Cybersecurity forskningsgruppe
Det er ikke noen hemmelighet at det tross gode intensjoner ikke ble helt klaff med planleggingen av vårens vakreste eventyr. Vi hadde alt på plass, men det er vanskelig å arrangere konferanse hvis «ingen» kommer. MEN vi gir oss ikke med det! Vi har flyttet arrangementet til høsten, og 20. september braker det løs med Sikkerhet & Sårbarhet på Pirsenteret i Trondheim!
Endelig er ventetiden over! 10. mai er Dataforeningens konferanse Sikkerhet & Sårbarhet tilbake på Pirsenteret, etter to år under pandemiens svøpe. Vi starter litt forsiktig med en konferanse på kun en dag, men har likevel et rikholdig program på menyen!
På oppdrag fra NVE har vi skrevet en rapport med anbefalinger til krav som norske nettselskaper med fordel kan stille til sine leverandører.
NVE ønsket en rapport som kunne identifisere god praksis for krav relatert til IKT-sikkerhet i anbudsdokumenter på anskaffelse av IT og OT, og hvordan dette skal kunne følges opp i drift. Hovedmålet var å identifisere krav som små og mellomstore nettselskap kan stille til sine leverandører.
Den fjerde industrielle revolusjonen er preget av økt sammenkobling av systemer, smart automatisering og bruk av digitale teknologier som tingenes internett og kunstig intelligens for å forbedre effektiviteten og produktiviteten til bedrifter.
Medisinteknisk utstyr er i økende grad en del av (tingenes) internett, og nye regulatoriske krav fra EU (MDR) og USA (FDA) er nå eksplisitte på at sikkerhet (og ikke bare trygghet) må bygges inn fra starten. I EU har veiledningen MDCG 2019-16 vært tilgjengelig i 3 år, men det er ting som tyder på at den har forbedringspotensial – den er kanskje for generisk, og for lite konkret for spesielt små produsenter. Mange har uttrykt et ønske om enklere, steg-for-steg veiledning for å senke terskelen til dette markedet i Europa og USA.
Det blir nytt nettverksmøte i Dataforeningen hos Sparebank 1 SMN i Søndre Gate 8. februar! Dette arrangeres som et fellesmøte sammen med ISF Norge, ISACA og CSA Norge, og er gratis hvis du er medlem av en av foreningene (tips: Det er gratis å melde seg inn i CSA Norge). Forvent inspirerende foredrag fra Håkon Olsen i DNV, Inge Kampenes i Advansia og vår egen Maria Bartnes, med påfølgende engasjert debatt der panelet i tillegg til foredragsholderne styrkes med Pål Christian Waag (Fremtind Forsikring) og Marianne Hove Solberg (HEMIT)! Oppmøte fra 15:30!
Sikkerhetsmåneden er over, men truslene vedvarer! Derfor inviterer vi til et nytt medlemsmøte i Dataforeningens faggruppe for informasjonssikkerhet, onsdag 9/11 på Pirsenteret.
Torsdag 6. oktober setter Inger Anne Tøndel endelig punktum for SINTEF-prosjektet SoS-Agile ved å forsvare sin doktorgradsavhandling “Prioritisation of security in agile software development projects”.
Åpen kildekode utgjør i dag en stor del av all kode brukt både profesjonelt og privat. Hovedtankene bak åpen kildekode er at åpent tilgjengelig kode vil kunne gagne flest mulig, og potensielt utvikle seg bedre og raskere enn om man hadde drevet utvikling i et lukket miljø. I populære prosjekt som Linux fungerer det veldig bra, og er en av grunnene til at det er brukt så mye i dag. Men i mindre prosjekter som ikke har like mange bidragsytere går man glipp av mange av fordelene som man i teorien skal få av åpen kildekode, og man kan ende opp med en situasjon som vist i figuren til høyre. I øyeblikket det oppdages en sårbarhet i det lille prosjektet, vil ansvaret for å minske trusselen til programmet falle på den som bruker programmet. Se heartbleed for et eksempel!
The Linux Foundation gjorde i 2021 en undersøkelse som blant annet viste at 98% av deltakerne hørte til organisasjoner som på en eller annen måte benyttet Open Source komponenter i sine produkter. Selv om det har klare fordeler, er det å bygge programvare med Open Source verktøy eller bibliotek i grunn noe som åpner for sårbarheter som kan være vanskelige å holde oversikt over.
På vegne av Reguleringsmyndigheten for Energi (RME) har vi utarbeidet en ny Veileder til sikkerhet i AMS.
OWASP Top 10 har siden 2003 representert de viktigste/vanligste sårbarhetene eller angrepstypene mot internettbasert programvare. Listen har vært oppdatert med ujevne mellomrom, men i det siste stort sett hvert fjerde år. Listen er viktig ikke bare fordi den forteller oss hvilke angrepstyper som er vanligst for tiden, men også fordi den representerer angrep som utgjør utgangspunktet for mer eller mindre uerfarne angripere – dette er det de kommer til å prøve først, så sørg for at du ikke er sårbar for det! OWASP Top 10 tar utgangspunkt i Mitres Common Weakness Enumeration (CWE).
Som i fjor benytter vi anledningen når regjeringen har avlyst pandemien til å arrangere et hybrid ISF/ISACA/CSA/Dataforeningen fellesmøte 16/3 på Pirsenteret!
Vi er i ferd med å runde av EU-prosjektet STOP-IT (2017-2021) som har fokusert på å gjøre vann- og avløpssystemer sikrere og mer motstandsdyktige mot ondsinnede angrep. STOP-IT har arbeidet for at vannbransjen skal bli mer bevisst på, og gjøre bedre forberedelser mot, cyber-fysiske trusler, og forbedre håndtering av hendelser av både fysisk og digital karakter. STOP-IT-løsningene vil hjelpe vannverk med å prioritere risikoer og utvikle en realistisk plan for forbedret fysisk/cyber beskyttelse.
Endelig er vi klare med et nytt fysisk ISACA/ISF/CSA/Dataforeningen fellesmøte! Meld deg på, og still opp på Pirsenteret onsdag 29/9 før kl 17:30!
16. juni arrangerer vi et virtuelt møte i CDS-forum hvor to masteroppgaver og et påbegynt PhD-studium i nedslagsfeltet IT/OT-sikkerhet vil bli presentert. Møtet er åpent for alle interesserte.