Vi gjør en ny vri på fellesmøtene til ISF, ISACA, CSA og DND i vinter. Det blir en praktisk workshop torsdag 19/3 rundt Krisehåndtering og Cyberberedskap, kyndig ledet av Fredrik Galtung og Erlend Dyrnes!
Nytt fellesmøte: Øvelse slår papir!
ISO 27799:2025 publisert
Etter nesten tre års arbeid er standarden ISO 27799:2025 (Health informatics — Information security controls in health based on ISO/IEC 27002) endelig publisert. Som navnet antyder, er standarden ment å være en tilpasset versjon av ISO/IEC 27002 for bruk i helsedomenet. ISO/IEC 27002 dokumenterer i sin tur god praksis for implementering av et styringssystem for sikkerhet, som definert i ISO/IEC 27001!
Fuzz-testing for å avdekke svakheter i medisinsk IoT
Medisinsk IoT (også kjent som bærbar helseteknologi eller «wearables«) er med på å revolusjonere helsesektoren ved å muliggjøre økt effektivitet og bedre behandling. Samtidig medfører denne teknologien økt angrepsflate og cybersikkerhetsrisiko, ettersom hver enhet har sin egen skreddersydde fastvare (firmware) som kan inneholde ukjente sårbarheter.
Cyber Compass: En ny vei til enklere etterlevelse av sikkerhetskrav for medisinsk utstyr
Moderne medisinsk utstyr har revolusjonert helsesektoren ved å øke effektiviteten og forbedre pasientbehandlingen. Men med denne utviklingen følger også økte cybersikkerhetsrisikoer som kan true både pasientsikkerhet og personvern. Samtidig er regelverket komplekst og ressurskrevende, noe som særlig rammer produsenter som er små og mellomstore bedrifter (SMB-er).
Sikkerhetmøter utenom sikkerhetsmåneden
Det blir fellesmøte for foreningene Dataforeningen/ISF/ISACA/CSA 11/11 – gratis for medlemmer, og det er gratis å melde seg inn i CSA!
I år tar vi sikkerhetsmåneden i september!
Neida, den blir i oktober som vanlig, men i år blir det i tillegg to kursdager i regi av Cyberløftet 2025, i henholdvis Bergen 10/9 og Trondheim 23/9. Cyberløftet er et samarbeidsprosjekt mellom SINTEF, Abelia og Hugin, med bidrag fra Thommesen Advokatfirma.
Når strøm blir sårbar: Slik kan driftssentralene sikres mot cybertrusler
Det internasjonale energibyrået advarte sin rapport i november 2023 at det gjennomsnittlige antallet av cyberangrep mot nettselskaper i verden mer enn doblet seg mellom 2020 og 2022. Rapporten pekte hovedsakelig på strømnett som i høyere grad er under digitalisering. På…
Veiledning for sikkerhet i medisinsk utstyr – sammenligning mellom MDCG og FDA
I forrige uke var jeg i Cork for å presentere artikkelen «Cybersecurity Guidances for Medical Devices: An MDCG and FDA Regulatory Comparison» på SmartComp-konferansen.
Hvordan få utviklere til å bry seg om sikkerhet?
Torsdag 6. oktober setter Inger Anne Tøndel endelig punktum for SINTEF-prosjektet SoS-Agile ved å forsvare sin doktorgradsavhandling “Prioritisation of security in agile software development projects”.
Maskinlæring – er det så fali’ a?
Maskinlæring later til å ha gjort fantastiske fremskritt på mange områder, noe som har ført til mye heseblesende pressedekning om «Kunstig Intelligens», hvor dyp læring har blitt opphøyet til noe som mest av alt minner om magi i offentlighetens øyne.
ConCERT – et sektorvist responsmiljø for bygg-, anleggs- og eiendomsbransjen?
I fjor høst foretok vi en utredning på vegne av Oslo Construction City Cluster AS, anført av OBOS, Statsbygg, AF-gruppen og Betonmast, for å se om det var grunnlag for å opprette et sektorvist responsmiljø (SRM) for Bygg-, Anleggs- og Eiendomsbransjen. Vi inviterte 24 bransjeaktører til videointervjuer på ca. en time, hvorav vi klarte å få til intervjuer med 7. Dessuten hadde vi tilsvarende intervjuer med 3 eksisterende SRMer, samt med en større leverandør av IT-tjenester.
