Nå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?
Aktivere HTTPS på nettsiden (og gi NSA litt merarbeid)? Kom i gang!
I lys av overvåkingen fra vår alles storebror NSA, er det kanskje lett å tenke at kryptert kommunikasjon ikke lenger er særlig vits – man blir avlyttet likevel. Men det er også mange andre som lytter til webtrafikk, bl.a. over kjente men usikrede trådløse nettverk, eller ved å sette opp åpne nett på steder hvor folk sannsynligvis kobler seg til, f.eks. på flyplasser og konferansehoteller. Ved hjelp av lett tilgjengelig programvare som Firesheep blir avlytting en smal sak. Derfor er kryptering av datatrafikken noe som er nettside-eierens ansvar, spesielt dersom personlige data eller brukernavn/passord kan komme til å fly gjennom lufta.
God Jul!
Da er sikkerhetsåret 2013 over, i hvert fall for oss. Vi kommer sterkt tilbake med nye blogginnlegg på nyåret, men i mellomtiden minner vi om at juletiden er høysesong for Phisking (eller Phishing som det heter på utenlandsk). Vær derfor skeptisk til å åpne zip-filer fra ukjente avsendere, aldri logg deg inn i nettbanken ved å klikke på lenker i epost, og innse at nigerianske prinser eller prinsesser med millioner de ikke vet hva de skal gjøre med neppe har tenkt å dele dem med akkurat deg! Som alltid før: Hvis det høres for godt ut til å være sant, er det akkurat det.
Årets kalendergave
Sikkerhetsmiljøet i Norge er ikke kjempestort, men likevel erfarer vi at det tidvis er vanskelig å unngå at man planlegger kolliderende arrangementer i en og samme by (spesielt hvis byen heter Oslo). Som et del av vårt engasjement i CSA Norge, har vi lansert et initiativ for å få til en felles arrangementskalender for hele landet.
Sikkerhetskultur? Vi har folk til slikt.
Det er nå ca. en måned siden den nasjonale sikkerhetsmåneden var over. Oktober var for mange en måned preget av mye engasjement og godt arbeid for å øke bevisstheten rundt informasjonssikkerhet. Det ble hengt opp plakater, delt ut effekter, invitert til foredrag, og mer til – og slik nådde man ut til mange! Dette er viktig arbeid – alt for viktig til å stoppe etter en måned! Etter en litt intens periode kan det imidlertid være nyttig å stoppe opp litt og tenke gjennom hvordan man best kan ta arbeidet med sikkerhetskultur videre.
Det finnes mye forskning på sikkerhetskultur, men jeg har nå lyst til å trekke fram en ny studie som er gjort av noen britiske forskere. De har gjort fem intervjuer med informasjonssikkerhetsledere i store organisasjoner som anses som langt framme når det gjelder informasjonssikkerhet. På bakgrunn av det de har hørt i intervjuene har de noen betraktninger som kanskje kan provosere noen, men samtidig kan være nyttige å tenke gjennom – så kan man jo selv vurdere i hvilken grad man synes de har rett, og i hvilken grad det de sier stemmer med norske forhold.
Med madrassen full av Bitcoins
Bitcoin er en form for digital verdensvaluata som har økt mye i popularitet og omtale den siste tiden. Selv om Bitcoin ikke er bundet til noen bestemt nasjonal valuta eller andre verdier, har den nok tiltro til at man kan bruke den til å betale for ekte ting i den virkelige verden. Bitcoin har derfor en reell verdi i seg selv, og dermed vil det alltids være noen som prøver å skaffe seg slike på uærlig vis.
Transatlantic Science Week – verdens korteste uke
Vi deltok denne uken på Transatlantic Science Week som ble arrangert av den norske ambassaden, Forskningsrådet, Kunnskapsdepartementet og Justisdepartementet i Washington DC 12.-13. november.
Teknologi-camp ved NTNU med hacker-workshop
3.-5. november ble Teknologi-camp arrangert ved NTNU. Ca 100 jenter i alderen 17-19 år var invitert til NTNU for å bli kjent med studiemulighetene innenfor IKT. Vi var med på å arrangere en hacker-workshop for 22 av jentene for å vise dem informasjonssikkerhet som et spennende fagfelt med mange uløste utfordringer.
Seminar 13. november: Håndtering av data fra bolig
På vegne av forskningsprosjektet Safer@Home ønsker vi velkommen til seminar/dialogmøte, onsdag 13. november: «Hvordan håndtere alle data fra en bolig på en god måte?».
