Alle må bidra – et samfunn som er forberedt

Invitasjon til regionalt nettverksmøte Trøndelag 14.mai om erfaringer og internasjonalt samarbeid knyttet til samfunnssikkerhet. De siste årene har det norske samfunnet opplevd mange sammensatte trussel og hendelser som pandemi, ekstremvær, påvirkningsoperasjoner og dataangrep. Samfunnssikkerhet krever en innsats, samarbeid og samvirke…

Skybasert OT i Kritisk Infrastruktur: Sikkerhetsutfordringer og Muligheter

På oppdrag fra NVE har vi skrevet rapporten «Sikkerhet for skybasert OT i kritisk infrastruktur«. Her har vi undersøkt hvordan man kan ivareta sikkerheten til driftskontrollsystemer i klasse 1 og 2 når kritiske funksjoner er avhengige av eller plassert i skyen. Rapporten er basert på en litteraturstudie og gjennomgang av «grålitteratur».

Fellesmøte i sikkerhetsmåneden

Selvfølgelig blir det ISF/Dataforeningen/ISACA/CSA fellsmøte i oktober!

Vi møtes på Pirsenteret 23/10 kl. 15:00 – programmet starter 15:30.

  • 15:30: May-Elin Storheil, Brønnysunregistrene: Bygge broer; skape en sikker kultur gjennom kommunikasjon
  • 16:30: Erlend Dyrnes, DnB: Phishing simuleringer i DNB (behind the scenes)
  • 17:30: Martin Gilje Jaatun, SINTEF: Software Bill of Materials

Sikkerhetsutfordringer for medtek-produsenter

I forrige uke var jeg i Wien på ARES-konferansen for å presentere resultater fra NEMECYS-prosjektet. Jeg fokuserte mye på utfordringer for utstyrsprodusenter, både utfordringer som er spesifikke for helsesektoren, og utfordringer som gjelder på tvers av sektorer (se denne artikkelen for detaljer). 

Mange av utfordringene er selvfølgelig større for små produsenter enn for de internasjonale medtek-kjempene, og vi mener derfor det er viktig å fokusere på de mange små når de store har ressurser nok til å klare seg selv.

Nye muligheter for deg som trenger hjelp fra en sikkerhetsforsker

Onsdag 29. mai ble Nasjonalt koordineringssenter for forskning og innovasjon innen cybersikkerhet (NCC-NO) høytidelig åpnet hos NSM på Fornebu. Senteret skal drives av NSM og Forskningsrådet i fellesskap, og ledes av NSM. Hensikten med senteret er å øke forskning, innovasjon og teknologiutvikling innen cybersikkerhet i Norge. Målgruppen er offentlige og private virksomheter, forskningsinstitusjoner, og øvrig akademia.

Utfordringer med kunstig intelligens og sikkerhet

I de siste årene har det vært en dramatisk økning i interessen for kunstig intelligens, ikke minst etter lanseringen av store språkmodeller som ChatGPT for mindre enn to år siden. Kunstig intelligens har blitt tatt i bruk mange aspekter av «det virkelige liv», som tolkning av røntgenbilder i Helse Sør-Øst.

Tre ikke-tekniske hovedutfordringer innen cyber-hendelseshåndtering som oljenæringen står ovenfor 

Cybersecurity Barrier Management-prosjektet har som mål å integrere operasjonelle, organisatoriske og tekniske barriereelementer innen cybersikkerhet med safety-barrierer. I dette prosjektet utfører jeg mitt PhD-prosjekt som fokuserer på å kartlegge de ikke-tekniske (operasjonelle og organisatoriske) barrierene som finnes innen cybersikkerhet. Igjennom en intervjustudie som ble gjennomført i fjor avdekket jeg tre hovedutfordringer som oljenæringen bør ta tak i.  

 Slik sikrer du bedriften mot cyberangrep

Hvem av oss kommer til å bli angrepet av hackere i morgen? Eller – hvem av oss er allerede under angrep? Hvis du har en litt defensiv, strutsehode-i-sanda-tilnærming til sikkerhetstrusselen, så håper jeg med denne teksten å snu tankegangen din til en offensiv, «dette tar vi styringen på»-holdning når det kommer til sikkerhetsarbeidet der du jobber.

Risikobasert sikkerhetstesting

Sikkerhetstesting tar for seg artefaktene enheter og komponenter snarere enn systemet som helhet. Det er en blanding av en «hvit-hatt» og en «svart-hatt» tilnærming, og kan gjøres fra utsiden og inn, eller fra innsiden og ut. Sikkerhetstesting drives av misbrukseksempler (misuse cases/abuse cases), og omfatter to strategier: Testing av sikkerhetsfunksjonalitet, og risikobasert testing basert på angrepsmønster.

Opp som en løve, ned som … et flygende teppe?

Det er ikke noen hemmelighet at det tross gode intensjoner ikke ble helt klaff med planleggingen av vårens vakreste eventyr. Vi hadde alt på plass, men det er vanskelig å arrangere konferanse hvis «ingen» kommer. MEN vi gir oss ikke med det! Vi har flyttet arrangementet til høsten, og 20. september braker det løs med Sikkerhet & Sårbarhet på Pirsenteret i Trondheim!

Er det kjedelig med sikkerhet?

På oppdrag fra NVE har vi skrevet en rapport med anbefalinger til krav som norske nettselskaper med fordel kan stille til sine leverandører.

NVE ønsket en rapport som kunne identifisere god praksis for krav relatert til IKT-sikkerhet i anbudsdokumenter på anskaffelse av IT og OT, og hvordan dette skal kunne følges opp i drift. Hovedmålet var å identifisere krav som små og mellomstore nettselskap kan stille til sine leverandører.