Aktuelle EU utlysninger innen digital sikkerhet

Forrige uke gikk ICT Proposers’ Day av stabelen i Helsinki. Dette er et arrangement som har som hensikt å informere om kommende utlysninger av forskningsmidler innen EUs Horisont 2020 rammeprogram for IKT, samt en mulighet for industri og forskere å møtes for å bygge konsortium. Programmet var ganske overveldende med mange parallelle spor, heldigvis hadde vi flere personer tilstede og hadde lagt en plan for å få med oss det som var relatert til digital sikkerhet.

Det er fire aktuelle utlysninger som man kan posisjonere seg mot til neste år med spesielt fokus på cybersikkerhet, som alle har frist 27. August 2020:

Les hele innlegget

Sikkerhetsfestivalen – Lansering av forskningsnettverk for digital sikkerhet

Skal du på Sikkerhetsfestivalen og ønsker mer informasjon om hvordan man kan lykkes på den Europeiske forskningsarenaen innen cybersikkerhet? Kom på lunsjforedrag tirsdag kl 13:00 i kommunestyresalen på Lillehammer rådhus og bli oppdatert på hva som foregår i EU, samt hvordan du kan bli med i et nyopprettet nettverk for deling av informasjon om muligheter for finansiering av din forskning. Arrangementet er åpent for alle, og det vil bli servert lunsj.

Sjekk også ut disse spennende foredragene fra mine dyktige SINTEF-kolleger:

You Don’t Know Cryptojack med Per Håkon Meland og Bent Heier Johansen, tirsdag kl 11:30 på Kinoen, Sal 1

Cybersikkerhet og forsyningssikkerhet – erfaringer fra sikkerhetsrisikovurderinger innen to smartnett-piloter med Aida Omerovic, tirsdag kl 12:00 i Scandic Victoria, Kongressal 1

Sikre løsninger for digital kommunikasjon mellom fly og bakke med Karin Bernsmed, onsdag kl 09:00 i Kinoen, Sal 5

The journey to Ambidextrous Security Program in VISMA med Daniela S. Cruzes og Espen Agnalt Johansen, onsdag kl 09:00 i Kinoen, Sal 1

Kommunevalg nå. Er det mulig å vinne uten bruk av sosiale medier? med Petter Bae Brandtzæg, onsdag 15:30 i Hvelvet

Beau Woods: “Hacking kan redde liv”

Beau Woods kommer til Trondheim for å holde sluttinnlegget på årets “Sikkerhet og Sårbarhet”.

Beau Woods er Cyber Safety Innovation Fellow i tenkesmien Atlantic Council, og en av medgründerne i grasrotorganisasjonen “I Am The Cavalry”.

I forbindelse med dette har vi gjort et lite intervju for å høre mer om hvorfor han mener hacking kan bidra til å redde liv.

Det er fortsatt noen ledige plasser på konferansen, som foregår i fornemme omgivelser på nyåpnede Britannia hotel 7.-8. mai, påmelding her.

Les hele innlegget

Robert M. Lee om cybersikkerhet i industrielle kontrollsystemer

Konferansen NFEA Cyber Security finner sted i Oslo 24. og 25. April og kan friste med mange spennende foredrag innen cybersikkerhet for automatisering og prosesskontrollsystemer.

Robert M. Lee, CEO i Dragos skal holde åpningsforedraget på årets NFEA Cyber Security konferanse

Øverst på programmet er selveste Robert M. Lee, CEO i Dragos Inc. og verdenskjent SCADA sikkerhetsekspert, som skal holde åpningsforedraget om dagens trusselbilde for cybersikkerhet i industrielle kontrollsystemer.

Vi var så heldige å få chattet litt med Robert, og fikk en liten smakebit på hvilke tema han kommer til å dekke i foredraget sitt.

Les hele innlegget

Hvordan unngå at telefonen blir hacket i utlandet?

Hva kan man gjøre som privatperson for å best mulig sikre at sensitiv informasjon som tilhører arbeidsgiver ikke kommer på avveie, når man tar med seg jobbtelefonen på ferietur eller jobbtur til utlandet? Dette er for tiden et høyaktuelt tema, og NRK ringte meg for å få noen gode tips og råd.

Illustrasjonsbilde fra www.wocintechchat.com

Du kan lese hele artikkelen på NRK sine nettsider, men her følger en kort oppsummering av rådene:

Les hele innlegget

Foredrag på hjemmebane

Foredraget mitt om hacking av pacemakere har etterhvert blitt veldig populært, og jeg har reist jorda rundt for å spre kunnskap om tematikken. Nå er det en stund siden jeg har holdt foredrag på hjemmebane, så da Dataforeningens lokale gruppe for Software Testing inviterte meg til å holde et foredrag i Trondheim grep jeg naturligvis sjansen!

Foredraget finner sted 21. September kl 18:00-19:30 på konferansesenteret Amfiet i Sparebank 1 SMN, Søndre gt. 4. Les mer om arrangementet her.

Arrangementet er gratis, men du må registrere deg for å delta, enten live eller via streaming.

Lenke for påmelding: https://testforum.hoopla.no/sales/dndmnsoftwaretesting

Opprinnelig skulle foredraget holdes på Work-Work, men på grunn av stor interesse ble det flyttet til større lokaler. Ryktene sier at billettene går unna i en rasende fart, så ikke nøl om du ønsker å sikre deg en plass!

Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg “hackere”. Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

“Pasienten” overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som “prøvekaniner”. Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Les hele innlegget

Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Les hele innlegget

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en “keynote” foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Les hele innlegget

Sikkerhetsforskning og aksjespekulasjon

STJ aksjepris

Aksjekursen til St. Jude Medical falt brått på børsen da Muddy Waters og MedSec publiserte sin rapport om sårbarheter i pacemakere.

Hva har dette til felles, kan man kanskje spørre seg? Kanskje ikke helt opplagt om du ikke har fått med deg nyheten om at sikkerhetsforskere slo seg sammen med børsspekulanter og profiterte på aksjehandel i forbindelse med at de publiserte en rapport om sårbarheter i pacemakere.

Les hele innlegget

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o

(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

Les hele innlegget

Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko

Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Les hele innlegget

Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.

Les hele innlegget

Budbringeren – Hvordan varsle eiere av sårbare systemer?

Picture1

Å bli fortalt at man har sårbare eller kompromitterte systemer kan være utfordrende. Illustrasjon: Colourbox

En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.

Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?  Les hele innlegget

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av “black hat”-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Les hele innlegget