Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg «hackere». Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

«Pasienten» overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som «prøvekaniner». Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Les hele innlegget

Også hackere tar lunsjpause

Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.

Les hele innlegget

Husk å tenke på informasjonssikkerhet når du «sourcer»!

shoppingPå lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.

Les hele innlegget

Sikkerhetsforskning og aksjespekulasjon

STJ aksjepris

Aksjekursen til St. Jude Medical falt brått på børsen da Muddy Waters og MedSec publiserte sin rapport om sårbarheter i pacemakere.

Hva har dette til felles, kan man kanskje spørre seg? Kanskje ikke helt opplagt om du ikke har fått med deg nyheten om at sikkerhetsforskere slo seg sammen med børsspekulanter og profiterte på aksjehandel i forbindelse med at de publiserte en rapport om sårbarheter i pacemakere.

Les hele innlegget

Blackbox in the cloud

Skjellet av et styrtet fly

De senere årene har flere fly styrtet og man har i ettertid hatt lange leteaksjoner etter de svarte boksene for å kunne gi pårørende og verden svar på hva som har skjedd. Dette har medført at flere har tatt til orde for at de svarte boksene burde strømmes ut i skyen. Senest i starten av juni ville NRK vite mer om muligheten for dette fra våre kollegaer Martin Gilje Jaatun og Ivonne Herrera.

Her skal vi ta en kikk på hva disse berømte svarte boksene er for noe, mulighetene som åpner seg om vi legger disse i skyen og selvsagt også noen tuer langs veien (de kan som kjent velte store lass).

Les hele innlegget

«Accountability» i nettskyen – tilbakeblikk og fremtid

a4cloudlogoAlle nordmenns gode venn Winston Churchill sa en gang «… this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.» I samme situasjonen befinner vi oss når det gjelder accountability i nettskyen. Prosjektet A4Cloud – Accountability for Cloud and other Future Internet Services, som vi har omtalt her på bloggen tidligere, er avsluttet, men stadig gjenstår det arbeid i både industri og forskning før vi kan påberope oss accountability i enhver nettsky.

Les hele innlegget

Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko

Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Les hele innlegget

Om å la andre ta seg av hendelseshåndteringen

passing-the-buck Denne uken har jeg vært i Vancouver for å delta på CloudCom-konferansen, og har presentert en artikkel basert på masteroppgaven til Alfredo Reyes (som jeg veiledet i vår).

Det har skjedd en stor utvikling i tjenesteproduksjon i senere år, fra overveiende bruk av lokal datakraft, via tradisjonell tjenesteutsetting, til dagens økende bruk av nettskyen. Les hele innlegget

Mr Robot: en studie i social manipulation

Mr. Robot (2015) poster (bild från imdb.com)

Mr. Robot (2015) poster (bild från imdb.com)

Om du inte har hört om den amerikanske TV serien Mr Robot så rekommenderar jag att du tar en titt på denna! Till skillnad från tidigare TV serier och filmer som försökt skildra hacking (och som oftast får oss som jobbar med säkerhet att himla med ögonen och sucka djupt) så innehåller denna serien en lång rad med realistiska «hacks» som inte bara baserar sig på utnyttjandet av tekniska sårbarheter utan som också på ett smart och trovärdig sätt skildrar så kallad «social manipulation» (eng: social engineering). Serien har hyllats av både amerikanske och norska kritiker. Ryktet säger att till och med medlemmar i Anonymous tycker den är bra gjord.

Mr Robot visas i Sverige just nu och är tillgänglig på SVT Play (för de av oss som befinner oss i Sverige). När serien kommer till Norge vågar jag tyvärr inte säga något om.

Oppdatert: NRK3 sender serien fra 1. mars 2016!

Safe Harbour underkjent

safe-harbourTirsdag 6. oktober utstedte EU-domstolen en pressemelding om Safe Harbour-ordningen fra juli 2000: «[…] Domstolen erklærer Safe Harbour-beslutningen [av kommisjonen i 2000] ugyldig». Beslutningen ønskes velkommen av forbrukerorganisasjoner, men reiser en del spørsmål for bedrifter som benytter seg av amerikanske netttjenester.

Les hele innlegget

Litt statistikk om forskning på cybersecurity i Europa

Bilde fra eurosport.com

Bilde fra eurosport.com

Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin! Les hele innlegget

Årets julebok: Secure and Trustworthy Service Composition

aniketosbokJula er en tid da man kan sette seg i godstolen foran peisen, spise peppernøtter og kose seg med en god bok. Tips til sistnevnte er vår nylig utgitte bok om sikkerhet og tillit for tjenestekomposisjon – anbefalt julegave til både liten og stor!

Les hele innlegget

Sikkerhet og EU-forskning – bli med!

horizon2020Det europeiske forskningsområdet (ERA) er uten sammenligning den viktigste internasjonale arenaen for norsk forskning. Horisont 2020 er verdens største program for forskning og innovasjon, med en økonomisk ramme på 77 milliarder euro (660 milliarder kroner) i perioden 2013-2020. SINTEF den største norske aktøren på EU-arenaen med kontraktsfestede EU-midler på over 140 millioner € per mai 2014. Dessverre er den totale norske EU-deltagelsen lavere enn hva den burde være, hittil har vi bare hentet ut 6 av de rundt 10 milliardene Norge har betalt inn til EUs forskningssamarbeid [1]. For å forbedre denne situasjonen ønsker vi å dra med oss flere aktører fra norsk næringsliv mot temaene knyttet til informasjonssikkerhet.

Les hele innlegget

NordSec 2014

Capture NordsecDen 15-17 oktober så arrangeras, för nittonde året i rad, «The Nordic Conference on Security IT Systems (NordSec)» i Tromsø. I år har konferensen fokus på «Security and Privacy for Cloud Computing and Big Data». Årets program innehåller en mix av intressanta presentationer och föreläsningar om allt från sikkerhet og personvern, angrepp och forsvar, nettverkssikkerhet og kryptering.

Program och anmälan finner du här.

Väl mött i Tromsø!

IT og Prosesskontroll: Løver og sebraer

zebralionDenne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
Les hele innlegget

Nytt fra Data Protection Day 2014

BBdECnUCMAADYmtEU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en «Data Protection Day» med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.

Les hele innlegget

Målrettede angrep: hvordan foregår de egentlig?

1078183_successfulGenerelle malware-baserte angrep som har økonomisk fortjeneste som mål, forekommer mye oftere enn målrettede angrep. Men vellykkede målrettede angrep kan være svært ødeleggende. Et nyere angrep mot RSA sies å ha kostet 66 mill dollar, bare i direkte kostnader. Å kunne beskytte seg mot slike angrep krever en grundig forståelse av hvordan angriperne opptrer. En gruppe forskere i Symantec har dybdeanalysert data fra mer enn 26.000 målrettede angrep oppdaget i 2011. Dette innlegget oppsummerer studien deres og de viktigste resultatene.

Les hele innlegget