Ny regjering, felles offentlig innlogging og en personvernbekymring

Av ren nysgjerrighet har jeg vært inne og skummet det nye dokumentet som beskriver idportenkommende regjerings politiske plattform. Hvordan vil den norske skuta styres de neste fire årene? Som IKT- og sikkerhetsforsker synes jeg selvfølgelig kapittel 7 – Fornyelse, administrasjon og kirke med sine underkapitler om IKT og personvern var av spesiell interesse. Etter lesningen stilte jeg meg spørsmålet: Er det samsvar mellom IKT-satsingen og personvernsatsingen? Konklusjon: ikke helt.

Les hele innlegget

ISO27001 vs. ISO27002: Er det noen forskjell?

5. februar holdt Jostein Jensen et foredrag på det årlige IKT-rettskurset, hvilket er et kurs rettet mot advokater og jurister som arbeider med IKT-kontrakter. De siste årene har referanser til ISO-standardene 27001 og 27002 stadig oftere dukket opp i kontraktsforhandlingssammenheng. Samtidig har det hersket en viss usikkerhet om hva som egentlig ligger i de to standardene, og om det er hipp som happ om man refererer til den ene eller andre standarden i kontraktene som skrives. En kort redegjørelse for historie, forskjeller og likheter følger:

Les hele innlegget

Etisk hacking – hvor langt kan man gå?

Det er mange som hevder at angrep er det beste forsvar, så også når det gjelder informasjonssikkerhet. Penetrasjonstesting har etterhvert blitt en anerkjent og mye brukt praksis for å teste sikkerhetsnivået i datasystemer. Bedrifter leier inn ekspertise fra sikkerhetsfirmaer som får tillatelse til å hamre løs på bedriftsnettverkene med mer og mindre sofistikerte verktøy i håp om å finne sikkerhetshull og systemsvakheter – forhåpentligvis før de svarthattede, ondsinnede trenger seg inn. I denne prosessen lurer jeg imidlertid på hvor langt man kan gå. Når brytes grensen for hva som er etisk forsvarlig sikkerhetstesting?

Les hele innlegget

Stammespråkdialekter. Noen tanker etter ISFs høstkonferanse

Da er Norsk Informasjonssikkerhetsforums høstkonferanse over for denne gang. SINTEFs delegasjon besto av Jostein og Maria som begge holdt foredrag. Det er tre punkter som slår meg etter å ha følt på inntrykkene fra konferansen:

• Så mye god sikkerhetskompetanse som finnes her til lands! Både foredragsholdere og samtalepartnere viser en svært god innsikt i fagfeltet.
• Så bra og viktig at noen tar initiativet til å samle fagfeller. Vi har alle ekspertise på ulike områder. Slike fora for å dele kunnskap bringer fagfeltet framover.
• Alle sikkerhetseksperter har en kommunikasjonsutfordring

Les hele innlegget

Naiv, super

Vi er naive og blåøyde når det kommer til bruken av sosiale medier, slik som Facebook. Sistnevnte har blitt en milliardbedrift. Gullet i bedriften er oss brukere som velvillig deler informasjon om hvem vi er, hva vi liker og hvor vi oppholder oss. Vi tror vi deler dette med våre venner, men tiden da Facebook var en ren platform for koseprat og informasjonsdeling mellom bekjente er over. Facebook lever av å selge våre personlige opplysninger.

Innlogging til Elkjøp via Facebook Les hele innlegget

Føderert identitetsforvaltning

Føderert identitetsforvaltning (Federated Identity Management) er et konsept som tillater samarbeid om prosesser, politikk og teknologi for identitetsforvaltning på tvers av organisasjonsgrenser. I forskningsmiljøer har dette lenge blitt ansett som en lovende tilnærming til å fasilitere sikker og sømløs informasjonsdeling på tvers av organisasjonsgrenser.

