Forskning på informasjonssikkerhet er blant de mer påtrengende typene organisasjonsforskning [1]. Det er gjerne, og heldigvis, en grunnleggende skepsis til enhver utenforstående som ønsker innsyn i organisasjonens sikkerhetsarbeid. Som forskere er vi ikke interessert i en glansbildepresentasjon, det gir oss ingen spennende resultater. Typiske “slik gjør vi det”-framstillinger gjenspeiler kanskje helst de gode intensjonene – “slik skal vi egentlig gjøre det”, mens vi heller vil vite hvordan praksis egentlig er. Deretter er vår jobb å prøve og forstå hvorfor praksis er som den er, eventuelt hvorfor den ikke samstemmer med uttalte intensjoner. Først når vi vet noe om hvorfor, kan vi identifisere mulige forbedringer og hvordan de bør implementeres.
Interessert i nettsky? Få litt påfyll før ferien!
Ferien står for døren, men før du kler på deg badedrakta og skyene forsvinner helt (forhåpentligvis), gir vi deg muligheten til å få litt faglig påfyll samt en gratis lunsj.
Besøk oss i Trondheim 20. juni, og bli med på workshop om sikkerhet, risiko og tillit i nettskyen!
Utsetter du ofte oppdatering av PCen?
PCer må oppdateres iblant, og dette krever gjerne omstart av alt – både med Windows og Mac. Så hvorfor trykker du egentlig “utsett” når du får beskjed om at det er på tide å starte PCen på nytt? Hypotesen min er at nettleseren har delvis skylda. Vi er redd for å miste alt vi har oppe. Redd for å måtte logge inn igjen mange steder. Mer redd enn vi er for risikoen ved å vente. Nettleseren er nok den mest brukte applikasjonen for de fleste av oss. Du kjenner kanskje til hvordan det er å ha en hel rekke faner åpne til enhver tid, og hvis de skulle forsvinne ville det være en stor jobb å komme i orden igjen – kanskje umulig, hvis du ikke husket hvor alle sidene kom fra.
Her kommer derfor en liten guide for deg som ønsker at en litt mer smertefri omstart. Slik at du kan redde alt du holder på med i Chrome, Internet Explorer, Firefox og Safari, og heller bare slappe av med en kaffe mens oppdateringene installeres ferdig – før du fortsetter der du slapp.
Hvem er vakrest i landet her?
I forrige måned deltok vi på vårens vakreste eventyr, men nå er det blitt sommer, og vi har tro på at CSA Norges Sommerkonferanse i Oslo den 17. juni også kan bli et tiltalende arrangement!
Jeg skal bidra med foredraget “Tools for accountability in the cloud: When not all of your problems look like nails” , hvor jeg skal si litt mer om verktøyene som utvikles i EU-prosjektet A4Cloud. Programmet omfatter ellers Quentyn Taylor (Canon Europe), Peter Flem (Steria), Thom Langford (Sapient) og den alltid like inspirerende Mo Amin. Etter de faglige innslagene forflytter vi oss til taket av Postgirobygget, hvor det blir lett servering og forfriskninger.
Forglem-meg-ei eller glem-meg-nå
Nå skal retten til å bli glemt forsterkes!
Googler du ditt eget navn av og til? Blir du overrasket når du ser gamle synder dukke opp uten at du har noen mulighet til å gjøre noe med det?
I vår digitaliserte verden har personopplysninger stor verdi. Bare fra de rundt én milliard smarttelefonbrukerne genereres det enorme mengder personlige data som kan kobles sammen og lenkes til individer. Dette omfatter data vi har gitt fra oss frivillig, samt det andre publiserer om oss og de elektroniske fotsporene vi etterlater oss når vi anvender ulike typer internettbaserte tjenester. Den kunnskapen som oppstår når man lenker sammen tidligere separerte data er uvurderlig for enkelte bransjer, og bidrar til at de kan skape innovative, individualiserte tjenester, for eksempel persontilpassede søk, annonser og nyheter.
IT og Prosesskontroll: Løver og sebraer
Denne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
“Privilege escalation”-sårbarhet i Dropbox
Dropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her.
Treffes vi på konferanse neste uke?
Som vi tidligere har annonsert, går konferansen Sikkerhet og sårbarhet av stabelen 13. og 14. mai. I tillegg til det innholdsrike programmet, med tema som sikkerhetskultur, økt overvåkning, økt sporing, økt bruk av Big Data og Bring Your Own Service- trenden (BYOS), får du også muligheten til å møte oss på stand. Meld deg på i dag, så sees vi neste uke i Trondheim!
