En av utfordringene i nettskyen er lange og kompliserte leverandørkjeder som gjør det vanskelig å vite hvor dataene er på et hvert tidspunkt, og tilsvarende vanskelig å stille noen til ansvar dersom uønskede hendelser inntreffer.
Innebygd personvern i praksis for app-utviklere
Hva skal en lommelykt-app med tilganger til både kontaktliste og Internett-tilkobling? I et innlegg om Windows 8.1, har vi omtalt hvordan operativsystemet tillater brukeren å skru av og på ulike tilganger på app-nivå, for eksempel lokasjon, kamera og mikrofon. IOS7 har også en del muligheter for å styre dette, som på bildet til høyre. Nå ser dessuten det samme til å komme i Android, ettersom versjon 4.3 (i det skjulte) muliggjør slike blokkeringer via en egen app. Android blir dessverre liggende etter her, etter å ha fjernet svært lovende funksjonalitet som ble først sluppet ved en glipp.
Men hva er konsekvensene for deg som utvikler apps? Hva skjer med brukeropplevelsen dersom mange tilganger blir skrudd av, men brukeren fremdeles vil bruke appen din? Og hva skjer med forretningsmodellen for gratis-apper?
Ny regjering, felles offentlig innlogging og en personvernbekymring
Av ren nysgjerrighet har jeg vært inne og skummet det nye dokumentet som beskriver 
kommende regjerings politiske plattform. Hvordan vil den norske skuta styres de neste fire årene? Som IKT- og sikkerhetsforsker synes jeg selvfølgelig kapittel 7 – Fornyelse, administrasjon og kirke med sine underkapitler om IKT og personvern var av spesiell interesse. Etter lesningen stilte jeg meg spørsmålet: Er det samsvar mellom IKT-satsingen og personvernsatsingen? Konklusjon: ikke helt.
Interessert i programvare/sikkerhet og luftfart?
Vi arbeider med sikkerhetsløsninger for en ny tjeneste-orientert hverdag i europeisk luftrom, blant annet i form av verktøystøtte for krav/design, utvikling og kjøring av webtjenester.
Det er sikkerhetsmåned, men vi nøyer oss altså ikke bare med aktiviteter i Norge (og heller ikke bare i oktober, for den saks skyld). Fredag 25. oktober blir det mulighet til å delta på workshop i Roma, hvor vi lar deg få prøve og evaluere hva vi og våre forskningspartnere har utviklet i prosjektet Aniketos.
Veiledning: Sikkerhet og sårbarhet i driftskontrollsystemer i VA-anlegg
Har du ansvar for drift av vann- og avløpsanlegg, og lurer på hva du burde tenke på med hensyn til informasjonssikkerhet?
God sikkerhetsmåned!
God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!
Forsker Grand Prix!
På Byscenen i Trondheim, 25. september kl. 19, avholdes «norgesmesterskapet» i forskningsformidling, og vår egen Maria B. Line stiller til start med temaet «Smarte strømmålere – smartere hackere?». For å kunne yte maks har hun den siste tiden ligget i hardtrening i skjermede omgivelser, og har bare i løpet av de siste tre ukene hatt en økning i forskning på mellom 10 og 12 prosent. Les mer i dette eksklusive intervjuet dagen før det hele braker løs.
Risikovurderinger – hvordan kan vi gjøre dette bedre?
Jeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.
Hendelseshåndtering i kraftbransjen – noen funn
Enhver organisasjon må gjøre et svært grunnleggende valg når det gjelder sikkerhetsarbeidet: hvilket sikkerhetsnivå er riktig for oss? En må altså finne en riktig balanse mellom investering i forebyggende (gjerne tekniske) sikkerhetsmekanismer kontra evnen til å håndtere det som måtte inntreffe av hendelser. En viss risiko må aksepteres, og det er dermed viktig å føle seg trygg på at det som kan skje, det greier vi å håndtere.
Utfordringer for ansvarliggjøring i nettskyen
Ingen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre. Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services.
Hvor sikkert er egentlig GPRS?
Mange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.
Bedriftsinformasjon i Prism – en mulighet for industrispionasje
Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?
