Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger. Les hele innlegget

Tilbake til røttene: Prinsipper for programvaresikkerhet

BuildingSecureSoftwareProgramvare blir stadig viktigere for alle deler av samfunnet, og det er økende bevissthet om at det er viktig med kvalitet og sikkerhet også i programvare. Sikkerhetsfeil i programvare er roten til mange av sikkerhetsutfordringene man opplever. Det har skjedd mye på programvaresikkerhetsområdet de siste årene, og det har dukket opp mange nye rammeverk og metoder man kan benytte for ulike deler av utviklingsprosessen. Det er bra. Samtidig kan det være nyttig også å se tilbake, for å gjenoppdage noe av det som har formet dette arbeidet og som har stått seg over flere år. I anledning av at vi i disse dager starter opp et nytt forskningsprosjekt innen programvaresikkerhet, gir vi en kort oversikt over 10 prinsipper for programvaresikkerhet, hentet fra en bok som har betydd mye for området, nemlig Viega og McGraws bok «Building Secure Software» fra 2001.

Les hele innlegget

Dypdykk i BSIMM del 7 – Standards and Requirements

2A0---A4I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Standards and Requirements, eller Standarder og krav.

Hovedmålet for praksisen «Standarder og krav» er å lage retningslinjer for alle interes­senter. Ledere og programvaresikkerhetsgruppen (SSG) må dokumentere programvaresikkerhetsvalg, og formidle dette materialet til alle som er invol­vert i livssyklusen for sikker programvareutvikling (SSDL), inkludert eksterne aktører.

Les hele innlegget

Utfordringer for ansvarliggjøring i nettskyen

accountability-challengesIngen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre.  Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services. Les hele innlegget

Personvern etter PRISM – en umulighet?

Vi har fryktet det og noen har sikkert forventet det også, men likevel er det lett å bli forbauset over omfanget av overvåking amerikanske myndigheter nå utfører. Med PRISM-prosjektet sitt, har NSA hatt tilsynelatende full tilgang til data fra alle store tjenesteleverandører i USA, inkludert Facebook, Google, Yahoo og Apple. Dette har foregått uavhengig av personvernerklæringer, personverninnstillinger, europeisk og norsk personvernlovgiving og internasjonale avtaler om personvern. Hvis ingen av disse tiltakene kan beskytte oss, er personvern da å betrakte som en illusjon?

Les hele innlegget

Bør vi satse på mennesker eller teknologi for å bli bedre til å oppdage angrep?

Flickr user Electroburger. Creative Commons Attribution-NoDerivs. I dag er alle virksomheter mer eller mindre på nett, og er dermed utsatt for et bredt trusselbilde og mange generelle angrep mot sine systemer. Vi er vant til en mengde feilsituasjoner på IT-systemene våre, og at ansatte bruker systemene forskjellig. I dette bildet kan det være vanskelig å skille eventuelle «farlige» angrep fra de mer eller mindre dagligdagse angrep og feilsituasjoner.

Les hele innlegget

Lakmustest for sikkerhet?

I en kronikk i Computerworld nylig tok Ahlert Hysing for seg testing – eller hvor mangelfull testing ofte har vært i forskjellige sammenhenger hvor man skal rulle ut nye systemer. Helt på slutten av kronikken drar han fram at «App-er på smarttelefoner er en ny utfordring, ikke bare må de være robuste. De må sikres. Penetrasjonstest blir nødvendig.» Les hele innlegget

Får vi noen gang digitale kontrakter for nett-tjenester?

Dersom du trenger garantier for en nett-tjeneste, for eksempel relatert til oppetid, pris, sikkerhet og personvern, er du avhengig av at dette blir spesifisert i en eller annen form for avtale eller kontrakt.  Dette blir som regel betegnet som Service Level Agreements (SLAer) på nynorsk, og er spesielt i vinden for nettskytjenester der vi overlater ansvaret for verdifulle data til noen vi egentlig ikke har så mye forhold til (se tidligere innlegg om Ansvarlighet i skyen).

