16. juni arrangerer vi et virtuelt møte i CDS-forum hvor to masteroppgaver og et påbegynt PhD-studium i nedslagsfeltet IT/OT-sikkerhet vil bli presentert. Møtet er åpent for alle interesserte.
Presentasjon av studentprosjekter IKT-sikkerhet
Hvor topp er det egentlig med virtuelle møter?
Noen og enhver kjenner sikkert på følelsen av «zoom fatigue», men i mangel av fysiske møteplasser arrangerer vi nok et virtuelt fellesmøte med ISF, ISACA, CSA Norge og Dataforeningen!
Hvordan kan man tilbakekalle digitale sertifikater i maritim sektor?
Tilbakekalling (revokering) av digitale sertifikater er kjent som et vanskelig problem på nettet, og det er enda vanskeligere i begrensede miljøer som i maritim sektor, hvor skip kan befinne seg til havs i lange perioder med ingen eller svært begrenset…
Sikkerhetsoperasjoner
Det å passe på sikkerheten til et system etter at det har vært satt i drift, har tradisjonelt vært sett på som en (ja, nettopp) driftsoppgave som «de på IT» tar seg av.
Et vellykket programvaresikkerhetsinitiativ må imidlertid også omfatte sikkerhetsoperasjoner eller nettverkssikkerhet, for å sørge for full tilbakekopling til utviklerne.
Kan NSMs grunnprinsipper for IKT-sikkerhet brukes for prosesskontroll-systemer?
Nasjonal sikkerhetsmyndighet har gitt ut en samling tiltak for IKT-sikkerhet i I(K)T-systemer. På oppdrag fra Ptil har vi gjennomført en evaluering av disse tiltakene, og finner at med noen få unntak er de relevante også for prosesskontrollsystemer i petroleumsindustrien, men at en del tiltak krever noen ekstra tillempninger.
Sju (pluss/minus to) steg til bedre program-varesikkerhet
Programvaresikkerhet handler om sikker funksjonalitet snarere enn sikkerhetsfunksjonalitet, dvs. å lage programvare slik at den oppfører seg som forventet også når den utsettes for angrep. Det finnes en lang rekke anbefalte aktiviteter som kan bidra til å nærme seg dette målet, men hvor skal man begynne? Etter fem års forskning på dette temaet har vi et forslag til ni steg som kan representere en slik begynnelse.
Hendelseshåndtering i industrielle kontrollsystemer – resultater fra en masteroppgave
Denne artikkelen er skrevet av Ingrid Volden og Thea Rydjord på bakgrunn av deres masteroppgave. Integrering av IT-komponenter med industrielle kontrollsystemer har endret trusselbildet radikalt for OT (operasjonsteknologi), som medfører at IT og OT ansatte i oljeindustrien må samarbeidet om…
Statisk kildekodeanalyse
Statisk kildekodeanalyse (på utenlandsk også kjent som Static Application Security Testing – SAST) betyr å passivt søke gjennom kildekode uten å kjøre den. Det kan inngå som en del av såkalt hvitboks-testing, hvor vi ser på koden mens den er…
Testing av pacemakere – øvelse gjør mester!
En pacemaker er ikke en frittstående enhet som opereres inn i en pasient og deretter overlates til seg selv i årevis uten noen form for kommunikasjon med omverdenen. Introduksjon av telemedisin og fjernovervåking har medført at det faktisk kreves et helt økosystem for å holde en pacemaker i korrekt og effektiv drift.
Virtuelt møte om EU-forskning 24. juni
I regi av Referansenettverk for Digital Sikkerhet arrangerer vi 24/6 et virtuelt møte for å snakke om muligheter for deltagelse i EU-prosjekter generelt, og spesielt om hva som skjer i det nye programmet Horizon Europe.
