Informasjonssikkerhet er ikke bare et rent teknisk område, men må sees i sammenheng med økonomiske insentiver; hvor mye og hvilken type sikkerhet lønner seg? I dag velger mange bedrifter bevisst bort anerkjente sikkerhetsmekanismer fordi det rett og slett er billigere å ta støyten av et angrep, men grunnlaget for å ta slike valg er i de fleste tilfeller tynt. I andre tilfeller brukes enorme summer på sikkerhet som strengt tatt ikke er nødvendig (markedet for sikkerhetsprodukter og tjenester bare i Europa ligger på €4,6 milliarder årlig [1]). For å adressere økonomisk risiko ved dataangrep mot IT-systemer har både små og store bedrifter begynt å ty til spesielle forsikringer mot dette [2].
Informasjonssikkerhet – hvor trykker skoen?
SINTEF har, på oppdrag fra Difi, kartlagt behovet hos statsforvaltningen når det gjelder støtte til arbeidet med informasjonssikkerhet. Kartleggingen ble gjennomført ved hjelp av fokusgrupper der til sammen 18 virksomheter var representert. Gruppene diskuterte hvordan informasjonssikkerhetsarbeidet gjøres i dag, samt hvilke behov de ser framover. I tillegg ble det gjennomført en spørreundersøkelse knyttet til bruk av styringssystem for informasjonssikkerhet. Kartleggingen er ment som et grunnlag for Difi til å gjøre prioriteringer i deres arbeid.
God praksis for hendelseshåndtering
Det finnes en rekke anbefalinger for hendelseshåndtering om hvilke rutiner som bør være på plass, roller og ansvar, planer og øvelser. Men det kan være minst like mye å hente på å lære av andre organisasjoner enn å lese side opp og side ned av anbefalinger og standarder. Vi har gått gjennom en rekke vitenskapelige studier som har dokumentert erfaringer og praksis hos ulike organisasjoner. Vårt arbeid viser at praksisen er rimelig i tråd med ISO/IEC 27035, men det er noen anbefalinger som det er vanskelig å leve opp til, og kanskje er det nødvendig med mer spesifikke retningslinjer eller verktøy på disse områdene.
Empirisk forskning på informasjonssikkerhet
Forskning på informasjonssikkerhet er blant de mer påtrengende typene organisasjonsforskning [1]. Det er gjerne, og heldigvis, en grunnleggende skepsis til enhver utenforstående som ønsker innsyn i organisasjonens sikkerhetsarbeid. Som forskere er vi ikke interessert i en glansbildepresentasjon, det gir oss ingen spennende resultater. Typiske “slik gjør vi det”-framstillinger gjenspeiler kanskje helst de gode intensjonene – “slik skal vi egentlig gjøre det”, mens vi heller vil vite hvordan praksis egentlig er. Deretter er vår jobb å prøve og forstå hvorfor praksis er som den er, eventuelt hvorfor den ikke samstemmer med uttalte intensjoner. Først når vi vet noe om hvorfor, kan vi identifisere mulige forbedringer og hvordan de bør implementeres.
Interessert i nettsky? Få litt påfyll før ferien!
Ferien står for døren, men før du kler på deg badedrakta og skyene forsvinner helt (forhåpentligvis), gir vi deg muligheten til å få litt faglig påfyll samt en gratis lunsj.
Besøk oss i Trondheim 20. juni, og bli med på workshop om sikkerhet, risiko og tillit i nettskyen!
Utsetter du ofte oppdatering av PCen?
PCer må oppdateres iblant, og dette krever gjerne omstart av alt – både med Windows og Mac. Så hvorfor trykker du egentlig “utsett” når du får beskjed om at det er på tide å starte PCen på nytt? Hypotesen min er at nettleseren har delvis skylda. Vi er redd for å miste alt vi har oppe. Redd for å måtte logge inn igjen mange steder. Mer redd enn vi er for risikoen ved å vente. Nettleseren er nok den mest brukte applikasjonen for de fleste av oss. Du kjenner kanskje til hvordan det er å ha en hel rekke faner åpne til enhver tid, og hvis de skulle forsvinne ville det være en stor jobb å komme i orden igjen – kanskje umulig, hvis du ikke husket hvor alle sidene kom fra.
Her kommer derfor en liten guide for deg som ønsker at en litt mer smertefri omstart. Slik at du kan redde alt du holder på med i Chrome, Internet Explorer, Firefox og Safari, og heller bare slappe av med en kaffe mens oppdateringene installeres ferdig – før du fortsetter der du slapp.
Hvem er vakrest i landet her?
I forrige måned deltok vi på vårens vakreste eventyr, men nå er det blitt sommer, og vi har tro på at CSA Norges Sommerkonferanse i Oslo den 17. juni også kan bli et tiltalende arrangement!
Jeg skal bidra med foredraget “Tools for accountability in the cloud: When not all of your problems look like nails” , hvor jeg skal si litt mer om verktøyene som utvikles i EU-prosjektet A4Cloud. Programmet omfatter ellers Quentyn Taylor (Canon Europe), Peter Flem (Steria), Thom Langford (Sapient) og den alltid like inspirerende Mo Amin. Etter de faglige innslagene forflytter vi oss til taket av Postgirobygget, hvor det blir lett servering og forfriskninger.
