Om Erlend Andreas Gjære

Faglige interesser er sikkerhet og brukervennlighet. Følg @erlangsec på Twitter.

IT-sikkerhet og folks følelser

De 16 persontypene vi må ta hensyn til. Illustrasjon: Knut Gangåssæter / SINTEF

Folks følelser må hensyntas til om vi vil stimulere til sikker praksis. Illustrasjon: Knut Gangåssæter / SINTEF

Dagens Næringsliv trykket lørdag 29. oktober en kronikk skrevet av undertegnede sammen med IT-sikkerhetsleder i SINTEF, Maria Bartnes. Med DNs tillatelse har forskningsmagasinet Gemini gjort artikkelen åpent tilgjengelig. Her presenterer vi en studie som viser hvilken betydning det har å ta hensyn til folks følelser når man arbeider med den menneskelige siden av sikkerhetsarbeidet.

Digi.no har videre publisert vår oppfølger til DN-kronikken, der vi går nærmere inn på hvordan bedrifter kan gjøre de ansatte mer mottakelige for IT-sikkerhetsopplæring.

Les hele innlegget

Nettverksmøte 28. september om sikkerhetsopplæring og GDPR

opplaeringDataforeningen Trøndelags faggruppe for informasjonssikkerhet inviterer til faglig påfyll og mingling onsdag 28. september fra kl.1530 til kl.18, på DIGS i Trondheim. SINTEF bidrar med erfaringer fra internt sikkerhetsarbeid koblet med forskningsbasert kunnskap om hva som gjør folk mottakelig for opplæring. Datatilsynet forteller om nye personvernregler. Gratis deltakelse, enkel servering.

Les hele innlegget

Næringslivsfrokost: Må vi være forsikret mot hacking?

insecurancelogo_screen_resolutionForsikringsbransjen har ihvertfall begynt å mene dette! Vi inviterer til en oppdatering på det hotteste produktet fra forsikringsbransjen for tiden, cyberforsikring. Vi får besøk fra University of Cambridge, og vil sammen dele analyser av hva som kan være viktig ved vurdering av slike produkter, og om dette kan passe for alle virksomheter på linje med f.eks. eiendoms- eller ansvarsforsikring. Sammen med Næringsforeningen i Trøndelag inviterer vi til frokost og faglig påfyll om cyberforsikring, torsdag 28. april kl. 08.00 i Trondheim (NB! Obligatorisk påmelding).

Les hele innlegget

Velferdsteknologi, sikkerhet og personvern

GPS for dementeSINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.

Les hele innlegget

Sikkerhet & sårbarhet 2015

stand-dndsos13Konferansen Sikkerhet & sårbarhet arrangeres 5.-6. mai i Trondheim. Denne gang blir SINTEF upåklagelig godt representert, med både tre faglige foredrag og som partner med stand. I følge arrangøren er dette møtestedet for alle som er opptatt av hva god informasjonssikkerhet kan bety for egen virksomhet. Det skulle vel med andre ord være gode muligheter for at vi sees her.

Les hele innlegget

«OJ!» – Sikkerhetskultur i SINTEF

OJ! Rollup i en av våre kantinerAt NorSIS melder om stor økning i deltakelse rundt nasjonal sikkerhetsmåned i oktober, er gledelig. SINTEF er slett ikke noe unntak, selv om vi etter hvert har valgt å produsere vårt eget opplegg internt. Gjennom et konsept vi kaller «OJ!» driver vi sikkerhetarbeid blant våre medarbeidere. Her kommer en liten smakebit fra dette, og i tillegg gir vi deg en liten trykksak som kan lastes ned og trykkes opp til fritt bruk – se helt nederst i innlegget.

Les hele innlegget

Utsetter du ofte oppdatering av PCen?

PCer må oppdateres iblant, og dette krever gjerne omstart av alt – både med Windows og Mac. Så hvorfor trykker du egentlig «utsett» når du får beskjed om at det er på tide å starte PCen på nytt? Hypotesen min er at nettleseren har delvis skylda. Vi er redd for å miste alt vi har oppe. Redd for å måtte logge inn igjen mange steder. Mer redd enn vi er for risikoen ved å vente. Nettleseren er nok den mest brukte applikasjonen for de fleste av oss. Du kjenner kanskje til hvordan det er å ha en hel rekke faner åpne til enhver tid, og hvis de skulle forsvinne ville det være en stor jobb å komme i orden igjen – kanskje umulig, hvis du ikke husket hvor alle sidene kom fra.