Sikkerhet og brukbarhet i skjønn forening
Tirsdag 29. april i Trondheim skal undertegnede snakke på Dataforeningens fagmøte om et aktuelt tema: Er det i det hele tatt mulig å lage løsninger som er både sikre og brukervennlige?
I en rykende fersk forskningsartikkel publisert i tidsskriftet BMC Medical Informatics and Decision Making (fri tilgang), beskriver vi utviklingsarbeidet og resultatene fra eksperimentering med en digital tavleløsning for sykehus. Hvordan kan digitale tavler brukes til statusoppdateringer med potensielt sensitiv informasjon, men samtidig gjøre fordel av tavlens synlighet på en vegg som mange kan se?
TU-kronikk: Eksersis mot strøm-hackere
IT-angrep blir en ny trussel for strømbransjen når de smarte strømnettene kommer. Det må nettselskapenes beredskapsøvelser snarest mulig gjenspeile.
Teknisk Ukeblad publiserte rett før påske en kronikk av Maria B. Line hvor hun skrev om nettselskapenes behov framover for å gjøre beredskapsøvelser med utgangspunkt i IT-angrep.
Å bytte eller ikke bytte (passord altså)
I løpet av de siste dagene har det kommet motstridende råd om å bytte passord som følge av Heartbleed-feilen i OpenSSL. Først ble alle bedt om å bytte passord, så skulle man vente litt og så igjen ba Telenor med flere om at alle brukere byttet passord med en gang. Så, hva blir det til? Skal du bytte passord eller ikke? Og i tilfelle hvorfor (ikke)?
Når hjertet blør…
Vi hører regelmessig om sårbarheter som blir oppdaget og fikset. Noen store, mange små. Det er imidlertid få (om noen) som kommer opp i samme klasse som the Heartbleed bug i OpenSSL.
For sikre nettsider er OpenSSL det aller mest brukte kryptobiblioteket. Det er brukt i anslagsvis to tredjedeler av alle servere i verden. Men hva er egentlig denne sårbarheten? Hva blir konsekvensen? Og ikke minst: er det noe du kan gjøre?
Sikkerhet og sårbarhet 2014
Vårens faste og vakreste eventyr nærmer seg! Konferansen Sikkerhet og sårbarhet arrangeres 13. og 14. mai i Trondheim – programmet er klart og påmeldingen er åpnet. I år skal vi innom tema som sikkerhetskultur, økt overvåkning, økt sporing, økt bruk av Big Data og Bring Your Own Service- trenden (BYOS).
Noen kjappe anbefalinger om risikoanalyse
I dag holdt jeg et kort innlegg på NEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.
Vi laget for et års tid siden en veiledning for risikoanalyse av AMS som inneholder følgende ting:
- Aktivitetsliste for gjennomføring av analysen
- Konsekvensdimensjoner og konsekvensklasser
- Sannsynlighetsdimensjoner
- Kort beskrivelse av relevante standarder
- Støtte til kartlegging av informasjonsverdier
- Liste over hendelsestyper
- Hendelsestyper/uønskede hendelser i AMS
- Liste over interessenter
- Typiske sårbarheter og svakheter i IKT-systemer
- Kort beskrivelse av relevante tiltak
Mobil-apper og deres tilganger – hva er risikoen?
På mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.
Helsedata i skyen – friskt tiltak, eller helt sykt?
Sommerjobb om skysikkerhet
Er du/kjenner du en knakende god student som kunne tenke seg en sommerjobb innen nettsky og sikkerhet i Trondheim?
Nytt fra Data Protection Day 2014
EU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en “Data Protection Day” med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.
Målrettede angrep: hvordan foregår de egentlig?
Generelle malware-baserte angrep som har økonomisk fortjeneste som mål, forekommer mye oftere enn målrettede angrep. Men vellykkede målrettede angrep kan være svært ødeleggende. Et nyere angrep mot RSA sies å ha kostet 66 mill dollar, bare i direkte kostnader. Å kunne beskytte seg mot slike angrep krever en grundig forståelse av hvordan angriperne opptrer. En gruppe forskere i Symantec har dybdeanalysert data fra mer enn 26.000 målrettede angrep oppdaget i 2011. Dette innlegget oppsummerer studien deres og de viktigste resultatene.
Informasjonssikkerhet i kraftbransjen – hva er de største utfordringene framover?
For et par år siden ble vi spurt hva vi trodde de største utfordringene når det gjelder informasjonssikkerhet i kraftbransjen var. Nylig hentet vi svaret fram igjen, og vi må medgi at det meste av det vi sa fortsatt står ved lag.