Om Maria Bartnes

Informasjonssikkerhet Nettverkssikkerhet Innbruddsdeteksjon Håndtering av sikkerhetsbrudd Sikkerhet i informasjonssystemer innen olje- og gassektoren Personvern Risikovurdering Sikkerhet i SmartGrids

Teknologi-camp ved NTNU med hacker-workshop

Banner-Teknologi-v4-cut

3.-5. november ble Teknologi-camp arrangert ved NTNU. Ca 100 jenter i alderen 17-19 år var invitert til NTNU for å bli kjent med studiemulighetene innenfor IKT. Vi var med på å arrangere en hacker-workshop for 22 av jentene for å vise dem informasjonssikkerhet som et spennende fagfelt med mange uløste utfordringer.

Les hele innlegget

Hendelseshåndtering i kraftbransjen – noen funn

res-pres-illEnhver organisasjon må gjøre et svært grunnleggende valg når det gjelder sikkerhetsarbeidet: hvilket sikkerhetsnivå er riktig for oss? En må altså finne en riktig balanse mellom investering i forebyggende (gjerne tekniske) sikkerhetsmekanismer kontra evnen til å håndtere det som måtte inntreffe av hendelser. En viss risiko må aksepteres, og det er dermed viktig å føle seg trygg på at det som kan skje, det greier vi å håndtere. Les hele innlegget

Usikkert sommervær, men sikker PC

stylish_sun5

ill: investorsinpeoplescotland. wordpress.com

Ferietider og stort sett fri, men det er mange som likevel ikke er helt offline. Mobiltelefonen er med, kanskje et og annet nettbrett eller en PC, og noen har også med seg jobb-PCen på tur. Med noen enkle forholdsregler kan du unngå mange kjente sikkerhetsproblemer.

Les hele innlegget

E-postkontoen din er hacket – hva så?

E-postkontoen din kan være verdt mye mer enn du tror (ill: Brian Krebs)

E-postkontoen din kan være verdt mye mer enn du tror. (Ill: Brian Krebs)

Det kan være vanskelig å forstå verdien av sin egen e-postkonto. «Jeg har ikke noe spennende der, er det så farlig om noen hacker den, da?» Det er først når den har blitt hacket, altså at uvedkommende har fått tilgang til den, at man fullt ut skjønner hvor mye man har lagret der.

Med dette blogginnlegget ønsker vi å demonstrere markedsverdien av en hacket e-postkonto, samt minne om at mange mennesker, personopplysninger og tjenester rammes når enkeltbrukere velger å sikre e-postkontoen sin for dårlig.

Les hele innlegget

Case-studie: Hendelseshåndtering i store virksomheter

De fem fasene for hendelseshåndtering som beskrevet i ISO/IEC 27035

De fem fasene for hendelseshåndtering som beskrevet i ISO/IEC 27035

Alle virksomheter har en del sikkerhetsmekanismer på plass i sine IT-systemer. Like fullt er det mulig å bli rammet av angrep eller andre typer uønskede hendelser. En organisasjon må derfor være forberedt på å håndtere slike. Det finnes standarder og veiledninger til hendelseshåndtering, men det er ikke gitt at disse fungerer i praksis. Vi har i vår veiledet to studenter som har gjennomført et omfattende case-studie av tre store norske virksomheter. De har undersøkt hvordan disse virksomhetene gjør hendelseshåndtering i praksis.

Les hele innlegget

Single sign-on til Internett! Pliiis!

Påloggingsvindu

Kilde: www.idg.no

«…og noen har til og med samme passord til nettbanken som på facebook!» …sier sikkerhetsekspertene og himler med øynene. Jeg også. Vi gjentar til det kjedsommelige at man må velge gode passord, ha forskjellige passord til forskjellige nettsteder og ikke skrive det ned. Lag huskeregler. Men teori og praksis er virkelig ikke det samme.

Les hele innlegget

Håndtering av IKT-sikkerhetsbrudd – inntrykk fra en konferanse

FC Nürnberg

FC Nürnberg

12.-14. mars deltok Inger Anne og Maria på en konferanse i Nürnberg, Tyskland: 7th International conference on IT security incident management and IT forensics. Blant høydepunktene var foredrag som tok for seg kostnadene ved cyberkriminalitet, samarbeid mellom responsteam, og praktiske innblikk i hvordan drive etterforskning digitalt. Vi bidrog med presentasjon av indikatorer for måling av informasjonssikkerhet, og resultater fra en intervjustudie i kraftbransjen.