Her kommer derfor en liten guide for deg som ønsker at en litt mer smertefri omstart. Slik at du kan redde alt du holder på med i Chrome, Internet ExplorerFirefox og Safari, og heller bare slappe av med en kaffe mens oppdateringene installeres ferdig – før du fortsetter der du slapp.

Les hele innlegget

Treffes vi på konferanse neste uke?

stand-dndsos13Som vi tidligere har annonsert, går konferansen Sikkerhet og sårbarhet av stabelen 13. og 14. mai. I tillegg til det innholdsrike programmet, med tema som sikkerhetskultur, økt overvåkning, økt sporing, økt bruk av Big Data og Bring Your Own Service- trenden (BYOS), får du også muligheten til å møte oss på stand. Meld deg på i dag, så sees vi neste uke i Trondheim!

Les hele innlegget

Sikkerhet og brukbarhet i skjønn forening

Brukbarhetstesting av digital tavleløsning

Brukbarhetstesting av digital tavleløsning på sykehus: Kan potensielt sensitiv informasjon gjøres mer tilgjengelig?

Tirsdag 29. april i Trondheim skal undertegnede snakke på Dataforeningens fagmøte om et aktuelt tema: Er det i det hele tatt mulig å lage løsninger som er både sikre og brukervennlige?

I en rykende fersk forskningsartikkel publisert i tidsskriftet BMC Medical Informatics and Decision Making (fri tilgang), beskriver vi utviklingsarbeidet og resultatene fra eksperimentering med en digital tavleløsning for sykehus. Hvordan kan digitale tavler brukes til statusoppdateringer med potensielt sensitiv informasjon, men samtidig gjøre fordel av tavlens synlighet på en vegg som mange kan se?

Les hele innlegget

Mobil-apper og deres tilganger – hva er risikoen?

android-money-permissionPå mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.

Les hele innlegget

Aktivere HTTPS på nettsiden (og gi NSA litt merarbeid)? Kom i gang!

I lys av overvåkingen fra vår alles storebror NSA, er det kanskje lett å tenke at kryptert kommunikasjon ikke lenger er særlig vits – man blir avlyttet likevel. Men det er også mange andre som lytter til webtrafikk, bl.a. over kjente men usikrede trådløse nettverk, eller ved å sette opp åpne nett på steder hvor folk sannsynligvis kobler seg til, f.eks. på flyplasser og konferansehoteller. Ved hjelp av lett tilgjengelig programvare som Firesheep blir avlytting en smal sak. Derfor er kryptering av datatrafikken noe som er nettside-eierens ansvar, spesielt dersom personlige data eller brukernavn/passord kan komme til å fly gjennom lufta.

Les hele innlegget

Hvordan håndtere data fra bolig? Oppsummering fra dialogmøtet

IMG_8888 - CopyI november inviterte vi til seminar/dialogmøte omkring et aktuelt tema: «Hvordan håndtere data fra en bolig på en god måte?». Arrangementet kom i stand gjennom prosjektet Safer@Home, som er støttet av VERDIKT-programmet i Norges forskningsråd. Om lag 45 deltakere fra helsevesen, kommunal sektor, teknologi-industri, forskning og myndigheter deltok. Her følger en oppsummering, og PDF-er av innleggsholdernes presentasjoner.

Les hele innlegget

Seminar 13. november: Håndtering av data fra bolig

smart-home-dataPå vegne av forskningsprosjektet Safer@Home ønsker vi velkommen til seminar/dialogmøte, onsdag 13. november: «Hvordan håndtere alle data fra en bolig på en god måte?».

Fra arbeid med velferdsteknologi ser vi mye utstyr som plasseres i private boliger og samler data av ulike slag. Også i forbindelse med smarte strømmålere – og «smarte hjem» generelt – gjør det samme seg gjeldende; at dataene ikke bare samles inn, men ofte sendes ut av den private boligen – til offentlige eller private tjenesteleverandører. Vi ønsker å invitere til diskusjon om hvordan best forholde oss til dette i tiden framover, når tjenestelaget blir utviklet og utbredt i norske hjem.

