Håndtering av informasjonssikkerhetshendelser blir ofte sett på primært som en teknisk øvelse: Maskiner har blitt infisert, systemer er nede, eller man oppdager mistenkelig aktivitet i nettet – og nå må maskiner oppdateres, brannmurkonfigurasjoner sjekkes, osv. Det tekniske arbeidet som gjøres for å få kontroll over situasjonen er selvfølgelig helt nødvendig. Flere studier peker imidlertid på kommunikasjon og samarbeid som en nøkkel til å oppnå effektiv håndtering av hendelser i et langsiktig perspektiv.
Ja, men hva er risikoen for det?
Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?
Stammespråkdialekter. Noen tanker etter ISFs høstkonferanse
Da er Norsk Informasjonssikkerhetsforums høstkonferanse over for denne gang. SINTEFs delegasjon besto av Jostein og Maria som begge holdt foredrag. Det er tre punkter som slår meg etter å ha følt på inntrykkene fra konferansen:
• Så mye god sikkerhetskompetanse som finnes her til lands! Både foredragsholdere og samtalepartnere viser en svært god innsikt i fagfeltet.
• Så bra og viktig at noen tar initiativet til å samle fagfeller. Vi har 
alle ekspertise på ulike områder. Slike fora for å dele kunnskap bringer fagfeltet framover.
• Alle sikkerhetseksperter har en kommunikasjonsutfordring
MaaS, MaaS, MaaS over hele linja
Endelig! Nå trenger du ikke kunne noentingsomhelst om data for å utføre et målrettet cyberangrep! Du har kanskje hørt om Software-as-a-Service (SaaS) og Platform-as-a-service (PaaS)? Gjør deg klar for Malware-as-a-Service, som lar deg utføre fjernstyring av andres PCer, via et webgrensesnitt som annenhver bestemor kan forstå. Og prisen er kun $15 for fem ofre, $25 for det dobbelte antallet, osv.
Du kan stole på vår samarbeidspartner, kors på halsen!
Det store, stygge internettet var ikke født farlig. I den spede begynnelsen var internett en sammenkobling av et lite antall datamaskiner hvor det var fullt mulig å kjenne alle brukerne personlig. Derfor var ikke sikkerhet det første man tenkte på – hvis mailen var merket med Pål eller Yngvar som avsender, så kom den jo selvfølgelig fra nettopp Pål eller Yngvar.
Naiv, super
Vi er naive og blåøyde når det kommer til bruken av sosiale medier, slik som Facebook. Sistnevnte har blitt en milliardbedrift. Gullet i bedriften er oss brukere som velvillig deler informasjon om hvem vi er, hva vi liker og hvor vi oppholder oss. Vi tror vi deler dette med våre venner, men tiden da Facebook var en ren platform for koseprat og informasjonsdeling mellom bekjente er over. Facebook lever av å selge våre personlige opplysninger.
Ansvarlighet i skyen
Ansvarlighet (accountability) i nettskyen kommer til å bli stadig mer viktig i årene som kommer. Usikkerhet rundt sikkerhet og personvern er en barriere for bred bruk av nettskyen
– vanlige forbrukere spør seg selv: Er mine familiebilder trygge i skyen? Små og store bedrifter er nok vant til forskjellige former for tjenesteutsetting, men blir flakkende i blikket hvis du antyder at forretningshemmeligheter kan lagres i et eller annet datasenter et udefinerbart sted i verden.
To konferanser – to foredrag
Neste uke holder Maria B. Line foredrag på to ulike konferanser: Dataforeningens Sikkerhet og sårbarhet, og NFAs SmartGrid-konferanse. Begge foredragene omhandler sikkerhet i Smart Grid, med vekt på utfordringer knyttet til avanserte måle- og styringssystemer (AMS).
Ikke del dette med noen…
Vi er vant med å begrense tilgangen til informasjon avhengig av hvem som ber om den. Tilgangskontroll er kanskje den mest selvsagte sikkerhetsmekanismen vi har. Det er utenkelig at en bedrift ikke skulle ha implementert noe som helst slags tilgangskontroll på sine tjenere og tjenester. Til og med på Facebook begynner folk å skjønne at det kan være greit å skille mellom hva venner og resten av verden skal ha tilgang til.
Men hva om en ansatt videresender konfidensiell informasjon, eller en “venn” på Facebook publiserer på nytt et bilde du har delt med ham?
Hva kan du gjøre for å kontrollere hvordan informasjonen blir brukt?
…og det forskes på…
…håndtering av IKT-sikkerhetsbrudd i en SmartGrid-kontekst.
I mitt doktorgradsarbeid skal jeg studere hvordan IKT-sikkerhets-hendelser detekteres og håndteres; både gjennom tekniske hjelpemidler og menneskelige handlinger, samt hva slags etterarbeid som gjøres; informasjonsdeling, lærdom, hvordan erfaringer overføres til det totale arbeidet med informasjonssikkerhet.
SmartGrid og sikkerhet – en kort innføring
Tidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:
- Hva smartgrid er og hvorfor vi ønsker smartgrid
- Status for arbeidet med smartgrid i Norge
- Hvilke informasjonssikkerhetsutfordringer man har i smartgrid
- Om det er noen forskjell på sikkerhet i smartgrid og sikkerhet i andre typer systemer
Hvem er redd for den store, stygge nettskyen?
Nettskyen (Cloud Computing) er realiseringen av en gammel drøm om å tilby datamaskinressurser over nettet. Nettsky-modellen reduserer oppstartskostnadene for å utvikle og rulle ut nye tjenester på internett; det er ikke nødvendig å investere i maskinvare eller binde seg til lange kontrakter med underleverandører.
Hva er programvaresikkerhet?
I siste nummer av The International Journal of Secure Software Engineering (IJSSE) var undertegnede og Martin Gilje Jaatun gjesteredaktører, og skrev i den forbindelse en introduksjon for å gjøre selve begrepet “software security” noe mer håndgripelig. Bakgrunnen for skrive om nettopp dette er at vi opplever at begrepet ofte benyttes i en veldig vid forstand.
Ingen er så utrygg i fare…
Det er et økende gap mellom tidspunktet et gitt eksemplar ondartet kode (virus, orm, osv.) opptrer på internett, og tidspunktet signaturen til samme ondartede kode finner veien til brukernes antivirusprodukter. Dette betyr at det til enhver tid finnes store mengder ondartet kode som ikke kan detekteres og/eller fjernes av antivirusprodukter.
Smart strøm med komplikasjoner
Computerworld omtalte 16.9. foredraget som Maria B. Line holdt under ISF (Norsk Informasjonssikkerhetsforum) sin høstkonferanse i Larvik 29.-31. august. Foredraget handlet om informasjonssikkerhets-utfordringer med SmartGrids, som også er tema for PhD-graden Maria påbegynte i mai 2011. Computerworlds artikkel refererer til store deler av foredraget, og trekker spesielt fram utfordringen med at prosessfolk og IT-ingeniører må snakke samme språk.
Gemini: “Storebror ser deg”
Forskerne Maria B. Line og Jostein Jensen er intervjuet av bladet Gemini, som presenterer forskningsnytt fra NTNU og SINTEF. I septembernummeret har de en større sak om overvåking, og spesielt er Datalagringsdirektivet tema i artikkelen. Men også andre aspekter rundt…