Cybersecurity forskningsgruppe
Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.
Cigital feirer (inter)nasjonal sikkerhetsmåned med å slippe en ny versjon av BSIMM-studien – versjon 7!
Denne utgaven har med data fra 95 forskjellige virksomheter, og totalt 237 forskjellige målinger. Nytt av året er aktiviteten [SE3.4] «Use application containers» (som vi kan oversette til «Bruk applikasjonscontainere» – f.eks. Docker). Det er tydelig at BSIMM ønsker å ligge litt i forkant her, ettersom det er ingen av de undersøkte virksomhetene som så langt rapporterer at de gjør denne aktiviteten.
Som et slags bidrag til nasjonal sikkerhetsmåned, arrangerer vi 25. oktober nok et frokostmøte i samarbeid med Dataforeningen i Trondheim. Temaet denne gang er statisk analyse for sikkerhet.
Dataforeningen Trøndelags faggruppe for informasjonssikkerhet inviterer til faglig påfyll og mingling onsdag 28. september fra kl.1530 til kl.18, på DIGS i Trondheim. SINTEF bidrar med erfaringer fra internt sikkerhetsarbeid koblet med forskningsbasert kunnskap om hva som gjør folk mottakelig for opplæring. Datatilsynet forteller om nye personvernregler. Gratis deltakelse, enkel servering.
Hva har dette til felles, kan man kanskje spørre seg? Kanskje ikke helt opplagt om du ikke har fått med deg nyheten om at sikkerhetsforskere slo seg sammen med børsspekulanter og profiterte på aksjehandel i forbindelse med at de publiserte en rapport om sårbarheter i pacemakere.
De senere årene har flere fly styrtet og man har i ettertid hatt lange leteaksjoner etter de svarte boksene for å kunne gi pårørende og verden svar på hva som har skjedd. Dette har medført at flere har tatt til orde for at de svarte boksene burde strømmes ut i skyen. Senest i starten av juni ville NRK vite mer om muligheten for dette fra våre kollegaer Martin Gilje Jaatun og Ivonne Herrera.
Her skal vi ta en kikk på hva disse berømte svarte boksene er for noe, mulighetene som åpner seg om vi legger disse i skyen og selvsagt også noen tuer langs veien (de kan som kjent velte store lass).
Arkitekturanalyse (Architectural risk analysis) er en av de viktigste programvaresikkerhetsaktivitetene man kan gjøre – Gary McGraw har uttalt at hvis du bare kan gjøre én ting, bør du satse på arkitekturanalyse.
Imidlertid er det et begrep som mange har vanskeligheter med å få fatt på. Navnet er i seg selv en utfordring – på norsk skulle det kanskje ha vært «arkitektonisk risikoanalyse», men det ble nesten for meget av det gode. I denne artikkelen skal vi gjøre et forsøk på å gi et litt klarere bilde av hva vi legger i begrepet.
Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?
De fleste nyter nok en velfortjent sommerferie, men det skader ikke å tenke noen uker framover! Ta løpefart på høsten med faglig påfyll i august!
I dag kommuniserer pilot og flygeleder for det meste muntlig. Men flyene har også muligheten til å bruke en datalink for å utveksle instruksjoner og informasjon via tekst.
Alle nordmenns gode venn Winston Churchill sa en gang «… this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.» I samme situasjonen befinner vi oss når det gjelder accountability i nettskyen. Prosjektet A4Cloud – Accountability for Cloud and other Future Internet Services, som vi har omtalt her på bloggen tidligere, er avsluttet, men stadig gjenstår det arbeid i både industri og forskning før vi kan påberope oss accountability i enhver nettsky.
Prof. Laurie Williams og hennes gruppe ved North Carolina State University har utviklet en enkel, rask og engasjerende måte å vurdere risiko på spesielt for smidige utviklingsteam: Protection Poker! I dette innlegget vil vi fortelle hvordan man kan starte å spille Protection Poker, samt noe om bakgrunnen for spillet og hvilke erfaringer som ble gjort da Laurie og hennes team testet spillet i Red Hat IT.
Samme hvor gjerne vi måtte ønske oss sikre systemer, så er det i praksis umulig å forhindre alle sikkerhetsfeil. Man har begrenset med tid, penger og ekspertise, og man trenger systemer som er enkle å bruke og vedlikeholde. Spørsmålet man da trenger svar på er hvor mye sikkerhet man skal ha, og hvor man skal satse de sikkerhetsressursene man har.
Det finnes generelt to hovedtilnærminger til å bestemme hvilket nivå man skal legge seg på angående sikkerhet, og hvilke tiltak man skal prioritere:
Disse er ikke i direkte motsetning. Som eksempel så vil man gjerne ta hensyn til regler og god praksis i vurdering av risiko, og god praksis innebærer gjerne at man har oversikt over risiko. Men hvilken av disse hovedtilnærmingene man vektlegger sterkest påvirker hvordan man jobber med sikkerhet, og de har begge sine fordeler og ulemper. Kort sagt så vil en risiko-basert tilnærming være bedre for å oppnå kostnadseffektiv sikkerhet, men det krever mer kompetanse enn om man går for sjekkliste-versjonen av sikkerhet. Vi vil nå forklare dette nærmere.
Begrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden.
Forsikringsbransjen har ihvertfall begynt å mene dette! Vi inviterer til en oppdatering på det hotteste produktet fra forsikringsbransjen for tiden, cyberforsikring. Vi får besøk fra University of Cambridge, og vil sammen dele analyser av hva som kan være viktig ved vurdering av slike produkter, og om dette kan passe for alle virksomheter på linje med f.eks. eiendoms- eller ansvarsforsikring. Sammen med Næringsforeningen i Trøndelag inviterer vi til frokost og faglig påfyll om cyberforsikring, torsdag 28. april kl. 08.00 i Trondheim (NB! Obligatorisk påmelding).
Har du en knakende god idé for en informasjonssikkerhetsløsning? Da kan du være med og konkurrere om tusenvis av Euro i Security Rockstars!
DnD, ISF og ISACA gjentar suksessen med felles nettverksmøte i Trondheim 6. april. Det blir foredrag fra Uninett, NTNU og Signicat, og det rundes av med lett servering og nettverksbygging.
Nok en gang arrangeres Sikkerhet og sårbarhet i Trondheim i mai – en viktig møteplass for oss som har informasjonssikkerhet på agendaen i hverdagen. 10.-11. mai på Clarion Hotel & Congress – programmet er klart – meld deg på nå.
SINTEF har utarbeidet en høringsuttalelse til NOU 2015:13 Digital sårbarhet – sikkert samfunn. Vi anbefaler at det framskaffes mer kompetanse innenfor IKT-sikkerhet, både som eget område samt integrert med spesifikke sektorer. Ikke minst må IKT-sikkerhet på tvers av sektorer styrkes. Dessuten må IKT-sikkerhet inkluderes i alle IKT-utdanninger og ikke bare være et frittstående utdanningsløp.
ISO 27001 har etterhvert blitt en kjent standard i sikkerhetsmiljøet og stadig flere virksomheter følger denne og søker sertifisering. I dette innlegget gir vi en kort introduksjon til hva denne standarden er, og hva som er viktige fordeler ved å følge den.