Bondefangeri over telefon
En liten historie om hvordan en SINTEF-forsker ble forsøkt lurt til å installere malware på sin PC ved hjelp av telefonoppringning.
Smartgridkonferansen 2013
10. og 11. september går Smartgridkonferansen av stabelen i Trondheim. Konferansen dekker bredt, og tar for seg politikk og rammevilkår, status på prosjekter innen området både i næringslivet og innen forskningen, og hva som skjer framover på teknologi. Dag 2 er det satt av en sesjon til personvern og informasjonssikkerhet. I denne sesjonen vil blant annet undertegnede gi en presentasjon av det arbeidet vi i SINTEF gjør på risikovurdering i regi av DeVID-prosjektet.
«A wiseguy never pays for his drinks»
Sitatet tilhører Benjamin ‘Lefty’ Ruggiero fra filmen «Donnie Brasco» (1997), og vi får se om dette stemmer når den virkelige Donnie Brasco (eller Joseph D. Pistone som han egentlig heter) kommer til ISF sin høstkonferanse i september. Pistone er en tidligere FBI-agent som infiltrerte Mafiaen i New York på 70-tallet, og førte til at over 100 medlemmer av «familien» ble dømt. Jeg ser fram til høre ham fortelle om hvordan det var å være muldvarp i temmelig paranoid og livsfarlig organisasjon, og hvordan livet ble i etterkant.
Usikkert sommervær, men sikker PC
Ferietider og stort sett fri, men det er mange som likevel ikke er helt offline. Mobiltelefonen er med, kanskje et og annet nettbrett eller en PC, og noen har også med seg jobb-PCen på tur. Med noen enkle forholdsregler kan du unngå mange kjente sikkerhetsproblemer.
Sikkerhetsoppdatering 8.1
Nå er kanskje ikke sikkerhet den merkelappen som folk flest liker å sette på Windows. Det er likevel over 11 år siden Bill Gates sendte ut sin berømte epost om Trustworthy computing til alle sine ansatte, og det er ikke til å komme utenom at dette har hatt sine positive effekter, både i og utenfor Microsoft. Denne uka lanserte de en beta-versjon av Windows 8.1, som i motsetning til tidligere service packs med akkumulerte sikkerhetspatcher også lanserer helt ny funksjonalitet – også på sikkerhetsfronten.
E-postkontoen din er hacket – hva så?
Det kan være vanskelig å forstå verdien av sin egen e-postkonto. «Jeg har ikke noe spennende der, er det så farlig om noen hacker den, da?» Det er først når den har blitt hacket, altså at uvedkommende har fått tilgang til den, at man fullt ut skjønner hvor mye man har lagret der.
Med dette blogginnlegget ønsker vi å demonstrere markedsverdien av en hacket e-postkonto, samt minne om at mange mennesker, personopplysninger og tjenester rammes når enkeltbrukere velger å sikre e-postkontoen sin for dårlig.
Personvern etter PRISM – en umulighet?
Vi har fryktet det og noen har sikkert forventet det også, men likevel er det lett å bli forbauset over omfanget av overvåking amerikanske myndigheter nå utfører. Med PRISM-prosjektet sitt, har NSA hatt tilsynelatende full tilgang til data fra alle store tjenesteleverandører i USA, inkludert Facebook, Google, Yahoo og Apple. Dette har foregått uavhengig av personvernerklæringer, personverninnstillinger, europeisk og norsk personvernlovgiving og internasjonale avtaler om personvern. Hvis ingen av disse tiltakene kan beskytte oss, er personvern da å betrakte som en illusjon?
Case-studie: Hendelseshåndtering i store virksomheter
Alle virksomheter har en del sikkerhetsmekanismer på plass i sine IT-systemer. Like fullt er det mulig å bli rammet av angrep eller andre typer uønskede hendelser. En organisasjon må derfor være forberedt på å håndtere slike. Det finnes standarder og veiledninger til hendelseshåndtering, men det er ikke gitt at disse fungerer i praksis. Vi har i vår veiledet to studenter som har gjennomført et omfattende case-studie av tre store norske virksomheter. De har undersøkt hvordan disse virksomhetene gjør hendelseshåndtering i praksis.