Kategori: Informasjonssikkerhet (page 11)

Dypdykk i BSIMM del 3 – Compliance & Policy

checklist«Security Policy» er et av mange ord som ikke har en fullgod norsk oversettelse, noe som medfører at mange bruker bastard-begrepet «sikkerhets-policy». Muligens kan man oversette det med «sikkerhetsinstrukser og strategi», men jeg er usikker på om det treffer helt (noen foreslo nettopp «sikkerhetsretningslinjer» – det er kanskje bedre).

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på «Compliance and Policy», som vi forsøksvis kunne oversette med «Etterlevelse av regler og retningslinjer».

Continue reading “Dypdykk i BSIMM del 3 – Compliance & Policy”

Litt statistikk om forskning på cybersecurity i Europa

Bilde fra eurosport.com
Bilde fra eurosport.com

Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin!

Continue reading “Litt statistikk om forskning på cybersecurity i Europa”

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund
Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen.

Continue reading “Privacy by Design – fina ord men lite verkstad?”

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Continue reading “Alt henger sammen med alt i den nye krafthverdagen”

Du trenger en programvaresikkerhetsgruppe!

nuclear-forensicsI enhver organisasjon som utvikler programvare må det finnes noen som har ansvaret for programvaresikkerheten. I BSIMM-studien fant de at ALLE virksomhetene som ble undersøkt hadde en programvaresikkerhetsgruppe (software security group – SSG) – den kan være så liten som en person, men den må være der.

Continue reading “Du trenger en programvaresikkerhetsgruppe!”

Her kommer dine arme små… – og de vil ikke på Facebook

Jul_1«Ikke fortell det, mamma, jeg vil si det selv!»

Et typisk utsagn fra et barn. De har opplevd noe eller fått til noe og brenner av lyst til å fortelle det – og det ødelegger gleden fullstendig om vi voksne forteller det før de rekker å si det selv.

Continue reading “Her kommer dine arme små… – og de vil ikke på Facebook”

IMSI-catchere, og andre ting man finner i rugen

sim-cardDen siste uka er det mange som som har uttalt seg harmdirrende om sporing og avlytting av GSM-trafikk via falske basestasjoner. Vi kjenner saken kun fra mediene, og kan ikke si så mye om hva som har skjedd eller ikke skjedd, men for oss fremstår det (på samme måte som for tidligere professor Svein Knapskog)  som noe av en storm i et vannglass.

Continue reading “IMSI-catchere, og andre ting man finner i rugen”

Årets julebok: Secure and Trustworthy Service Composition

aniketosbokJula er en tid da man kan sette seg i godstolen foran peisen, spise peppernøtter og kose seg med en god bok. Tips til sistnevnte er vår nylig utgitte bok om sikkerhet og tillit for tjenestekomposisjon – anbefalt julegave til både liten og stor!

Continue reading “Årets julebok: Secure and Trustworthy Service Composition”

Del broderlig – også informasjon?

CSA-cloud-panel-nov-2014På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål.  Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.

Continue reading “Del broderlig – også informasjon?”

«OJ!» – Sikkerhetskultur i SINTEF

OJ! Rollup i en av våre kantinerAt NorSIS melder om stor økning i deltakelse rundt nasjonal sikkerhetsmåned i oktober, er gledelig. SINTEF er slett ikke noe unntak, selv om vi etter hvert har valgt å produsere vårt eget opplegg internt. Gjennom et konsept vi kaller «OJ!» driver vi sikkerhetarbeid blant våre medarbeidere. Her kommer en liten smakebit fra dette, og i tillegg gir vi deg en liten trykksak som kan lastes ned og trykkes opp til fritt bruk – se helt nederst i innlegget.

