Sløyfer og slips i ROS analyser

De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.

Les hele innlegget

Mr Robot: en studie i social manipulation

Mr. Robot (2015) poster (bild från imdb.com)

Mr. Robot (2015) poster (bild från imdb.com)

Om du inte har hört om den amerikanske TV serien Mr Robot så rekommenderar jag att du tar en titt på denna! Till skillnad från tidigare TV serier och filmer som försökt skildra hacking (och som oftast får oss som jobbar med säkerhet att himla med ögonen och sucka djupt) så innehåller denna serien en lång rad med realistiska «hacks» som inte bara baserar sig på utnyttjandet av tekniska sårbarheter utan som också på ett smart och trovärdig sätt skildrar så kallad «social manipulation» (eng: social engineering). Serien har hyllats av både amerikanske och norska kritiker. Ryktet säger att till och med medlemmar i Anonymous tycker den är bra gjord.

Mr Robot visas i Sverige just nu och är tillgänglig på SVT Play (för de av oss som befinner oss i Sverige). När serien kommer till Norge vågar jag tyvärr inte säga något om.

Oppdatert: NRK3 sender serien fra 1. mars 2016!

Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger. Les hele innlegget

Sjekkliste for sikkerhet i skytjenester

cloudsecVi har publisert en rapport som kan være til hjelp for deg som vurderer å ta i bruk nettskyen!

Rapporten «Cloud Security Requirements» (som du laster ned gratis her) inneholder nemlig en sjekkliste som du kan bruke til å evaluere sikkerhet og personvern i offentlige nettskytjenester, og til å stille krav.

Sjekklisten benytter vi selv i forbindelse med risikoanalyser av IT-systemer/applikasjoner, og nå vil vi gjerne at enda flere tar den i bruk.

Les hele innlegget

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund

Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen. Les hele innlegget

NordSec 2014

Capture NordsecDen 15-17 oktober så arrangeras, för nittonde året i rad, «The Nordic Conference on Security IT Systems (NordSec)» i Tromsø. I år har konferensen fokus på «Security and Privacy for Cloud Computing and Big Data». Årets program innehåller en mix av intressanta presentationer och föreläsningar om allt från sikkerhet og personvern, angrepp och forsvar, nettverkssikkerhet og kryptering.

Program och anmälan finner du här.

Väl mött i Tromsø!

Forglem-meg-ei eller glem-meg-nå

forglem-meg-eiNå skal retten til å bli glemt forsterkes!

Googler du ditt eget navn av og til? Blir du overrasket når du ser gamle synder dukke opp uten at du har noen mulighet til å gjøre noe med det?

I vår digitaliserte verden har personopplysninger stor verdi. Bare fra de rundt én milliard smarttelefonbrukerne genereres det enorme mengder personlige data som kan kobles sammen og lenkes til individer. Dette omfatter data vi har gitt fra oss frivillig, samt det andre publiserer om oss og de elektroniske fotsporene vi etterlater oss når vi anvender ulike typer internettbaserte tjenester. Den kunnskapen som oppstår når man lenker sammen tidligere separerte data er uvurderlig for enkelte bransjer, og bidrar til at de kan skape innovative, individualiserte tjenester, for eksempel persontilpassede søk, annonser og nyheter.
Les hele innlegget

Säkerhet som ett försäljningsargument i molnet

cloudsCloud computing är ett av de hetaste begreppen inom IT branschen och säkerhet är en av de mest omdiskuterade och debatterade osäkerhetsmomenten när ett företag överväger att använda sig av så kallade molntjänster (norsk: skytjenester). Men det är viktigt att vara medveten om att den som använder en molntjänst förlorar kontrollen över var och hur data lagras och processeras (vilket i och för sig kan vara både på gott och ont).

Les hele innlegget

En SINTEF delegation till AReS 2012

The famous astronomical Clock in Prague by wave111 / pixelio.de

Den här veckan arrangeras, för sjunde året i rad, «The International Conference on Availability, Reliability and Security (AReS)» i Prag. AReS är en årlig mötesplats för forskare och utvecklare som jobbar med tillgänglighet, pålitlighet och säkerhet i olika typer av IT system.

SINTEF representeras i år av Martin, Per Håkon, Jostein, Åsmund och undertecknad. Les hele innlegget

Tillit och tilltro i framtidens Internet

Det Internet som vi har vuxit upp med har tidigare mestadels bestått av sammankopplade datorer och människor men blir nu mer och mer mobilt och genom Internet kommer ett stort antal maskiner och objekt kopplas ihop. Mängden data som skickas över nätet kommer explodera och Internet i sitt nuvarande fom kommer varken möjlighet att hantera dessa datamängder eller tillhandahålla den säkerhet, pålitlighet och robusthet som kommer krävas.


Les hele innlegget

Personvern for Android

Ill.: Richárd Rácz (Creative Commons 3.0)

«Apps» för mobiltelefoner har blivit otroligt populära de senaste åren men har fått kraftig kritik från bla Datatilsynet för att de samlar in stora mängder personupplysningar, ofta utan att brukaren själv är klar över det. Från slutbrukerens perspektiv er detta ett problem eftersom det är vanskelig att få översikt över vilken information som samlas in, hur den används och vad som skjer med informationen i efterhand.

Les hele innlegget