Cybersecurity forskningsgruppe
Måling av informasjonssikkerhet er vanskelig. Like fullt viktig. Målinger kan brukes til å se om de sikringsmekanismene man har implementert, fungerer etter planen. I høst har vi veiledet en student gjennom en prosjektoppgave som gikk ut på å undersøke hvordan ulike virksomheter måler informasjonssikkerhet. Vi ønsket å finne ut hvilke metrikker som er i bruk, hvordan de brukes og hvordan de følges opp.
I november hadde vi en artikkel på forskning.no om «Datatjenester med innebygd selvforsvar». I dette oppfølgerinnlegget forklarer vi litt mer hva som menes med selvforsvar i denne sammenhengen.
Som vanlig når det nærmer seg nyttår og nye muligheter, er det en rekke eksperter som skal uttale seg om hva de tror blir viktige trender for det nye året. I sikkerhetsdomenet er det heller ikke mangel på slike eksperter, og så er det vel heller ikke mangel på viktige punkter å ta opp. Her kommer en oversikt over noen av de viktigste punktene, og helt til slutt et par positive ting:
Hver gang noen sier at sikkerhetsmekanismene de bruker må være hemmelige for å være sikre, er det grunn til å være skeptisk. For, hvis det faktisk er sant at de må være hemmelige, så er de heller ikke sikre.
Det er et grunnleggende prinsipp innen informasjonssikkerhet som sier at man må anta at «angriperen vet alt om systemet», som kan sees på som en generalisering av Kerckhoffs berømte prinsipp. Men hvorfor er det slik? Hvorfor skal vi på død og liv betrakte angripere som orakler som kan alt? Det kan da virkelig ikke være nødvendig? Eller?
Ivar Aasen var en kjernekar, og det er ikke ham jeg vil til livs i dette innlegget. Nei, det er nynorsk av den andre sorten som plager meg – hvorfor kan det ikke finnes bedre NORSKE ord for engelske informasjonssikkerhetbegreper?
Håndtering av informasjonssikkerhetshendelser blir ofte sett på primært som en teknisk øvelse: Maskiner har blitt infisert, systemer er nede, eller man oppdager mistenkelig aktivitet i nettet – og nå må maskiner oppdateres, brannmurkonfigurasjoner sjekkes, osv. Det tekniske arbeidet som gjøres for å få kontroll over situasjonen er selvfølgelig helt nødvendig. Flere studier peker imidlertid på kommunikasjon og samarbeid som en nøkkel til å oppnå effektiv håndtering av hendelser i et langsiktig perspektiv.
Viktige ting kan sjelden sies ofte nok. Lag gode passord og hold de for deg selv. Både dine personlige informasjonsverdier og din arbeidsgivers informasjonsverdier/aktiva er avhengig av dine passordvalg.
Personvern er kanskje ikke det man forbinder mest med innovasjon. Noen vil kanskje påstå at krav til personvernhensyn heller hindrer innovasjon, fordi man ikke kan lage så fancy produkter og tjenester som man aller helst vil. Privacy by Design, eller innebygd personvern som man etterhvert kaller det på norsk, kan på mange måter være motsvaret til slik kritikk: I stedet for å marginalisere eller dekke over betydningen av personvern gjennom produktet eller tjenestens tilvirkning, kan vi heller vektlegge innovasjonsmulighetene i å integrere personvern-aspekter tett i hele designprosessen. Jeg skal i dette innlegget presentere syv prinsipper som er foreslått for å gi produkter og tjenester et konkurransemessig fortrinn, basert på den bærekraftige tilliten som godt personvern vil kunne skape, og ikke minst ivareta i det lange løp. I et senere innlegg skal vi dessuten se nærmere på noen erfaringer fra forskningsbasert anvendelse av disse prinsippene, primært fra helse- og velferdsteknologi.
I løpet av de neste ukene bidrar vi med flere foredrag på ulike kurs og seminarer; videreutdanningskurs ved NTNU, Teknologiforum for Norge digitalt og informasjonssikkerhetsseminarer for IFEA og NVE/NorSIS.
I forbindelse med lanseringen av iOS6 har vi tatt en kjapp gjennomgang av 
Apple sine retningslinjer for personvern.
Som de fleste lisensavtaler inneholder disse retningslinjene mer eller mindre konkret informasjon om hva personopplysninger kan brukes til, for eksempel tilpasset markedsføring, produktutvikling eller forskning (se tidligere blogg-post: Vi vil muligens nesten aldri selge din informasjon…). Det vi reagerer spesielt på hos Apple er deres definisjon av ikke-personlig informasjon – data i en form som ikke åpner for direkte assosiering med en spesifikk person. I retningslinjene fra Apple står det at vi kan samle, bruke, overføre og gjøre tilgjengelig ikke-personlig informasjon til ethvert formål, her er det altså snakk om fint lite begrensninger.
Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?
Enkelte av de mest populære appene for Android er laget av firmaer som det ikke er mulig å finne ut noe om.
På smartgridkonferansen 12. september 2012 overleverte vi en rapport til NTE og Telenor som identifiserer 30 trusler mot strømmålere, og beskriver fem potensielle angrep relatert til Avanserte Målestystemer (AMS). Rapporten har blitt til i samarbeid med Telenor (som har finansiert arbeidet) og NTE og deres live-lab, DemoSteinkjer (som har bidratt med faglig input). Aidon, som er en leverandør av målere, har også bidratt med informasjon om hvordan AMS-systemer fungerer. Mange av truslene er relevante for de fleste typer av målere, og rapporten kan ikke brukes til å rangere ulike teknologier opp mot hverandre når det kommer til sikkerhet.
Da er Norsk Informasjonssikkerhetsforums høstkonferanse over for denne gang. SINTEFs delegasjon besto av Jostein og Maria som begge holdt foredrag. Det er tre punkter som slår meg etter å ha følt på inntrykkene fra konferansen:
• Så mye god sikkerhetskompetanse som finnes her til lands! Både foredragsholdere og samtalepartnere viser en svært god innsikt i fagfeltet.
• Så bra og viktig at noen tar initiativet til å samle fagfeller. Vi har 
alle ekspertise på ulike områder. Slike fora for å dele kunnskap bringer fagfeltet framover.
• Alle sikkerhetseksperter har en kommunikasjonsutfordring
Jostein Jensen og Maria B. Line skal holde foredrag på ISF høstkonferansen. Jostein skal snakke om identitetshåndtering; praktisk anvendelse av federering, og Maria har igjen sikkerhet i smartgrid på dagsorden, denne gang med tittelen «Få naboen til å betale strømmen din.» ISF høstkonferansen avholdes 3.-5. september i Larvik.
De siste dagene har det vært flere mediaoppslag rundt kronprinsfamiliens private bilder på nett. Det kan være en sikkerhetsrisiko for dem at for mye informasjon angående deres private gjøren og laden er tilgjengelig på Internett, akkurat som det kan være for andre offentlige personer med særskilt beskyttelsesbehov. Men det å dele informasjon og utstrakt eksponere seg selv innebærer også en sikkerhetsrisiko for deg og meg.
Den här veckan arrangeras, för sjunde året i rad, «The International Conference on Availability, Reliability and Security (AReS)» i Prag. AReS är en årlig mötesplats för forskare och utvecklare som jobbar med tillgänglighet, pålitlighet och säkerhet i olika typer av IT system.
SINTEF representeras i år av Martin, Per Håkon, Jostein, Åsmund och undertecknad.
Google lanserte denne våren sine egne «briller», den virkelighetsberikende øye- og stemmestyrte prototypen Google Glasses, som kan projisere diverse informasjon rett foran øyet ditt. Dette er alt fra meldinger på mobilen din, til offentlig informasjon basert på stedet du befinner deg og ting du ser på (og gjerne annonser). Dingsen har da selvsagt også både kamera og GPS.
Produktet er både visjonært (beklager ordspillet) og spennende, sett fra et gjennomsnittlig teknogeek-perspektiv. Det skal imidlertid bli interessant å se hvordan folk vil forholde seg til å bli video-beglodd av andre til stadighet, særlig hvis annonsegiganten velger å benytte sin nye altoverspennende personvernpolicy for også dette produktet.
Informasjon er etter hvert blitt en av de mest sentrale verdiene i de fleste virksomheter. Man er avhengig av tilgang til og beskyttelse av regnskapsdata, kundedata, teknisk dokumentasjon, prosessbeskrivelser, osv. Man er også avhengig av systemer for å kommunisere og dele informasjon. Dette gjør informasjonssikkerhet til en essensiell oppgave. Likevel kan det være utfordrende for de med informasjonssikkerhetsansvar å vise hva deres arbeid bidrar med for virksomheten, og om sikkerhetsarbeidet drives på en effektiv måte.
For de som er opptatt av å følge sikkerhetsstandarden ISO 27001, er det et krav om å gjennomføre måling for blant annet å kunne vurdere om sikkerhetsaktivitetene blir utført etter hensikten, om sikkerhetstiltakene er virkningsfulle og om styringen av sikkerhetsarbeidet er effektiv. Men hvordan bør man egentlig gå frem når man skal måle, og hvilke ressurser kan være til hjelp i arbeidet?
QR-koder er flotte saker – alle som har en smart-telefon kan enkelt skanne koder på kinoplakater eller hva-det-skal-være, og vips gå direkte til en internettside med mer informasjon. Noe som er så brukervennlig kan vel neppe være sikkert?