Blir sikkerheten egentlig bedre med ny teknologi? – Resultater fra masteroppgave
Denne artikkelen er skrevet av Caroline Selte som en del av hennes masteroppgave. Maskinlæringsalgoritmer tar over sikkerhetsløsninger på e-post – men gjør det sikkerheten bedre? En sikkerhetsløsning for e-post som innebærer avansert analyse av lenker og vedlegg er et sånt…
Hvordan spore smitte uten at personvernet kastes ut med badevannet
I årets andre kvartal gikk store deler av verden mer eller mindre i karantene som følge av COVID-19-pandemien. Det viktigste virkemiddelet for å stoppe smittespredningen regnes for å være isolasjon av de som er smittet, men dette forutsetter at man vet hvem den smittede har vært i kontakt med (og potensielt kan ha smittet). Slik smittesporing gjøres i dag manuelt, men det er en langsom og ressurskrevende prosess, noe som har ført til at både myndigheter, virksomheter og akademia har vært på ivrig leting etter bedre løsninger for samling av slike data.
Noen oppklarende formuleringer rundt det kommende «European Cybersecurity Industrial, Technology and Research Competence Centre» og eventuelle norske avleggere
EU har lansert en forordring [1][2] hvor hvert medlemsland (og presumtivt EØS-land) skal opprette et nasjonalt koordineringssenter for cybersecurity. I tillegg skal det opprettes et nettverk («Cybersecurity Competence Community») bestående av sentrale aktører fra industri, akademia og det offentlige; og et «European Cybersecurity Industrial, Technology and Research Competence Centre». Både det nasjonale og det europeiske senteret vil ha som ansvar å tildele finansiell støtte, henholdsvis i det nasjonale økosystemet og knyttet til implementasjonen av Digital Europe- og Horizon Europe-programmene. Som en del av forarbeidet har H2020 finansiert 4 «Piloter» [3][4][5][6], som skal definere hvordan det europeiske kompetansesenter skal fungere. Det er norske deltakere i CyberSec4Europe [3] (NTNU og SINTEF) og Concordia [4] (UiO, Storbyuniversitetet og Telenor).
Oppdatering fra Referansenettverk for digital sikkerhet
Som mange lesere av bloggen sikkert husker, ble Referansenettverk for digital sikkerhet opprettet for å øke deltagelsen av norske virksomheter i europeisk sikkerhetsforskning. Vi vil prøve å øke aktivitetsnivået i vår – foreløpig på virtuelle arenaer.
Mobilteknologi og bekjempelse av COVID-19
Er det rett fram å bruke mobilteknologi for å bekjempe koronavirus, eller finnes det teknologiske og personvernmessige problemstillinger man må ta stilling til? Dette har vi et engelsk blogginnlegg om:
Hacking av 5G nettverksinfrastruktur
Ravi Borgaonkar har skrevet et engelsk blogginnlegg om hacking av 5G nettverksinfrastruktur, samt referat fra høstens 5G hackaton – les det her:
Cyber-angrep til salgs
I de illegale markedsplassene på det mørke nettet selges det digitale varer og tjenester for dataangrep. Dette gjør at man ikke trenger å være noen dataekspert for å stå bak et angrep og nesten hvem som helst med ondsinnet motivasjon er dermed en potensiell trussel. Vi har studert tilbud og etterspørsel i dette markedet for å lete etter nye angrepstrender.
Trusselmodellering i norsk oljesektor
Denne artikkelen er skrevet av Eivind Høydal som del av hans masteroppgave. Petroleumssektoren er viktig for vårt samfunn. I 2020 er det forventet at sektoren står for 19% av statens inntekter og 37% av Norges totale eksport . I tillegg…
Trusselmodellering av framtidens Nødnett
Denne artikkelen er skrevet av Sigrid Andersen Syverud som del av hennes masteroppgave. Nødnett er betegnelsen på den norske løsningen for beredskaps-/krisekommunikasjon, og nettet brukes blant annet til å sette opp gruppesamtaler mellom beredskapstjenester som politi, brannvesen og medisinsk nødhjelp.…
Nettselskapers involvering av underleverandører i hendelseshåndtering ved cyberangrep
Denne artikkelen er skrevet av Sara Waaler Eriksen og Sarmilan Gunabala som del av deres masteroppgave. Energisektoren er svært kritisk for dagens samfunn fordi alle andre sektorer er avhengig av at den er velfungerende. Ny teknologi, nye systemer og nye…