Continue reading “«OJ!» – Sikkerhetskultur i SINTEF”

Dypdykk i BSIMM del 2 – Attack Models

attack-catfrokostmøtet om måling av sikkerhet fikk jeg et godt spørsmål som jeg ikke kunne svare på: «Hvilket nivå skal man legge seg på?»  Mitt ikke-svar var at «da må du gjøre en risikobasert vurdering», som egentlig bare er en annen måte å si «det kommer an på». I utgangspunktet hadde jeg sagt at «alle» burde kunne starte med aktivitetene på nivå 1 i hver praksis, men her skilte aktivitet AM1.1 seg ut i tallmaterialet – bare 21 av de 67 undersøkte bedriftene vedlikeholder en liste av de topp N mulige angrepene mot seg selv. Dette virker som en ganske grei aktivitet å gjøre et par ganger i året, og jeg finner ingen god forklaring på hvorfor det ikke gjøres.

Continue reading “Dypdykk i BSIMM del 2 – Attack Models”

Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet

Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.

Continue reading “Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet”

Jobb hos oss – vi søker nye medarbeidere!

Informasjonssikkerhet er et sterkt voksende fagområde, og noe alle lag av samfunnet utfordres på. Vårt fokus innen informasjonssikkerhet er knyttet til sikker programvareutvikling, sikkerhetsarkitekturer, aksesskontroll, risikovurdering og hendelses­håndtering. Vi har for tiden prosjekter innenfor flere domener, inkludert helse, luftfart, kritisk…
Continue reading “Jobb hos oss – vi søker nye medarbeidere!”

Frokostmøte om BSIMM, OpenSAMM etc. utsatt en uke

Frokostmøtet er flyttet til fredag 7.november kl.08.00-10.30, på DIGS. Hvis du ikke har meldt deg på enda, kan du gjøre det nå: https://www.dataforeningen.no/maaling-av-sikkerhet.5597310-134423.html     Illustrasjon av Full Scottish Breakfast ved Mark Longair  
Continue reading “Frokostmøte om BSIMM, OpenSAMM etc. utsatt en uke”

Sikkerhet og sårbarhet 2015: Call for presentations

SoS_Logo5.-6. mai 2015 er det igjen klart for Sikkerhet og sårbarhet! Dataforeningens årlige sikkerhetskonferanse i Trondheim har nå lagt ut Call for presentations, og fristen for å foreslå bidrag er 1. desember 2014. Programkomiteen ønsker forslag til både foredrag og workshops av noe lengre varighet.

Continue reading “Sikkerhet og sårbarhet 2015: Call for presentations”

Dobbeltkommunikasjon 2.0

I forrige uke poengterte vi at bedrifter dobbeltkommuniserer når de  hevder å aldri be om brukernavn/passord i e-poster, men samtidig oppfordrer brukere til å klikke på linker i e-poster som (i alle fall indirekte) leder til innloggingssider. Nå har vi kommet til versjon 2.0 av slik dobbeltkommunikasjon.

«Ikke bit på kroken» lyder det i et nyhetsbrev fra en ikke-navngitt bank i et forsøk på å få vanlige folk til å være skeptiske til phishing-eposter. Ironien er så slående at det gjør vondt.

Continue reading “Dobbeltkommunikasjon 2.0”

Studie av beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?

Continue reading “Studie av beredskapsøvelser”

«Vi vil aldri be deg om å oppgi brukernavn/passord i en e-post»

Hver gang dPhishet avdekkes et forsøk på phishing får vi høre denne setningen fra bedrifter som er rammet. Ofte stemmer det rent formelt, men det er likevel noe med kommunikasjonen mellom bedrifter og privatpersoner som gjør at folk til stadighet går på limpinnen. Det er faktisk fullt forståelig at noen ikke klarer å se forskjell på en phishing-epost og en genuin e-post fra en bedrift – og det har ingen ting med manglende kritisk sans hos forbrukeren å gjøre. Det handler om dobbeltkommunikasjon fra bedrifter.

Continue reading “«Vi vil aldri be deg om å oppgi brukernavn/passord i en e-post»”