Kategori: Informasjonssikkerhet (page 10)

Transparens i skyen – hva mener brukerne?

awf-Message-in-BottlePå CLOSER-konferansen har jeg nylig presentert artikkelen “Cloud Provider Transparency – A View from Cloud Customers” forfattet av Daniela S. Cruzes og undertegnede. Artikkelen fikk “Best paper award“, og vi spanderer derfor på oss et lite sammendrag her:

Nettskyen kommer med mange fordeler, men bekymringer rundt sikkerhet og personvern gjør at mange potensielle brukere vegrer seg. I prosjektet A4Cloud argumenterer vi for at Accountability (som vi fortsatt ikke har noe godt norsk ord for) kan være det som skal til for å døyve bekymringene.

Continue reading “Transparens i skyen – hva mener brukerne?”

Dypdykk i BSIMM del 6 – Security Features & Design

Security Features of the US Twenty Dollar BillI vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Security Features & Design, eller sikkerhetsfunksjonalitet og design. En “feature” er kanskje egentlig heller en egenskap, men i de fleste tilfeller dreier det seg om funksjonalitet, så vi kjører videre med det.

Hovedmålet for denne praksisen er etablering av tilpasset kunnskap om sikkerhetsegenskaper, rammeverk og mønster. Den tilpassede kunnskapen må drive arkitektur- og komponent-beslutninger.

Continue reading “Dypdykk i BSIMM del 6 – Security Features & Design”

Invitasjon til nettverksmøte i Horisont 2020-Trøndelag

horizon2020En rekke trønderske aktører har, med støtte fra Forskningsrådet, etablert nettverket Horisont 2020-Trøndelag. Onsdag 10. juni arrangerer nettverket sitt første møte. Deltakelse på dette møtet er gratis og åpent for bedrifter, offentlige virksomheter og forskningsmiljøer.

Horisont 2020 er verdens største forsknings- og innovasjonsprogram. Her kan norske virksomheter delta på lik linje med andre virsksomheter i EU. Man kan få støtte til innovasjons- og forskningsaktiviteter, og dra nytte av samarbeid med andre europeiske aktører. Deltakelse i et EU-prosjekt kan gi verdifulle nettverk og tilgang til oppdatert kunnskap.

Continue reading “Invitasjon til nettverksmøte i Horisont 2020-Trøndelag”

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av “black hat”-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Continue reading “The Honeynet Project Workshop”

Dypdykk i BSIMM del 4 – Training

joggerHvordan kan du vite at du håndterer en oppgave hvis du aldri har gjort den før? Opplæring er svaret, og Øvelse gjør mester – og den som tror at han er ferdig utlært, er ikke utlært, men ferdig. Programvaresikkerhetsgruppen (SSG) spiller en viktig rolle her!

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på Training, eller opplæring og øvelser. Hovedmålene for denne praksisen er å utdanne en kunnskapsrik arbeidsstokk og rette opp feil i prosesser. Arbeidsstokken må ha rolle-basert kunnskap som spesifikt inkluderer ferdighetene som kreves for å utføre deres SSDL-aktiviteter på en hensiktsmessig måte. Opplæringen må omfatte spesifikk informasjon om rotårsaker til feil som oppdages i prosessaktiviteter og resultater.

Continue reading “Dypdykk i BSIMM del 4 – Training”

Hvordan står det til med programvaresikkerheten i norske offentlige virksomheter?

BSIMM3-logoPå oppdrag fra Difi har vi har fått 20 offentlige virksomheter til å fylle ut en egenerklæring om hvilke programvaresikkerhets-aktiviteter de utfører som en del av sine egne systemutviklingsprosesser.

Det offentlige gjennomfører en rekke digitaliseringsprosjekter, og utfører dermed mange aktiviteter knyttet til utvikling og anskaffelse av nye digitale løsninger. For at disse løsningene skal kunne håndtere de digitale sikkerhetstruslene, er det viktig at det jobbes systematisk med sikkerhet i utviklingsprosessen.