Fra arbeid med velferdsteknologi ser vi mye utstyr som plasseres i private boliger og samler data av ulike slag. Også i forbindelse med smarte strømmålere – og «smarte hjem» generelt – gjør det samme seg gjeldende; at dataene ikke bare samles inn, men ofte sendes ut av den private boligen – til offentlige eller private tjenesteleverandører. Vi ønsker å invitere til diskusjon om hvordan best forholde oss til dette i tiden framover, når tjenestelaget blir utviklet og utbredt i norske hjem.
Når det snør fra nettskyen: Sikkerhet i en post-PRISM-verden
En av utfordringene i nettskyen er lange og kompliserte leverandørkjeder som gjør det vanskelig å vite hvor dataene er på et hvert tidspunkt, og tilsvarende vanskelig å stille noen til ansvar dersom uønskede hendelser inntreffer.
Innebygd personvern i praksis for app-utviklere
Hva skal en lommelykt-app med tilganger til både kontaktliste og Internett-tilkobling? I et innlegg om Windows 8.1, har vi omtalt hvordan operativsystemet tillater brukeren å skru av og på ulike tilganger på app-nivå, for eksempel lokasjon, kamera og mikrofon. IOS7 har også en del muligheter for å styre dette, som på bildet til høyre. Nå ser dessuten det samme til å komme i Android, ettersom versjon 4.3 (i det skjulte) muliggjør slike blokkeringer via en egen app. Android blir dessverre liggende etter her, etter å ha fjernet svært lovende funksjonalitet som ble først sluppet ved en glipp.
Men hva er konsekvensene for deg som utvikler apps? Hva skjer med brukeropplevelsen dersom mange tilganger blir skrudd av, men brukeren fremdeles vil bruke appen din? Og hva skjer med forretningsmodellen for gratis-apper?
Ny regjering, felles offentlig innlogging og en personvernbekymring
Av ren nysgjerrighet har jeg vært inne og skummet det nye dokumentet som beskriver 
kommende regjerings politiske plattform. Hvordan vil den norske skuta styres de neste fire årene? Som IKT- og sikkerhetsforsker synes jeg selvfølgelig kapittel 7 – Fornyelse, administrasjon og kirke med sine underkapitler om IKT og personvern var av spesiell interesse. Etter lesningen stilte jeg meg spørsmålet: Er det samsvar mellom IKT-satsingen og personvernsatsingen? Konklusjon: ikke helt.
Interessert i programvare/sikkerhet og luftfart?
Vi arbeider med sikkerhetsløsninger for en ny tjeneste-orientert hverdag i europeisk luftrom, blant annet i form av verktøystøtte for krav/design, utvikling og kjøring av webtjenester.
Det er sikkerhetsmåned, men vi nøyer oss altså ikke bare med aktiviteter i Norge (og heller ikke bare i oktober, for den saks skyld). Fredag 25. oktober blir det mulighet til å delta på workshop i Roma, hvor vi lar deg få prøve og evaluere hva vi og våre forskningspartnere har utviklet i prosjektet Aniketos.
Veiledning: Sikkerhet og sårbarhet i driftskontrollsystemer i VA-anlegg
Har du ansvar for drift av vann- og avløpsanlegg, og lurer på hva du burde tenke på med hensyn til informasjonssikkerhet?
God sikkerhetsmåned!
God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!
Forsker Grand Prix!
På Byscenen i Trondheim, 25. september kl. 19, avholdes «norgesmesterskapet» i forskningsformidling, og vår egen Maria B. Line stiller til start med temaet “Smarte strømmålere – smartere hackere?”. For å kunne yte maks har hun den siste tiden ligget i hardtrening i skjermede omgivelser, og har bare i løpet av de siste tre ukene hatt en økning i forskning på mellom 10 og 12 prosent. Les mer i dette eksklusive intervjuet dagen før det hele braker løs.
Risikovurderinger – hvordan kan vi gjøre dette bedre?
Jeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.
Hendelseshåndtering i kraftbransjen – noen funn
Enhver organisasjon må gjøre et svært grunnleggende valg når det gjelder sikkerhetsarbeidet: hvilket sikkerhetsnivå er riktig for oss? En må altså finne en riktig balanse mellom investering i forebyggende (gjerne tekniske) sikkerhetsmekanismer kontra evnen til å håndtere det som måtte inntreffe av hendelser. En viss risiko må aksepteres, og det er dermed viktig å føle seg trygg på at det som kan skje, det greier vi å håndtere.
Utfordringer for ansvarliggjøring i nettskyen
Ingen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre. Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services.
Hvor sikkert er egentlig GPRS?
Mange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.