Hendelseshåndtering, kryptografi, og tilfellet WPA3 vs. TLS

Hendelseshåndtering er et begrep som vanligvis brukes ved datainnbrudd, men i en mer generell betydning omfatter det håndterings- og oppfølgingsrespons for enhver sikkerhetshendelse, inkludert håndtering av nyoppdagede sårbarheter i kritiske systemer. Hvordan ser hendelseshåndtering ut i tilfelle angrep på underliggende kryptografiske protokoller som brukes i verdensomspennende nettverk? Og enda viktigere, hvordan bør det se ut?

Kompleksitet vs. Sikkerhet

På Cycon 2018 holdt Thomas Dullien en presentasjon om den stadig voksende kompleksiteten av datamaskiner i forbindelse med sikkerhet. Han hevdet at enhetsprodusenter har vesentlig endret den typiske produktutviklingssyklusen med sikte på å redusere <<time-to-market>>. Dette betyr at maskinvare- og programvareutvikling skjer nesten samtidig, mens integrering og testing starter tidligere og tidligere i prosessen. Det betyr også at hvordan vi løser tekniske utfordringer har endret seg dramatisk.

Kvantedatamaskiner vs. dagens kryptering: en katastrofe?

Sintef ble intervjuet i en Digi-artikkel (bak betalingsmur) om kryptografi vs. kvante datamaskiner, som også er omtalt i dagens nyhetsbrev fra NSM. Dette er en oppfølging på en tidligere Digi-artikkel som handlet om presentasjonen av NSM-forsker Ole Kasper Olsen på NSMs Sikkerhetskonferanse i april. I den artikkelen, siterte Digi Olsen på hvordan kvantedatamaskiner kunne bli en realitet innen 2030, og ville være en katastrofe for krypto. Sintef rettet noen misforståelser i artikkelen, noe som Olsen anerkjenner.

Innebygd personvern – vinneren er kåret og ny konkurranse er utlyst

Bilde av pokal med grønn bakgrunn
Ill: fra Datatilsynet

Direktoratet for e-helse med deres Kjernejournal ble mandag kåret til vinner av konkurransen Innebygd personvern 2017. Vi gratulerer!

Datatilsynet utlyste samtidig neste års konkurranse – Innebygd personvern i praksis 2018. Nytt av året er en egen kategori for studenter, der premien er et stipend på 20.000 kr.

Sett deg på sikkerhetskartet!

I disse dager driver Europakommisjonen med en  kartlegging av hvor det finnes kompetanse på cybersecurity rundt omkring i Europa. Resultatene i denne undersøkelsen skal brukes til å lage et offentlig cybersecurity-atlas, som igjen vil være et nyttig verktøy når man for eksempel er på jakt etter partnere eller spesifikk kunnskap.

Informasjonssikkerhet for nettbransjen

Lille julaften 2015 svartnet det bokstavelig talt for mange ukrainere. Nærmere en kvart million var plutselig uten strøm, og mange fikk ikke strømmen tilbake på seks timer eller mer. Selv i et land hvor oppvarming hovedsakelig skjer med gass, er det ikke særlig trivelig å være strømløs midt på vinteren.

Innebygd personvern – bli med i konkurransen!

Send inn bidrag innen 1.desember og bli med i konkurransen «Innebygd personvern i praksis 2018»! Konkurransen arrangeres av Datatilsynet og vinneren kåres i februar 2018.

Målet med konkurransen er å løfte frem gode eksempler på praktisk bruk av prinsippene for innebygd personvern.

Temamøte om ikke-funksjonelle krav

Sammen med kolleger fra SINTEF arrangerte vi 26/9 et temamøte med det klingende navnet “Ikke-funksjonelle krav i smidige prosjekter” hos KnowIt i Oslo. Møtet hadde deltakere fra bedrifter som deltar i forskjellige forskningsprosjekter med SINTEF Digital i Trondheim, og fokuset var på sikkerhet (security), trygghet (safety) og skalerbarhet (scalability).

Jeg flyr alene

En gang i tiden var det nødvendig med en rekke personer i cockpit på flyet når man skulle fly lengre distanser. På 1950 tallet var to piloter, en ingeniør, en navigatør og en radiooperatør normen på langdistanseflygninger. Den raske utviklingen av kommersiell radio, sammen med en internasjonal enighet om at all kommunikasjon skal skje på engelsk, gjorde raskt at radiooperatøren ble overflødig. Navigatøren forsvant på 60-tallet og med introduksjonen av den moderne jetmotoren på 80-tallet var det ikke lenger bruk for en ingeniør ombord til å justere motoren underveis.

Typical Civil Aviation Flight Deck Crew from the 1940s. Bilden kommer fra artikkelen “Cyber Safety and Security for Reduced Crew Operations” skrevet av Kevin Driscoll / Honeywell.

I dag er det fortsatt et absolutt krav om to piloter i cockpit for alle kommersielle jetfly som frakter passasjerer eller last. Men, helt i tråd med den økende digitaliseringen av vårt samfunn, er det igjen aktuelt å redusere besetningen: kanskje det er mulig å erstatte andrepiloten i cockpit med en løsning der førstepiloten isteden har støtte fra bakken?

Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg “hackere”. Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

“Pasienten” overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som “prøvekaniner”. Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Starmus Cyber and Information Security Day

Starmus-festivalen arrangeres i Trondheim i uke 25 med. Tirsdag 20. juni er NTNU vertskap for et tematisk seminar om forskning og utdanning innen cyber- og informasjonssikkerhet på Gløshaugen. Programmet starter kl. 09.00 og inngang er helt gratis. Fra SINTEF deltar forskningsleder Marie Moe med innlegg om forskning på sikkerhet i medisinsk utstyr. I tillegg deltar Erlend Andreas Gjære i en paneldebatt om gamification i samband med informasjonssikkerhetsopplæring.