Trusselmodellering av framtidens Nødnett

Denne artikkelen er skrevet av Sigrid Andersen Syverud som del av hennes masteroppgave. Nødnett er betegnelsen på den norske løsningen for beredskaps-/krisekommunikasjon, og nettet brukes blant annet til å sette opp gruppesamtaler mellom beredskapstjenester som politi, brannvesen og medisinsk nødhjelp.…

Nettselskapers involvering av underleverandører i hendelseshåndtering ved cyberangrep

Denne artikkelen er skrevet av Sara Waaler Eriksen og Sarmilan Gunabala som del av deres masteroppgave. Energisektoren er svært kritisk for dagens samfunn fordi alle andre sektorer er avhengig av at den er velfungerende. Ny teknologi, nye systemer og nye…

Hendelseshåndtering i IT og industrielle IKT-systemer

Denne artikkelen er skrevet av Ingrid Volden og Thea Svenkerud Ryjord som del av deres masteroppgave. Tradisjonelt har ikke cybersikkerhet vært et tema for industrielle kontrollsystemer. For å få innpass til systemene måtte man ha fysisk tilgang, siden systemene som…

Innebygd personvern – vinneren er kåret og ny konkurranse er utlyst

Bilde av pokal med grønn bakgrunn
Ill: fra Datatilsynet

Direktoratet for e-helse med deres Kjernejournal ble mandag kåret til vinner av konkurransen Innebygd personvern 2017. Vi gratulerer!

Datatilsynet utlyste samtidig neste års konkurranse – Innebygd personvern i praksis 2018. Nytt av året er en egen kategori for studenter, der premien er et stipend på 20.000 kr.

Innebygd personvern – bli med i konkurransen!

Send inn bidrag innen 1.desember og bli med i konkurransen «Innebygd personvern i praksis 2018»! Konkurransen arrangeres av Datatilsynet og vinneren kåres i februar 2018.

Målet med konkurransen er å løfte frem gode eksempler på praktisk bruk av prinsippene for innebygd personvern.

Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak

“For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.” Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.

Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.

SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.

Sårbarhetsrapporten: høringsuttalelse fra SINTEF

20151130 nou-forsideSINTEF har utarbeidet en høringsuttalelse til NOU 2015:13 Digital sårbarhet – sikkert samfunn. Vi anbefaler at det framskaffes mer kompetanse innenfor IKT-sikkerhet, både som eget område samt integrert med spesifikke sektorer. Ikke minst må IKT-sikkerhet på tvers av sektorer styrkes. Dessuten må IKT-sikkerhet inkluderes i alle IKT-utdanninger og ikke bare være et frittstående utdanningsløp.

Doktorgradsavhandling om hendelseshåndtering

phd-capPhD-prosjektet mitt om håndtering av IKT-sikkerhetshendelser i kraftbransjen er avsluttet. I prosjektet har jeg i samarbeid med mine kolleger studert hvilke faktorer som påvirker hvordan hendelseshåndtering gjøres i dag, samt hvilke utfordringer som ligger i veien for forbedringer. Viktige anbefalinger å ta med videre for bransjen, handler om å sette sammen riktige, kryssfunksjonelle team for både beredskapsøvelser og reelle situasjoner, samt å bruke tid og ressurser på læring.

Brettspill laget for IT-beredskapsøvelser

Play2Prepare - spillbrettet.
Play2Prepare – spillbrettet.

Vi har i vår veiledet en masterstudent i å utvikle et brettspill som har til hensikt å støtte en beredskapsøvelse for IT-sikkerhetshendelser i kraftbransjen.

Spillet simulerer et angrep på kraftnettet, og spilldeltakerne tildeles ulike roller og skal sammen respondere på situasjonen.

 

Utfordringer ved IT-beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

Beredskapsøvelser for IT-sikkerhetshendelser prioriteres altfor lavt i dag. Til dels skyldes dette trolig at selskapene ikke forstår hvordan de skal øve effektivt eller at de ikke opplever stor nok nytte av å øve. Derfor har vi studert hvilke utfordringer nettselskapene (kraftbransjen) møtte underveis i en øvelse for å komme fram til noen anbefalinger om hvordan de kan øve bedre og mer effektivt. Våre resultater er også viktige for at norsk næringsliv skal bli flinkere til å håndtere et trusselbilde som er i konstant endring.

Her kommer dine arme små… – og de vil ikke på Facebook

Jul_1“Ikke fortell det, mamma, jeg vil si det selv!”

Et typisk utsagn fra et barn. De har opplevd noe eller fått til noe og brenner av lyst til å fortelle det – og det ødelegger gleden fullstendig om vi voksne forteller det før de rekker å si det selv.

Sikkerhet og sårbarhet 2015: Call for presentations

SoS_Logo5.-6. mai 2015 er det igjen klart for Sikkerhet og sårbarhet! Dataforeningens årlige sikkerhetskonferanse i Trondheim har nå lagt ut Call for presentations, og fristen for å foreslå bidrag er 1. desember 2014. Programkomiteen ønsker forslag til både foredrag og workshops av noe lengre varighet.

Studie av beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?

Støtte til risikoanalyse av AMS og tilgrensende systemer

forskningVi har nylig utgitt en veiledning til hvordan en risikoanalyse av AMS og tilgrensende IT-systemer kan gjennomføres når fokus for analysen skal være informasjonssikkerhet og personvern. Veiledningen inneholder sjekklister og anbefalinger. Vi har valgt å bygge på en metode som mange nettselskaper er kjent med fra før, og som anbefales av NVE og Energi Norge.

Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?

I1078183_successful dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.

I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.

God praksis for hendelseshåndtering

johnny_automatic_over_the_cliffDet finnes en rekke anbefalinger for hendelseshåndtering om hvilke rutiner som bør være på plass, roller og ansvar, planer og øvelser. Men det kan være minst like mye å hente på å lære av andre organisasjoner enn å lese side opp og side ned av anbefalinger og standarder. Vi har gått gjennom en rekke vitenskapelige studier som har dokumentert erfaringer og praksis hos ulike organisasjoner. Vårt arbeid viser at praksisen er rimelig i tråd med ISO/IEC 27035, men det er noen anbefalinger som det er vanskelig å leve opp til, og kanskje er det nødvendig med mer spesifikke retningslinjer eller verktøy på disse områdene.