Les hele innlegget

Innebygd personvern i praksis for app-utviklere

iphone-app-permissions-locationHva skal en lommelykt-app med tilganger til både kontaktliste og Internett-tilkobling? I et innlegg om Windows 8.1, har vi omtalt hvordan operativsystemet tillater brukeren å skru av og på ulike tilganger på app-nivå, for eksempel lokasjon, kamera og mikrofon. IOS7 har også en del muligheter for å styre dette, som på bildet til høyre. Nå ser dessuten det samme til å komme i Android, ettersom versjon 4.3 (i det skjulte) muliggjør slike blokkeringer via en egen app. Android blir dessverre liggende etter her, etter å ha fjernet svært lovende funksjonalitet som ble først sluppet ved en glipp.

Men hva er konsekvensene for deg som utvikler apps? Hva skjer med brukeropplevelsen dersom mange tilganger blir skrudd av, men brukeren fremdeles vil bruke appen din? Og hva skjer med forretningsmodellen for gratis-apper?

Les hele innlegget

Interessert i programvare/sikkerhet og luftfart?

Tjenesteorientert arkitektur (SOA) for luftfart, i form av SWIM

Tjenesteorientert arkitektur (SOA) for luftfart

Vi arbeider med sikkerhetsløsninger for en ny tjeneste-orientert hverdag i europeisk luftrom, blant annet i form av verktøystøtte for krav/design, utvikling og kjøring av webtjenester.

Det er sikkerhetsmåned, men vi nøyer oss altså ikke bare med aktiviteter i Norge (og heller ikke bare i oktober, for den saks skyld).  Fredag 25. oktober blir det mulighet til å delta på workshop i Roma, hvor vi lar deg få prøve og evaluere hva vi og våre forskningspartnere har utviklet i prosjektet Aniketos.

Les hele innlegget

Sikkerhetsoppdatering 8.1

win8.1-privacy

Nye personverninnstillinger som lar deg skru av/på enkelttilganger for ulike apper.

Nå er kanskje ikke sikkerhet den merkelappen som folk flest liker å sette på Windows. Det er likevel over 11 år siden Bill Gates sendte ut sin berømte epost om Trustworthy computing til alle sine ansatte, og det er ikke til å komme utenom at dette har hatt sine positive effekter, både i og utenfor Microsoft. Denne uka lanserte de en beta-versjon av Windows 8.1, som i motsetning til tidligere service packs med akkumulerte sikkerhetspatcher også lanserer helt ny funksjonalitet – også på sikkerhetsfronten.

Les hele innlegget

Når sikkerhet blir til «big data»

En undersøkelse fra det amerikanske analyseselskapet ESG (se grafikk) viser at nesten annenhver store virksomhet samler informasjon tilsvarende >= 6 TB per måned for å støtte analyse og arbeid med informasjonssikkerhet. Mengden innsamlede data til dette formålet har økt betydelig for annenhver virksomhet de siste to år. Men hvilken sikkerhet finnes egentlig i disse enorme datamengdene?

ESG Infographic Big Data_Security Analytics 1

Kilde: http://www.esg-global.com/infographics/the-emerging-intersection-between-big-data-and-security-analytics-infographic/

Les hele innlegget

Sikkerhet i BPMN-diagrammer

Overordnet BPMN-prosess for sammensatt web-tjeneste Receive order. Se neste figur for hele delprosessen Run composite service.

Mange virksomheter benytter prosessmodeller for å dokumentere, og gjerne optimalisere, interne prosesser. I tillegg til grafiske modeller, kan prosessmodellspråket BPMN (Business Process Model and Language) også automatisk gjøre modellene til kjørbare programmer/tjenester. I slike tilfeller angir man i diagrammet også hvilke web-tjenester som har ansvar for de ulike automatiserte oppgavene i prosessen. Gjennom forskning på datatjenester med innebygd selvforsvar har vi tatt BPMN 2.0 i bruk for å la utvikleren definere hvordan trusler og angrep mot de ulike web-tjenestene man benytter i sammensatte tjenester skal kunne håndteres automatisk og sikkert mens tjenesten fortsatt er i bruk.

Les hele innlegget

Ny og enklere deaktivering av Java i nettlesere

I lys av sårbarheten som har blitt kjent det siste døgnet, som kan gi angripere kontroll over PCen din om du bare besøker en infisert nettside, er det atter på tide å holde seg langt unna Java. Hvis du tenker at du ikke besøker slike nettsider, tar du fort feil siden infeksjonen gjerne kan komme gjennom infiserte annonsenettverk. Heldigvis har deaktivering av Java 7 blitt ganske mye enklere, fra og med en oppdatering av programvaren (patch 10) som kom rett før jul. Her får du se hvordan!

Les hele innlegget