Les hele innlegget

Resilience – fra safety til security

En av de nyere retningene innenfor safety-feltet er såkalt resilience engineering. Tradisjonell safety har, naturlig nok, vært mest opptatt av å redusere uønskede hendelser og ulykker. Resilience, derimot, innebærer et mye større fokus på alt som faktisk går bra. Filosofien er at man kan lære mye av nesten-ulykker og små-uhell. De viser minst like godt hvordan en organisasjon er i stand til å håndtere forstyrrelser og uventede endringer. Det er dessuten mange flere slike enn det er katastrofale ulykker. Resilience-tankegangen er svært spennende ut ifra et IT-sikkerhetsperspektiv også, det er helt klart prinsipper og praksis som kan overføres til IT-sikkerhetsverdenen.

Les hele innlegget

Håndtering av IKT-sikkerhetsbrudd i kraftbransjen

Ordsky av forskningsplanen

Tidligere i år beskrev jeg planene for PhD-prosjektet mitt her i bloggen. Nå er en milepæl nådd – første fase av datainnsamling er avsluttet. 19 dybdeintervjuer er gjennomført i perioden juni-desember som en del av en kartlegging av hvordan IKT-sikkerhetsbrudd håndteres i kraftbransjen i dag.

Les hele innlegget

Intervjustudie: måling av informasjonssikkerhet

Flickr-user whoswho: Measurement (Creative Commons with attribution)

Flickr-user whoswho: Measurement (Creative Commons with attribution)

Måling av informasjonssikkerhet er vanskelig. Like fullt viktig. Målinger kan brukes til å se om de sikringsmekanismene man har implementert, fungerer etter planen. I høst har vi veiledet en student gjennom en prosjektoppgave som gikk ut på å undersøke hvordan ulike virksomheter måler informasjonssikkerhet. Vi ønsket å finne ut hvilke metrikker som er i bruk, hvordan de brukes og hvordan de følges opp.

Les hele innlegget

Identitetshåndtering og smartgrid-sikkerhet på ISF-konferansen

Jostein Jensen og Maria B. Line skal holde foredrag på ISF høstkonferansen. Jostein skal snakke om identitetshåndtering; praktisk anvendelse av federering, og Maria har igjen sikkerhet i smartgrid på dagsorden, denne gang med tittelen «Få naboen til å betale strømmen din.» ISF høstkonferansen avholdes 3.-5. september i Larvik.

Les hele innlegget

Ikke del alt med alle…

De siste dagene har det vært flere mediaoppslag rundt kronprinsfamiliens private bilder på nett. Det kan være en sikkerhetsrisiko for dem at for mye informasjon angående deres private gjøren og laden er tilgjengelig på Internett, akkurat som det kan være for andre offentlige personer med særskilt beskyttelsesbehov. Men det å dele informasjon og utstrakt eksponere seg selv innebærer også en sikkerhetsrisiko for deg og meg.

Les hele innlegget

Sårbare strømmålere

Utklipp fra Adresseavisen

Utsnitt fra Adresseavisen

Lørdag 14. april hadde jeg en kronikk på trykk i Adresseavisen, med tittelen «Sårbare strømmålere». Den handler om AMS – avanserte måle- og styringssystemer, som skal rulles ut til alle landets strømkunder innen utgangen av 2016, og hvordan disse kan være et mål for hackere.

Kronikken er basert på risikovurderingen vi gjorde for NVE like før jul, og er en utdyping av artikkelen som Teknisk ukeblad skrev i februar. Les hele innlegget

…og det forskes på…

Ordsky av forskningsplanen

…håndtering av IKT-sikkerhetsbrudd i en SmartGrid-kontekst.

I mitt doktorgradsarbeid skal jeg studere hvordan IKT-sikkerhets-hendelser detekteres og håndteres; både gjennom tekniske hjelpemidler og menneskelige handlinger, samt hva slags etterarbeid som gjøres; informasjonsdeling, lærdom, hvordan erfaringer overføres til det totale arbeidet med informasjonssikkerhet.

Les hele innlegget

AMS-sikkerhet i media

Utsnitt fra Tekst-TV

Utsnitt fra Tekst-TV

Risikovurderingen av AMS som vi har utført for NVE, har vekket interesse i flere norske medier den siste uka. Teknisk Ukeblad slo det opp som forsidesak, og NRK Trøndelag har hatt radiointervju og laget nyhetssak på nett.

Det er scenarioet med hackere som kan mørklegger større områder som trekkes fram, det som vi har omtalt som det verst tenkelige scenarioet i rapporten.

Les hele innlegget

Vårens vakreste eventyr – Sikkerhet og sårbarhet 2012

8.-9. mai er det duket for Sikkerhet og sårbarhet 2012! Dette er 10. år på rad at konferansen arrangeres, og programmet er nå klart. Konferansen arrangeres på Royal Garden Hotel i Trondheim, og den sosiale happeningen er – som vanlig(!) – en spennende overraskelse til deltakerne.

Les hele innlegget