Temamøte om ikke-funksjonelle krav

Sammen med kolleger fra SINTEF arrangerte vi 26/9 et temamøte med det klingende navnet “Ikke-funksjonelle krav i smidige prosjekter” hos KnowIt i Oslo. Møtet hadde deltakere fra bedrifter som deltar i forskjellige forskningsprosjekter med SINTEF Digital i Trondheim, og fokuset var på sikkerhet (security), trygghet (safety) og skalerbarhet (scalability).

Jeg flyr alene

En gang i tiden var det nødvendig med en rekke personer i cockpit på flyet når man skulle fly lengre distanser. På 1950 tallet var to piloter, en ingeniør, en navigatør og en radiooperatør normen på langdistanseflygninger. Den raske utviklingen av kommersiell radio, sammen med en internasjonal enighet om at all kommunikasjon skal skje på engelsk, gjorde raskt at radiooperatøren ble overflødig. Navigatøren forsvant på 60-tallet og med introduksjonen av den moderne jetmotoren på 80-tallet var det ikke lenger bruk for en ingeniør ombord til å justere motoren underveis.

Typical Civil Aviation Flight Deck Crew from the 1940s. Bilden kommer fra artikkelen “Cyber Safety and Security for Reduced Crew Operations” skrevet av Kevin Driscoll / Honeywell.

I dag er det fortsatt et absolutt krav om to piloter i cockpit for alle kommersielle jetfly som frakter passasjerer eller last. Men, helt i tråd med den økende digitaliseringen av vårt samfunn, er det igjen aktuelt å redusere besetningen: kanskje det er mulig å erstatte andrepiloten i cockpit med en løsning der førstepiloten isteden har støtte fra bakken?

Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg “hackere”. Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

“Pasienten” overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som “prøvekaniner”. Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Starmus Cyber and Information Security Day

Starmus-festivalen arrangeres i Trondheim i uke 25 med. Tirsdag 20. juni er NTNU vertskap for et tematisk seminar om forskning og utdanning innen cyber- og informasjonssikkerhet på Gløshaugen. Programmet starter kl. 09.00 og inngang er helt gratis. Fra SINTEF deltar forskningsleder Marie Moe med innlegg om forskning på sikkerhet i medisinsk utstyr. I tillegg deltar Erlend Andreas Gjære i en paneldebatt om gamification i samband med informasjonssikkerhetsopplæring.

STOP-IT – sikkerhet i vannbransjen

1. juni startet H2020-prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats). Dette er en såkalt Innovation Action i H2020-programmet Secure Societies, og skal sette sammen både eksisterende prototyper og nyere teknologi, prosedyrer og metoder for å…

When the going gets tough, the tough go to the pub

Vi innleder juni med en Hacker’s Pub i samarbeid med Dataforeningen på Work-Work. Temaet er “Mobile applications and security”, og vi fører an med innlegget “Static Analysis Tools for analysing Security in Mobile Applications”, presentert av vår post doc. Tosin Oyetoyan og gjesteforsker Marcos Chaim fra Brasil.

Sikkerhet og Sårbarhet 2017

Om bare noen dager er det igjen klart for Sikkerhet og sårbarhet i Trondheim – en viktig møteplass for oss som har informasjonssikkerhet på agendaen. SINTEF er godt representert i programmet, og vi ser fram til å møte deg 9.-10. mai på Clarion Hotel & Congress. Les videre for å se hvilke foredrag vi bidrar med i år.

Også hackere tar lunsjpause

Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.

7 trykkpunkter for programvaresikkerhet

figProgramvaresikkerhet er nødvendig for all programvare! Imidlertid må vi innse at sannsynligheten er liten for at alle utviklere skal hive seg på alle de 113 aktivitetene i BSIMM på en gang. Hvor kan man da begynne? Gary McGraw lanserte for over 10 år siden en samling med god praksis for programvaresikkerhet som kanskje kan være et godt utgangspunkt.

Vil du ha gratis penger?

Fullt så enkelt er det ikke, men det europeiske forskningsprogrammet Horizon2020 utlyser forskningsmidler for millioner av Euro i høst, og det er gode muligheter for norske små og mellomstore virksomheter. Fredag 24/3 arrangerer vi en idé-workshop spesielt rettet mot høstens utlysning relatert til beskyttelse av kritisk infrastruktur innenfor områdene Finans, Kommunikasjon og Helse.

Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak

“For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.” Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.

Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.

SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.

Informasjonssikkerhets-julenøtter!

sans2Som årets lengste bloggtittelord indikerer, har vi lyst til å tipse om noen problemer du kan få bryne deg på i jula. Tradisjon tro kommer SANS med sin Holiday Hack Challenge, hvor du skal redde julenissen og fange slemmingen som har kidnappet ham (nei, dette er ikke akkurat samme plott som Snøfall på NRK). Her befinner vi oss i et nostalgisk point’n click eventyrspill ispedd sikkerhetsutfordringer, og dette er i det hele tatt veldig forseggjort. Anbefales!