og hva som skjer etter at man har skylt toalettet er i hvert fall ikke vårt problem.

Hacket norsk nettside for pårørende til narkomane

Dette var en av overskriftene som lyste mot oss på Aftenpostens nettutgave den 19. Mars. Det viser seg at flere nettsider som bruker webhotelltjenester hos Domeneshop.no har blitt hacket av en ungdomsgruppe. I følge Aftenpostens kilder kan en sårbarhet hos en av webhotellets kunder føre til at andre kunder blir rammet, og at deres informasjon blir kompromittert. Hvor ligger årsaken til dette?

Min oppfatning i saken er at problemet er todelt:

På den ene siden ser vi at det er publisert websider med alvorlige sårbarheter. Aftenposten kontaktet meg i forbindelse med denne saken og viste meg deler av et eksempel på hvordan angriperne har gått fram. Fra det konkrete eksempelet så man at websideleverandøren (kunde av webhotellet) hadde brutt med flere gode praksiser for å unngå å bli hacket:

SmartGrid og sikkerhet – en kort innføring

Foredrag om sikkerhet i smartgridTidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:

  • Hva smartgrid er og hvorfor vi ønsker smartgrid
  • Status for arbeidet med smartgrid i Norge
  • Hvilke informasjonssikkerhetsutfordringer man har i smartgrid
  • Om det er noen forskjell på sikkerhet i smartgrid og sikkerhet i andre typer systemer

IMMER: Bedre håndtering av informasjonssikkerhetshendelser

Vi har nylig startet vårt arbeid i prosjektet IMMER – Information Security Incident Management and Emergency Preparedness. IMMER skal gjøre norsk industri bedre i stand til å håndtere uønskede IKT-hendelser, spesielt i situasjoner der man har behov for samarbeid og deling av informasjon på tvers av organisatoriske skiller og geografiske avstander. Et eksempel på en slik situasjon er oljesektorens Integrerte Operasjoner der personell fra ulike steder samarbeider ved hjelp av IKT. Smart Grids i kraftsektoren vil også gi tilsvarende utfordringer.

AMS-sikkerhet i media

Utsnitt fra Tekst-TV
Utsnitt fra Tekst-TV

Risikovurderingen av AMS som vi har utført for NVE, har vekket interesse i flere norske medier den siste uka. Teknisk Ukeblad slo det opp som forsidesak, og NRK Trøndelag har hatt radiointervju og laget nyhetssak på nett.

Det er scenarioet med hackere som kan mørklegger større områder som trekkes fram, det som vi har omtalt som det verst tenkelige scenarioet i rapporten.

Vårens vakreste eventyr – Sikkerhet og sårbarhet 2012

8.-9. mai er det duket for Sikkerhet og sårbarhet 2012! Dette er 10. år på rad at konferansen arrangeres, og programmet er nå klart. Konferansen arrangeres på Royal Garden Hotel i Trondheim, og den sosiale happeningen er – som vanlig(!) – en spennende overraskelse til deltakerne.

Risikovurdering av AMS

Generell AMS-infrastruktur

SINTEF har utført en risikovurdering av AMS – avanserte måle- og styringssystemer – for Norges vassdrags- og energidirektorat (NVE). AMS innebærer automatisk strømmåleravlesning hver time, og er et steg på veien mot Smart Grids.

Risikovurderingen er på et overordnet nivå, og hvert enkelt nettselskap er ansvarlig for å utarbeide egne risikovurderinger for sine spesifikke løsninger.

Med sikkerhet på agendaen

Aftenposten hadde i forrige uke et bilag om informasjonssikkerhet – “Corporate security – Med sikkerhet på agendaen”. Bladet inneholder gode råd og anbefalinger til hvordan man bør adressere sikkerhetsutfordringene i egen virksomhet. Vi bidro under overskriften “Økt tilgjengelighet skaper sikkerhetsutfordringer”.

– Vil spore pasienter med ultralydsender

Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)
Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)

Teknisk Ukeblad (tu.no) og forskning.no kunne før helgen presentere et av helseinformatikkprosjektene hvor SINTEF er partner (CoOperation Support Throught Transparency). En av forskningsaktivitetene som omtales her, tar sikte på å registrere hvor både pasienter og sykehusansatte (og utstyr) befinner seg til enhver tid. Hensikten er likevel ikke å overvåke – men derimot å kunne gi den enkelte ansatte et relevant utsnitt av hva som skjer – uten at noen må taste all denne informasjonen inn på en PC manuelt. Ved hjelp av et slikt verktøy skal de ansatte forhåpentligvis kunne koordinere sin egen arbeidshverdag bedre – et system som selv kan forstå hva som skjer, og på denne måten bringe slik informasjon nærmere brukerne. Problemet er bare at slik informasjon kan være sensitiv, siden det dreier seg om helseaktiviteter tilknyttet ekte pasienter.