Kan NSMs grunnprinsipper for IKT-sikkerhet brukes for prosesskontroll-systemer?
Nasjonal sikkerhetsmyndighet har gitt ut en samling tiltak for IKT-sikkerhet i I(K)T-systemer. På oppdrag fra Ptil har vi gjennomført en evaluering av disse tiltakene, og finner at med noen få unntak er de relevante også for prosesskontrollsystemer i petroleumsindustrien, men at en del tiltak krever noen ekstra tillempninger.
Sju (pluss/minus to) steg til bedre program-varesikkerhet
Programvaresikkerhet handler om sikker funksjonalitet snarere enn sikkerhetsfunksjonalitet, dvs. å lage programvare slik at den oppfører seg som forventet også når den utsettes for angrep. Det finnes en lang rekke anbefalte aktiviteter som kan bidra til å nærme seg dette målet, men hvor skal man begynne? Etter fem års forskning på dette temaet har vi et forslag til ni steg som kan representere en slik begynnelse.
Hacking av 5G nettverksinfrastruktur
Ravi Borgaonkar har skrevet et engelsk blogginnlegg om hacking av 5G nettverksinfrastruktur, samt referat fra høstens 5G hackaton – les det her:
Kryptografi og nettverkssikkerhet (Kapittel 1: Sikkerhetskonsepter)
Dagens tekst er hentet fra kapittel 1 i Cryptography and Network Security.
Kryptografiske algoritmer og protokoller kan deles inn i fire hovedområder:
- Symmetrisk kryptering
- Brukes for skjuling av store og små mengder data; meldinger, dokumenter, krypteringsnøkler og passord
- Asymmetrisk kryptering
- Brukes for å skjule små mengder data, som krypteringsnøkler og hasher som brukes i digitale signaturer
- Integritetsalgoritmer
- Brukes for å beskytte datablokker mot uautorisert endring
- Autentiseringsprotokoller
- Mekanismer som ved hjelp av kryptografiske algoritmer verifiserer identiteten til brukere og prosesser
Kryptografi og nettverkssikkerhet (Intro)
I høst skal jeg forelese faget «Sikkerhet og sårbarhet i nettverk» ved Universitetet i Stavanger. Kurset er basert på William Stallings’ velkjente bok (se illustrasjon), som jeg har brukt i tidligere kurs – men det var noen utgaver siden…
Som et ledd i mine egne forberedelser, skal jeg prøve å skrive noen korte sammendrag av hver forelesning her på bloggen – håper det kan være av interesse for noen.
Sikkerhet og robusthet i IKT-systemer
Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. 
Sikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger.
Tilbake til røttene: Prinsipper for programvaresikkerhet
Programvare blir stadig viktigere for alle deler av samfunnet, og det er økende bevissthet om at det er viktig med kvalitet og sikkerhet også i programvare. Sikkerhetsfeil i programvare er roten til mange av sikkerhetsutfordringene man opplever. Det har skjedd mye på programvaresikkerhetsområdet de siste årene, og det har dukket opp mange nye rammeverk og metoder man kan benytte for ulike deler av utviklingsprosessen. Det er bra. Samtidig kan det være nyttig også å se tilbake, for å gjenoppdage noe av det som har formet dette arbeidet og som har stått seg over flere år. I anledning av at vi i disse dager starter opp et nytt forskningsprosjekt innen programvaresikkerhet, gir vi en kort oversikt over 10 prinsipper for programvaresikkerhet, hentet fra en bok som har betydd mye for området, nemlig Viega og McGraws bok «Building Secure Software» fra 2001.
Dypdykk i BSIMM del 7 – Standards and Requirements
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Standards and Requirements, eller Standarder og krav.
Hovedmålet for praksisen «Standarder og krav» er å lage retningslinjer for alle interessenter. Ledere og programvaresikkerhetsgruppen (SSG) må dokumentere programvaresikkerhetsvalg, og formidle dette materialet til alle som er involvert i livssyklusen for sikker programvareutvikling (SSDL), inkludert eksterne aktører.
Forsikre eller ikke?
Cyber-forsikring er i ferd med å bli et aktuelt produkt på det nordiske markedet, etter å ha vært tilbudt av utenlandske aktører en tid – særlig i USA. Men hvordan vurderer man om forsikring er noe som passer for sin virksomhet?