Forglem-meg-ei eller glem-meg-nå
Nå skal retten til å bli glemt forsterkes!
Googler du ditt eget navn av og til? Blir du overrasket når du ser gamle synder dukke opp uten at du har noen mulighet til å gjøre noe med det?
I vår digitaliserte verden har personopplysninger stor verdi. Bare fra de rundt én milliard smarttelefonbrukerne genereres det enorme mengder personlige data som kan kobles sammen og lenkes til individer. Dette omfatter data vi har gitt fra oss frivillig, samt det andre publiserer om oss og de elektroniske fotsporene vi etterlater oss når vi anvender ulike typer internettbaserte tjenester. Den kunnskapen som oppstår når man lenker sammen tidligere separerte data er uvurderlig for enkelte bransjer, og bidrar til at de kan skape innovative, individualiserte tjenester, for eksempel persontilpassede søk, annonser og nyheter.
IT og Prosesskontroll: Løver og sebraer
Denne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
“Privilege escalation”-sårbarhet i Dropbox
Dropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her.
Treffes vi på konferanse neste uke?
Som vi tidligere har annonsert, går konferansen Sikkerhet og sårbarhet av stabelen 13. og 14. mai. I tillegg til det innholdsrike programmet, med tema som sikkerhetskultur, økt overvåkning, økt sporing, økt bruk av Big Data og Bring Your Own Service- trenden (BYOS), får du også muligheten til å møte oss på stand. Meld deg på i dag, så sees vi neste uke i Trondheim!
Sikkerhet og brukbarhet i skjønn forening
Tirsdag 29. april i Trondheim skal undertegnede snakke på Dataforeningens fagmøte om et aktuelt tema: Er det i det hele tatt mulig å lage løsninger som er både sikre og brukervennlige?
I en rykende fersk forskningsartikkel publisert i tidsskriftet BMC Medical Informatics and Decision Making (fri tilgang), beskriver vi utviklingsarbeidet og resultatene fra eksperimentering med en digital tavleløsning for sykehus. Hvordan kan digitale tavler brukes til statusoppdateringer med potensielt sensitiv informasjon, men samtidig gjøre fordel av tavlens synlighet på en vegg som mange kan se?
TU-kronikk: Eksersis mot strøm-hackere
IT-angrep blir en ny trussel for strømbransjen når de smarte strømnettene kommer. Det må nettselskapenes beredskapsøvelser snarest mulig gjenspeile.
Teknisk Ukeblad publiserte rett før påske en kronikk av Maria B. Line hvor hun skrev om nettselskapenes behov framover for å gjøre beredskapsøvelser med utgangspunkt i IT-angrep.
Å bytte eller ikke bytte (passord altså)
I løpet av de siste dagene har det kommet motstridende råd om å bytte passord som følge av Heartbleed-feilen i OpenSSL. Først ble alle bedt om å bytte passord, så skulle man vente litt og så igjen ba Telenor med flere om at alle brukere byttet passord med en gang. Så, hva blir det til? Skal du bytte passord eller ikke? Og i tilfelle hvorfor (ikke)?
Når hjertet blør…
Vi hører regelmessig om sårbarheter som blir oppdaget og fikset. Noen store, mange små. Det er imidlertid få (om noen) som kommer opp i samme klasse som the Heartbleed bug i OpenSSL.
For sikre nettsider er OpenSSL det aller mest brukte kryptobiblioteket. Det er brukt i anslagsvis to tredjedeler av alle servere i verden. Men hva er egentlig denne sårbarheten? Hva blir konsekvensen? Og ikke minst: er det noe du kan gjøre?
Sikkerhet og sårbarhet 2014
Vårens faste og vakreste eventyr nærmer seg! Konferansen Sikkerhet og sårbarhet arrangeres 13. og 14. mai i Trondheim – programmet er klart og påmeldingen er åpnet. I år skal vi innom tema som sikkerhetskultur, økt overvåkning, økt sporing, økt bruk av Big Data og Bring Your Own Service- trenden (BYOS).
Noen kjappe anbefalinger om risikoanalyse
I dag holdt jeg et kort innlegg på NEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.
Vi laget for et års tid siden en veiledning for risikoanalyse av AMS som inneholder følgende ting:
- Aktivitetsliste for gjennomføring av analysen
- Konsekvensdimensjoner og konsekvensklasser
- Sannsynlighetsdimensjoner
- Kort beskrivelse av relevante standarder
- Støtte til kartlegging av informasjonsverdier
- Liste over hendelsestyper
- Hendelsestyper/uønskede hendelser i AMS
- Liste over interessenter
- Typiske sårbarheter og svakheter i IKT-systemer
- Kort beskrivelse av relevante tiltak
Mobil-apper og deres tilganger – hva er risikoen?
På mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.
Helsedata i skyen – friskt tiltak, eller helt sykt?
Sommerjobb om skysikkerhet
Er du/kjenner du en knakende god student som kunne tenke seg en sommerjobb innen nettsky og sikkerhet i Trondheim?