Om bare noen dager er det 
igjen klart for Sikkerhet og sårbarhet i Trondheim – en viktig møteplass for oss som har informasjonssikkerhet på agendaen. SINTEF er godt representert i programmet, og vi ser fram til å møte deg 9.-10. mai på Clarion Hotel & Congress. Les videre for å se hvilke foredrag vi bidrar med i år.
Også hackere tar lunsjpause
Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.
7 trykkpunkter for programvaresikkerhet
Programvaresikkerhet er nødvendig for all programvare! Imidlertid må vi innse at sannsynligheten er liten for at alle utviklere skal hive seg på alle de 113 aktivitetene i BSIMM på en gang. Hvor kan man da begynne? Gary McGraw lanserte for over 10 år siden en samling med god praksis for programvaresikkerhet som kanskje kan være et godt utgangspunkt.
Vil du ha gratis penger?
Fullt så enkelt er det ikke, men det europeiske forskningsprogrammet Horizon2020 utlyser forskningsmidler for millioner av Euro i høst, og det er gode muligheter for norske små og mellomstore virksomheter. Fredag 24/3 arrangerer vi en idé-workshop spesielt rettet mot høstens utlysning relatert til beskyttelse av kritisk infrastruktur innenfor områdene Finans, Kommunikasjon og Helse.
Medisinsk utstyr kan hackes
Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.
Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:
Blockchain – verdens frelser?
I media, samt ulike fora hvor undertegnede ferdes, registres det en økende interesse for og tro på at blockchain kan brukes til å løse de fleste problemer. Jeg ønsker med dette å problematisere denne oppfattelsen.
Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak
“For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.” Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.
Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.
SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.
DevOps og/eller sikkerhet?
Første gang jeg hørt uttrykket “DevOps” var i en samtale med Gary McGraw under AReS-konferansen i Wien i 2011 – jeg tenkte ikke mye over det da, men i de siste par årene virker det som om DevOps har klatret til toppen av hype-syklusen, og det dukker opp over alt.
Informasjonssikkerhets-julenøtter!
Som årets lengste bloggtittelord indikerer, har vi lyst til å tipse om noen problemer du kan få bryne deg på i jula. Tradisjon tro kommer SANS med sin Holiday Hack Challenge, hvor du skal redde julenissen og fange slemmingen som har kidnappet ham (nei, dette er ikke akkurat samme plott som Snøfall på NRK). Her befinner vi oss i et nostalgisk point’n click eventyrspill ispedd sikkerhetsutfordringer, og dette er i det hele tatt veldig forseggjort. Anbefales!
Undersøkelse rundt maritim kommunikasjonssikkerhet
I forbindelse med prosjektet Cyber Security in Merchant Shipping (CySiMS), gjennomføres det nå en spørreundersøkelse for å kartlegge effekten av sikkerhetsproblemer i maritime operasjoner. Resultatet skal brukes til å lage et rammeverk og verktøy for å støtte den maritime industri i gjennomføring av risikoanalyser med fokus på sikkerhet (security).
Sløyfer og slips i ROS analyser
De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.
Trusselmodellering og hasardspill
Neste uke holder vi kurs i trusselmodellering ved hjelp av dataflytdiagrammer og angrepstrær i regi av PROFES-konferansen i Trondheim, og runder av det hele med litt Protection Poker.
Hacking av smarte hus
I
forrige uke gikk konferansen Fremtidens smarte bygg av stabelen i regi av Norsk Forening for Automatisering. I den anledning hadde jeg gleden av å gi de oppmøtte en liten innføring i noen av de sikkerhetsproblemene som følger med på lasset når husene blir stadig smartere. Her skal du få en liten smakebit av det som ble delt der.
IT-sikkerhet og folks følelser
Dagens Næringsliv trykket lørdag 29. oktober en kronikk skrevet av undertegnede sammen med IT-sikkerhetsleder i SINTEF, Maria Bartnes. Med DNs tillatelse har forskningsmagasinet Gemini gjort artikkelen åpent tilgjengelig. Her presenterer vi en studie som viser hvilken betydning det har å ta hensyn til folks følelser når man arbeider med den menneskelige siden av sikkerhetsarbeidet.
Digi.no har videre publisert vår oppfølger til DN-kronikken, der vi går nærmere inn på hvordan bedrifter kan gjøre de ansatte mer mottakelige for IT-sikkerhetsopplæring.
Husk å tenke på informasjonssikkerhet når du “sourcer”!
På lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.
Foredrag om pacemakerhacking
Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en “keynote” foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.
En ny aktivitet i BSIMM7
Cigital feirer (inter)nasjonal sikkerhetsmåned med å slippe en ny versjon av BSIMM-studien – versjon 7!
Denne utgaven har med data fra 95 forskjellige virksomheter, og totalt 237 forskjellige målinger. Nytt av året er aktiviteten [SE3.4] “Use application containers” (som vi kan oversette til “Bruk applikasjonscontainere” – f.eks. Docker). Det er tydelig at BSIMM ønsker å ligge litt i forkant her, ettersom det er ingen av de undersøkte virksomhetene som så langt rapporterer at de gjør denne aktiviteten.
Statisk analyse for smidig utvikling – er det mulig?
Som et slags bidrag til nasjonal sikkerhetsmåned, arrangerer vi 25. oktober nok et frokostmøte i samarbeid med Dataforeningen i Trondheim. Temaet denne gang er statisk analyse for sikkerhet.
Nettverksmøte 28. september om sikkerhetsopplæring og GDPR
Dataforeningen Trøndelags faggruppe for informasjonssikkerhet inviterer til faglig påfyll og mingling onsdag 28. september fra kl.1530 til kl.18, på DIGS i Trondheim. SINTEF bidrar med erfaringer fra internt sikkerhetsarbeid koblet med forskningsbasert kunnskap om hva som gjør folk mottakelig for opplæring. Datatilsynet forteller om nye personvernregler. Gratis deltakelse, enkel servering.
Sikkerhetsforskning og aksjespekulasjon
Hva har dette til felles, kan man kanskje spørre seg? Kanskje ikke helt opplagt om du ikke har fått med deg nyheten om at sikkerhetsforskere slo seg sammen med børsspekulanter og profiterte på aksjehandel i forbindelse med at de publiserte en rapport om sårbarheter i pacemakere.