Les hele innlegget

Resilience – fra safety til security

En av de nyere retningene innenfor safety-feltet er såkalt resilience engineering. Tradisjonell safety har, naturlig nok, vært mest opptatt av å redusere uønskede hendelser og ulykker. Resilience, derimot, innebærer et mye større fokus på alt som faktisk går bra. Filosofien er at man kan lære mye av nesten-ulykker og små-uhell. De viser minst like godt hvordan en organisasjon er i stand til å håndtere forstyrrelser og uventede endringer. Det er dessuten mange flere slike enn det er katastrofale ulykker. Resilience-tankegangen er svært spennende ut ifra et IT-sikkerhetsperspektiv også, det er helt klart prinsipper og praksis som kan overføres til IT-sikkerhetsverdenen.

Les hele innlegget

Hendelseshåndtering – en kommunikasjonsutfordring!?

Håndtering av informasjonssikkerhetshendelser blir ofte sett på primært som en teknisk øvelse: Maskiner har blitt infisert, systemer er nede, eller man oppdager mistenkelig aktivitet i nettet – og nå må maskiner oppdateres, brannmurkonfigurasjoner sjekkes, osv. Det tekniske arbeidet som gjøres for å få kontroll over situasjonen er selvfølgelig helt nødvendig. Flere studier peker imidlertid på kommunikasjon og samarbeid som en nøkkel til å oppnå effektiv håndtering av hendelser i et langsiktig perspektiv.

Les hele innlegget

Ja, men hva er risikoen for det?

Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?

Les hele innlegget

Stammespråkdialekter. Noen tanker etter ISFs høstkonferanse

Da er Norsk Informasjonssikkerhetsforums høstkonferanse over for denne gang. SINTEFs delegasjon besto av Jostein og Maria som begge holdt foredrag. Det er tre punkter som slår meg etter å ha følt på inntrykkene fra konferansen:

• Så mye god sikkerhetskompetanse som finnes her til lands! Både foredragsholdere og samtalepartnere viser en svært god innsikt i fagfeltet.
• Så bra og viktig at noen tar initiativet til å samle fagfeller. Vi har alle ekspertise på ulike områder. Slike fora for å dele kunnskap bringer fagfeltet framover.
• Alle sikkerhetseksperter har en kommunikasjonsutfordring

Les hele innlegget

MaaS, MaaS, MaaS over hele linja

Endelig! Nå trenger du ikke kunne noentingsomhelst om data for å utføre et målrettet cyberangrep! Du har kanskje hørt om Software-as-a-Service (SaaS) og Platform-as-a-service (PaaS)? Gjør deg klar for Malware-as-a-Service, som lar deg utføre fjernstyring av andres PCer, via et webgrensesnitt som annenhver bestemor kan forstå. Og prisen er kun $15 for fem ofre, $25 for det dobbelte antallet, osv.

Les hele innlegget

Du kan stole på vår samarbeidspartner, kors på halsen!


Det store, stygge internettet var ikke født farlig. I den spede begynnelsen var internett en sammenkobling av et lite antall datamaskiner hvor det var fullt mulig å kjenne alle brukerne personlig. Derfor var ikke sikkerhet det første man tenkte på – hvis mailen var merket med Pål eller Yngvar som avsender, så kom den jo selvfølgelig fra nettopp Pål eller Yngvar.

Les hele innlegget

Naiv, super

Vi er naive og blåøyde når det kommer til bruken av sosiale medier, slik som Facebook. Sistnevnte har blitt en milliardbedrift. Gullet i bedriften er oss brukere som velvillig deler informasjon om hvem vi er, hva vi liker og hvor vi oppholder oss. Vi tror vi deler dette med våre venner, men tiden da Facebook var en ren platform for koseprat og informasjonsdeling mellom bekjente er over. Facebook lever av å selge våre personlige opplysninger.

Innlogging til Elkjøp via Facebook Les hele innlegget

Ansvarlighet i skyen

Ansvarlighet (accountability) i nettskyen kommer til å bli stadig mer viktig i årene som kommer. Usikkerhet rundt sikkerhet og personvern er en barriere for bred bruk av nettskyen – vanlige forbrukere spør seg selv: Er mine familiebilder trygge i skyen? Små og store bedrifter er nok vant til forskjellige former for tjenesteutsetting, men blir flakkende i blikket hvis du antyder at forretningshemmeligheter kan lagres i et eller annet datasenter et udefinerbart sted i verden.

Les hele innlegget