Les hele innlegget

«Altinn-Kenneth» og sikkerhet

I går, 20. mars, skjedde det som ikke må skje. Noe i den offentlige nettportalen Altinn sviktet og blottla personopplysningene til en norsk statsborger, Kenneth (36) for hundre eller tusenvis av andre norske borgere. For et tillitsbrudd!

Denne gangen var det Altinn som viste mangelfull sikkerhet. For et år siden skrev jeg en kronikk og blogget om svakheter i den offentlige innloggingsløsningen ID-porten og MinID. I disse innleggene viser jeg til muligheten for at noen kan logge inn i systemene som en annen enn seg selv. Minner dette om det som har skjedd nå?

Jeg ønsker fortsatt ikke at MinID skal bli din ID. Vi får håpe at også Kenneth får beholde sin ID i årene framover.

Tilliten rakner.

Skjermdump fra Skatteetaten 21. mars 2012

Hacket norsk nettside for pårørende til narkomane

Dette var en av overskriftene som lyste mot oss på Aftenpostens nettutgave den 19. Mars. Det viser seg at flere nettsider som bruker webhotelltjenester hos Domeneshop.no har blitt hacket av en ungdomsgruppe. I følge Aftenpostens kilder kan en sårbarhet hos en av webhotellets kunder føre til at andre kunder blir rammet, og at deres informasjon blir kompromittert. Hvor ligger årsaken til dette?

Min oppfatning i saken er at problemet er todelt:

På den ene siden ser vi at det er publisert websider med alvorlige sårbarheter. Aftenposten kontaktet meg i forbindelse med denne saken og viste meg deler av et eksempel på hvordan angriperne har gått fram. Fra det konkrete eksempelet så man at websideleverandøren (kunde av webhotellet) hadde brutt med flere gode praksiser for å unngå å bli hacket: Les hele innlegget

Tingenes internett er her – men er sikkerheten?

Det har lenge vært snakket om tingenes internett – IP over alt, alt over IP. Dette er framtiden og store forskningsprogrammer både i norsk og europeisk sammenheng lyser ut midler for å forske mer på mulighetene nettverkstilkoblede enheter vil kunne by på. Vi begynner allerede i dag å se potensialet: I min egen stue har jeg en TV som er koblet rett på internett. Med den kan jeg bruke youtube, yr.no og andre tjenester uten å koble til en PC. En kollega skaffet seg internettradio for noen år siden. Med ethernet-kontakten plugget inn kan han lytte til all verdens radiokanaler. Utbredelsen av nettbrett og smartmobiler har eksplodert. Tjenestene som tilbys er mange og fantastiske.

Les hele innlegget

Brukervennlighet foran sikkerhet i offentlige tjenester?

Skjermdump fra minid.norge.no

Den 5. mai 2011 publiserte Adresseavisen en kronikk skrevet av undertegnede. MinID er et offentlig prestisjeprosjekt som skal sørge for at norske borgere får tilgang på personlig informasjon og personlige tjenester levert av det offentlige på en sikker måte. Innloggingstjenesten MinID gjør at man kun trenger å huske ett brukernavn og passord til tross for et stort mangfold av statlige og kommunale tjenester. Bra! I den ”gamle” internettverden måtte man hatt forskjellige brukernavn og passord for hver enkelt tjeneste, og antall tjenester er betydelig: NAV, Lånekassen og Skatteetaten er blant etatene som tilbyr tjenester med MinID som innloggingsløsning.

Det offentlige har hatt sømløshet som mål for en internettbrukers opplevelse av å navigere mellom de ulike tilbudene av tjenester. Brukervennligheten har blitt framhevet ved at man kun skal behøve å logge seg på en gang ved hjelp av MinID for så å slippe bryderiet med å skrive inn brukernavn og passord dersom man innen kort tid ønsker å navigere innom en ny tjeneste. Denne sømløsheten er jeg skeptisk til. Les hele innlegget