STOP-IT – sikkerhet i vannbransjen

1. juni startet H2020-prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats). Dette er en såkalt Innovation Action i H2020-programmet Secure Societies, og skal sette sammen både eksisterende prototyper og nyere teknologi, prosedyrer og metoder for å…

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en “keynote” foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o
(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

“Accountability” i nettskyen – tilbakeblikk og fremtid

a4cloudlogoAlle nordmenns gode venn Winston Churchill sa en gang “… this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.” I samme situasjonen befinner vi oss når det gjelder accountability i nettskyen. Prosjektet A4Cloud – Accountability for Cloud and other Future Internet Services, som vi har omtalt her på bloggen tidligere, er avsluttet, men stadig gjenstår det arbeid i både industri og forskning før vi kan påberope oss accountability i enhver nettsky.

Er du cyber-forsikret? Vi ønsker å snakke med deg!

insecurancelogo_screen_resolutionVi forsker nemlig på cyberforsikring, og søker kontakt med virksomheter som har kjøpt cyberforsikring. I tillegg er vi veldig interessert i en liten prat med dere som vurderer eller har vurdert å kjøpe slik forsikring. Basert på utviklingen i andre land tror vi tematikken vil komme på agendaen hos mange bedrifter de kommende årene, og vi søker å bidra til at enda flere kan oppnå riktig sikkerhet for sin virksomhet – hvor cyberforsikring kanskje er ett tiltak.

Cyberforsikring – hva vet vi fra forskningen?

report-frontpageDet å kjøpe cyberforsikring er et mulig tiltak for å håndtere risiko i en virksomhet. Det kan imidlertid være krevende å vurdere cyberforsikring opp mot andre tiltak: Når bør man velge å forsikre, og når bør man heller gå for andre strategier? Vi har laget en rapport som oppsummerer forskningen på cyberforsikring som en risikohåndteringsstrategi.

Doktorgradsavhandling om hendelseshåndtering

phd-capPhD-prosjektet mitt om håndtering av IKT-sikkerhetshendelser i kraftbransjen er avsluttet. I prosjektet har jeg i samarbeid med mine kolleger studert hvilke faktorer som påvirker hvordan hendelseshåndtering gjøres i dag, samt hvilke utfordringer som ligger i veien for forbedringer. Viktige anbefalinger å ta med videre for bransjen, handler om å sette sammen riktige, kryssfunksjonelle team for både beredskapsøvelser og reelle situasjoner, samt å bruke tid og ressurser på læring.

Tilbake til røttene: Prinsipper for programvaresikkerhet

BuildingSecureSoftwareProgramvare blir stadig viktigere for alle deler av samfunnet, og det er økende bevissthet om at det er viktig med kvalitet og sikkerhet også i programvare. Sikkerhetsfeil i programvare er roten til mange av sikkerhetsutfordringene man opplever. Det har skjedd mye på programvaresikkerhetsområdet de siste årene, og det har dukket opp mange nye rammeverk og metoder man kan benytte for ulike deler av utviklingsprosessen. Det er bra. Samtidig kan det være nyttig også å se tilbake, for å gjenoppdage noe av det som har formet dette arbeidet og som har stått seg over flere år. I anledning av at vi i disse dager starter opp et nytt forskningsprosjekt innen programvaresikkerhet, gir vi en kort oversikt over 10 prinsipper for programvaresikkerhet, hentet fra en bok som har betydd mye for området, nemlig Viega og McGraws bok “Building Secure Software” fra 2001.

Tilpasningsdyktighet ved kriser

Charles DarwinFor at et system skal overleve et dataangrep må man være forberedt, oppdage angrepet, respondere og så tilpasse systemet slik at man ikke blir angrepet på samme måte på nytt. Gjennom en slik evolusjon får man robuste systemer som skal tåle både forventede og uforutsette hendelser. Dette er en egenskap vi på nynorsk kaller resilience, og nå i juni har vi oppstart av et treårig forskningsprosjekt innenfor dette området.

Arbeid for å hindre flyhacking

Copyright ESA–P. Carril
Copyright ESA–P. Carril

Vi har lagt merke til litt skriverier knyttet til hacking av passasjerfly, fortrinnsvis i Wired og gjengitt hos tek.no. I den forbindelse har vi lyst til å opplyse om at Norge deltar i et program for å utvikle neste generasjons sikker datakommunikasjonsløsning for kommersiell luftfart – IRIS, og si litt om vår rolle.

Utfordringer ved IT-beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

Beredskapsøvelser for IT-sikkerhetshendelser prioriteres altfor lavt i dag. Til dels skyldes dette trolig at selskapene ikke forstår hvordan de skal øve effektivt eller at de ikke opplever stor nok nytte av å øve. Derfor har vi studert hvilke utfordringer nettselskapene (kraftbransjen) møtte underveis i en øvelse for å komme fram til noen anbefalinger om hvordan de kan øve bedre og mer effektivt. Våre resultater er også viktige for at norsk næringsliv skal bli flinkere til å håndtere et trusselbilde som er i konstant endring.

Cyberforsikring på forskningsagendaen

insecurancelogo_screen_resolutionVi har tidligere skrevet om cyberforsikring på denne bloggen, og holdt foredrag om temaet på NHOs pensjons- og forsikringskonferanse i november i fjor. I år har vi fått startet et eget forskningsprosjekt ved SINTEF IKT for å utvikle teknikker og verktøy for vurdering av cyberforsikring.

Årets julebok: Secure and Trustworthy Service Composition

aniketosbokJula er en tid da man kan sette seg i godstolen foran peisen, spise peppernøtter og kose seg med en god bok. Tips til sistnevnte er vår nylig utgitte bok om sikkerhet og tillit for tjenestekomposisjon – anbefalt julegave til både liten og stor!

Studie av beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?

Sikkerhet og EU-forskning – bli med!

horizon2020Det europeiske forskningsområdet (ERA) er uten sammenligning den viktigste internasjonale arenaen for norsk forskning. Horisont 2020 er verdens største program for forskning og innovasjon, med en økonomisk ramme på 77 milliarder euro (660 milliarder kroner) i perioden 2013-2020. SINTEF den største norske aktøren på EU-arenaen med kontraktsfestede EU-midler på over 140 millioner € per mai 2014. Dessverre er den totale norske EU-deltagelsen lavere enn hva den burde være, hittil har vi bare hentet ut 6 av de rundt 10 milliardene Norge har betalt inn til EUs forskningssamarbeid [1]. For å forbedre denne situasjonen ønsker vi å dra med oss flere aktører fra norsk næringsliv mot temaene knyttet til informasjonssikkerhet.

Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?

I1078183_successful dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.

I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.

Empirisk forskning på informasjonssikkerhet

Forskning på informasjonssikkerhet er blant de mer påtrengende typene organisasjonsforskning [1]. Det er gjerne, og heldigvis, en grunnleggende skepsis til enhver utenforstående som ønsker innsyn i organisasjonens sikkerhetsarbeid. Som forskere er vi ikke interessert i en glansbildepresentasjon, det gir oss ingen spennende resultater. Typiske “slik gjør vi det”-framstillinger gjenspeiler kanskje helst de gode intensjonene – “slik skal vi egentlig gjøre det”, mens vi heller vil vite hvordan praksis egentlig er. Deretter er vår jobb å prøve og forstå hvorfor praksis er som den er, eventuelt hvorfor den ikke samstemmer med uttalte intensjoner. Først når vi vet noe om hvorfor, kan vi identifisere mulige forbedringer og hvordan de bør implementeres.