Ofte blir sikkerhet sett på som en ekstra kostnad. En sikkerhetsansvarlig som prøver å sanke støtte hos ledelsen for investering i sikkerhetstiltak må argumentere for en positiv avkastning på investeringen (ROI). Dette blir vanskelig hvis man ikke kan vise til noen sikkerhetshendelser – da kan det tvert i mot se ut som om investeringene var overdrevet eller direkte bortkastet. Pussig nok er dette aldri en problemstilling i HMS-verdenen, men dette kan forklares ut fra samfunnets vilje til å bruke mye penger hvis det kan redde livet til et eneste menneske.
Alle vil ha sikkerhet, men ingen vil betale for det
Sikkerhet er aldri gratis. Selv når man ikke betaler i rene penger, må brukere av sikkerhet akseptere at ting tar lengre tid, medfører mer plunder, eller er mindre spennende enn de ellers kunne ha vært. Et relevant eksempel er ramaskriket over oppdagelsen av de påståtte falske GSM-basestasjonene på forskjellige strategiske plasser i Oslo i fjor, som man antok kunne tillate sporing og avlytting av topp-politikere og ledende forretningsfolk.
Ukens myte: Vi trenger ikke sikkerhet
Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn.
Safe Harbour underkjent
Tirsdag 6. oktober utstedte EU-domstolen en pressemelding om Safe Harbour-ordningen fra juli 2000: “[…] Domstolen erklærer Safe Harbour-beslutningen [av kommisjonen i 2000] ugyldig”. Beslutningen ønskes velkommen av forbrukerorganisasjoner, men reiser en del spørsmål for bedrifter som benytter seg av amerikanske netttjenester.
Hva er nytt i BSIMM6?
Siste utgave i rekken, BSIMM6, ble offentliggjort for en drøy uke siden. Fans av dypdykkserien kan puste ut; det er bare små endringer i de tekstlige beskrivelsene av selve aktivitetene.
Dypdykk i BSIMM del 12 – Software Environment
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til det siste avsnittet, nemlig Software Environment eller “Programvaremiljø” som vi har kalt det på norsk.
I vår modenhetsstudie av programvaresikkerhet i offentlige virksomheter fant vi at de aller fleste hadde god tiltro til egen modenhet på dette feltet. Dette er ikke overraskende, ettersom det stort sett dreier seg om tradisjonelle mekanismer for sikring av datamaskiner og nettverk, noe som i langt større grad er en del av vanlig praksis enn det programvaresikkerhet er.
Med hjertet på Internett – Hacking av medisinske implantat
For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. 
Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.
Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.
Sikkerhet og robusthet i IKT-systemer
Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. 
Sikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger.
Dypdykk i BSIMM del 11 – Security Testing
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Security Testing, eller “Sikkerhetstesting”.
Hovedmålet for praksisen Sikkerhetstesting er kvalitetskontroll som gjøres i løpet av utviklingssyklusen. De som utfører sikkerhetstesting må sørge for at sikkerhetsfeil oppdages og korrigeres. Programvaresikkerhetsgruppen (SSG) må sørge for at standarder blir fulgt og at godkjente sikkerhetsmekanismer gjenbrukes.
Nettverksmøte 14. oktober 2015 i Trondheim
ISF, ISACA og Faggruppen Informasjonssikkerhet i Dataforeningen Trøndelag inviterer til felles møte for faglig påfyll onsdag 14. oktober fra kl.15 til kl.18. Etter det faglige programmet blir det servering og sosialisering.
Dypdykk i BSIMM del 10 – Penetration Testing
I vår modenhetsstudie av programvaresikkerhet i offentlige virksomheter pekte penetreringstesting seg ut som en aktivitet som generelt sett ikke gjøres som en del av utviklingen – dette er overraskende når man tenker på hvor mange verktøy som er fritt tilgjengelige. Noen kunne hevde at den jevne utvikler ikke har tilstrekkelig kompetanse til å drive penetreringstesting, men vårt svar er at da er det på tide at de lærer seg noen nye triks!
Velferdsteknologi, sikkerhet og personvern
SINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.
Vi sjekker status på programvaresikkerhet, smaker på sikkerhetskultur, øver på hendelser og hacker fly
På årets ISF Høstkonferanse var alle gode ting minst fire.
Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.
(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)
Trykk på førsteslidene under for å laste ned de respektive presentasjonene.
Doktorgradsavhandling om hendelseshåndtering
PhD-prosjektet mitt om håndtering av IKT-sikkerhetshendelser i kraftbransjen er avsluttet. I prosjektet har jeg i samarbeid med mine kolleger studert hvilke faktorer som påvirker hvordan hendelseshåndtering gjøres i dag, samt hvilke utfordringer som ligger i veien for forbedringer. Viktige anbefalinger å ta med videre for bransjen, handler om å sette sammen riktige, kryssfunksjonelle team for både beredskapsøvelser og reelle situasjoner, samt å bruke tid og ressurser på læring.
Tilbake til røttene: Prinsipper for programvaresikkerhet
Programvare blir stadig viktigere for alle deler av samfunnet, og det er økende bevissthet om at det er viktig med kvalitet og sikkerhet også i programvare. Sikkerhetsfeil i programvare er roten til mange av sikkerhetsutfordringene man opplever. Det har skjedd mye på programvaresikkerhetsområdet de siste årene, og det har dukket opp mange nye rammeverk og metoder man kan benytte for ulike deler av utviklingsprosessen. Det er bra. Samtidig kan det være nyttig også å se tilbake, for å gjenoppdage noe av det som har formet dette arbeidet og som har stått seg over flere år. I anledning av at vi i disse dager starter opp et nytt forskningsprosjekt innen programvaresikkerhet, gir vi en kort oversikt over 10 prinsipper for programvaresikkerhet, hentet fra en bok som har betydd mye for området, nemlig Viega og McGraws bok “Building Secure Software” fra 2001.
Sjekkliste for sikkerhet i skytjenester
Vi har publisert en rapport som kan være til hjelp for deg som vurderer å ta i bruk nettskyen!
Rapporten “Cloud Security Requirements” (som du laster ned gratis her) inneholder nemlig en sjekkliste som du kan bruke til å evaluere sikkerhet og personvern i offentlige nettskytjenester, og til å stille krav.
Sjekklisten benytter vi selv i forbindelse med risikoanalyser av IT-systemer/applikasjoner, og nå vil vi gjerne at enda flere tar den i bruk.
Dypdykk i BSIMM del 9 – Code Review
I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Code Review, eller kodegjennomgang.
Hovedmålet for praksisen “Kodegjennomgang” er kvalitetskontroll. De som utfører kodegjennomgang må sørge for at sikkerhetsfeil oppdages og korrigeres. SSG må sørge for at standarder blir fulgt og at godkjente sikkerhetsmekanismer gjenbrukes.
Vitenskaplig sikkerhet i smidig utvikling
Vi har nettopp fått finansiert et nytt forskningsprosjekt av Norges Forskningsråd – prosjektet SoS-Agile skal utforske hvordan man kan ivareta informasjonssikkerhet under smidig utvikling.
Brettspill laget for IT-beredskapsøvelser
Vi har i vår veiledet en masterstudent i å utvikle et brettspill som har til hensikt å støtte en beredskapsøvelse for IT-sikkerhetshendelser i kraftbransjen.
Spillet simulerer et angrep på kraftnettet, og spilldeltakerne tildeles ulike roller og skal sammen respondere på situasjonen.
Budbringeren – Hvordan varsle eiere av sårbare systemer?
En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.
Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?