Continue reading “Hvordan står det til med programvaresikkerheten i norske offentlige virksomheter?”

Falske basestasjoner – hvordan er det mulig?

radio-wireless-towerSikkerhetskonferansen 2015 arrangert av Nasjonal Sikkerhetsmyndighet holdt jeg et innlegg om hvordan det er mulig å opprette falske GSM basestasjoner og hvorfor ting fungerer slik de gjør. I dette blogginnlegget skal jeg kort innom historikken til GSM-standarden for mobiltelefoni, beskrive hvilke enheter som inngår i et GSM nettverk, og hva som skjer når du ringer i en mobiltelefon. Deretter blir det litt konkrete detaljer om falske basestasjoner, og noen betraktninger rundt hvilke valg vi tar når vi kommuniserer – hvordan vi forholder oss til sikkerhet kontra brukervennlighet.

Continue reading “Falske basestasjoner – hvordan er det mulig?”

Cyberforsikring på forskningsagendaen

insecurancelogo_screen_resolutionVi har tidligere skrevet om cyberforsikring på denne bloggen, og holdt foredrag om temaet på NHOs pensjons- og forsikringskonferanse i november i fjor. I år har vi fått startet et eget forskningsprosjekt ved SINTEF IKT for å utvikle teknikker og verktøy for vurdering av cyberforsikring.

Continue reading “Cyberforsikring på forskningsagendaen”

Dypdykk i BSIMM del 3 – Compliance & Policy

checklist“Security Policy” er et av mange ord som ikke har en fullgod norsk oversettelse, noe som medfører at mange bruker bastard-begrepet “sikkerhets-policy”. Muligens kan man oversette det med “sikkerhetsinstrukser og strategi”, men jeg er usikker på om det treffer helt (noen foreslo nettopp “sikkerhetsretningslinjer” – det er kanskje bedre).

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på “Compliance and Policy”, som vi forsøksvis kunne oversette med “Etterlevelse av regler og retningslinjer”.

Continue reading “Dypdykk i BSIMM del 3 – Compliance & Policy”

Litt statistikk om forskning på cybersecurity i Europa

Bilde fra eurosport.com
Bilde fra eurosport.com

Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin!

Continue reading “Litt statistikk om forskning på cybersecurity i Europa”

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund
Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen.

Continue reading “Privacy by Design – fina ord men lite verkstad?”

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Continue reading “Alt henger sammen med alt i den nye krafthverdagen”

Du trenger en programvaresikkerhetsgruppe!

nuclear-forensicsI enhver organisasjon som utvikler programvare må det finnes noen som har ansvaret for programvaresikkerheten. I BSIMM-studien fant de at ALLE virksomhetene som ble undersøkt hadde en programvaresikkerhetsgruppe (software security group – SSG) – den kan være så liten som en person, men den må være der.

Continue reading “Du trenger en programvaresikkerhetsgruppe!”

Her kommer dine arme små… – og de vil ikke på Facebook

Jul_1“Ikke fortell det, mamma, jeg vil si det selv!”

Et typisk utsagn fra et barn. De har opplevd noe eller fått til noe og brenner av lyst til å fortelle det – og det ødelegger gleden fullstendig om vi voksne forteller det før de rekker å si det selv.

Continue reading “Her kommer dine arme små… – og de vil ikke på Facebook”

IMSI-catchere, og andre ting man finner i rugen

sim-cardDen siste uka er det mange som som har uttalt seg harmdirrende om sporing og avlytting av GSM-trafikk via falske basestasjoner. Vi kjenner saken kun fra mediene, og kan ikke si så mye om hva som har skjedd eller ikke skjedd, men for oss fremstår det (på samme måte som for tidligere professor Svein Knapskog)  som noe av en storm i et vannglass.

Continue reading “IMSI-catchere, og andre ting man finner i rugen”