På oppdrag fra NVE har vi skrevet rapporten «Sikkerhet for skybasert OT i kritisk infrastruktur«. Her har vi undersøkt hvordan man kan ivareta sikkerheten til driftskontrollsystemer i klasse 1 og 2 når kritiske funksjoner er avhengige av eller plassert i skyen. Rapporten er basert på en litteraturstudie og gjennomgang av «grålitteratur».
𝗠𝗲𝗲𝘁𝘂𝗽 28/11: 𝗣𝗲𝗿𝘀𝗼𝗻𝘃𝗲𝗿𝗻, 𝗽𝗮𝘀𝗶𝗲𝗻𝘁𝘀𝗶𝗸𝗸𝗲𝗿𝗵𝗲𝘁, 𝗼𝗴 𝘀𝗶𝗸𝗸𝗲𝗿𝗵𝗲𝘁 𝗶 𝗺𝗲𝗱𝗶𝘀𝗶𝗻𝘀𝗸𝘁𝗲𝗸𝗻𝗶𝘀𝗸 𝘂𝘁𝘀𝘁𝘆𝗿
Vi inviterer til en spennende meetup 28/11, hvor vi dykker ned i viktige temaer rundt personvern, pasientsikkerhet, og sikkerhet i medisinskteknisk utstyr.
Fellesmøte i sikkerhetsmåneden
Selvfølgelig blir det ISF/Dataforeningen/ISACA/CSA fellsmøte i oktober!
Vi møtes på Pirsenteret 23/10 kl. 15:00 – programmet starter 15:30.
- 15:30: May-Elin Storheil, Brønnysunregistrene: Bygge broer; skape en sikker kultur gjennom kommunikasjon
- 16:30: Erlend Dyrnes, DnB: Phishing simuleringer i DNB (behind the scenes)
- 17:30: Martin Gilje Jaatun, SINTEF: Software Bill of Materials
Sees vi på Sikkerhetsfestivalen?
Hvis du ikke har meldt deg på enda, er det nok for sent – og hotellene på Lillehammer var fullbooket allerede i vår. Du som har meldt deg på er imidlertid hjertelig velkommen til å komme og høre på meg og mine kolleger!
Sikkerhetsutfordringer for medtek-produsenter
I forrige uke var jeg i Wien på ARES-konferansen for å presentere resultater fra NEMECYS-prosjektet. Jeg fokuserte mye på utfordringer for utstyrsprodusenter, både utfordringer som er spesifikke for helsesektoren, og utfordringer som gjelder på tvers av sektorer (se denne artikkelen for detaljer).
Mange av utfordringene er selvfølgelig større for små produsenter enn for de internasjonale medtek-kjempene, og vi mener derfor det er viktig å fokusere på de mange små når de store har ressurser nok til å klare seg selv.
Nye muligheter for deg som trenger hjelp fra en sikkerhetsforsker
Onsdag 29. mai ble Nasjonalt koordineringssenter for forskning og innovasjon innen cybersikkerhet (NCC-NO) høytidelig åpnet hos NSM på Fornebu. Senteret skal drives av NSM og Forskningsrådet i fellesskap, og ledes av NSM. Hensikten med senteret er å øke forskning, innovasjon og teknologiutvikling innen cybersikkerhet i Norge. Målgruppen er offentlige og private virksomheter, forskningsinstitusjoner, og øvrig akademia.
Nytt møte i toppsjiktet
Det blir et nytt fellesmøte i regi av Dataforeningen, ISF, ISACA og CSA onsdag etter påske! Vi sees på Kantega 3. april kl. 16:30 (NB: Ny tid!)!
Som alltid spanderer vi mat og drikke, og det blir påfølgende sosialisering et sted på Solsiden!
Meetup om sikkerhet i medisinteknisk utstyr 31. januar
Nytt år og nye muligheter! Vi inviterer til meetup om sikkerhet i medisinteknisk utstyr hos Vital Things i Trondheim 31. januar.
Men Dataforeningen var ikke død!
Vi innleder #sikkerhetrestenavåret med nok et fellesmøte med Dataforeningen, ISF, ISACA og CSA på DIGS 1. november!
DIGS finner du her: https://www.openstreetmap.org/#map=19/63.43133/10.40077
Risikobasert sikkerhetstesting
Sikkerhetstesting tar for seg artefaktene enheter og komponenter snarere enn systemet som helhet. Det er en blanding av en «hvit-hatt» og en «svart-hatt» tilnærming, og kan gjøres fra utsiden og inn, eller fra innsiden og ut. Sikkerhetstesting drives av misbrukseksempler (misuse cases/abuse cases), og omfatter to strategier: Testing av sikkerhetsfunksjonalitet, og risikobasert testing basert på angrepsmønster.
Ned som en skinnfell
Sikkerhetsfestivalen nærmer seg!
Opp som en løve, ned som … et flygende teppe?
Det er ikke noen hemmelighet at det tross gode intensjoner ikke ble helt klaff med planleggingen av vårens vakreste eventyr. Vi hadde alt på plass, men det er vanskelig å arrangere konferanse hvis «ingen» kommer. MEN vi gir oss ikke med det! Vi har flyttet arrangementet til høsten, og 20. september braker det løs med Sikkerhet & Sårbarhet på Pirsenteret i Trondheim!
Vårens vakreste eventyr!
Endelig er ventetiden over! 10. mai er Dataforeningens konferanse Sikkerhet & Sårbarhet tilbake på Pirsenteret, etter to år under pandemiens svøpe. Vi starter litt forsiktig med en konferanse på kun en dag, men har likevel et rikholdig program på menyen!
Er det kjedelig med sikkerhet?
På oppdrag fra NVE har vi skrevet en rapport med anbefalinger til krav som norske nettselskaper med fordel kan stille til sine leverandører.
NVE ønsket en rapport som kunne identifisere god praksis for krav relatert til IKT-sikkerhet i anbudsdokumenter på anskaffelse av IT og OT, og hvordan dette skal kunne følges opp i drift. Hovedmålet var å identifisere krav som små og mellomstore nettselskap kan stille til sine leverandører.
Også medisinteknisk utstyr trenger innebygget sikkerhet!
Medisinteknisk utstyr er i økende grad en del av (tingenes) internett, og nye regulatoriske krav fra EU (MDR) og USA (FDA) er nå eksplisitte på at sikkerhet (og ikke bare trygghet) må bygges inn fra starten. I EU har veiledningen MDCG 2019-16 vært tilgjengelig i 3 år, men det er ting som tyder på at den har forbedringspotensial – den er kanskje for generisk, og for lite konkret for spesielt små produsenter. Mange har uttrykt et ønske om enklere, steg-for-steg veiledning for å senke terskelen til dette markedet i Europa og USA.
Ny dato: Erfaringsdeling via Dataforeningen og venner
Det blir nytt nettverksmøte i Dataforeningen hos Sparebank 1 SMN i Søndre Gate 8. februar! Dette arrangeres som et fellesmøte sammen med ISF Norge, ISACA og CSA Norge, og er gratis hvis du er medlem av en av foreningene (tips: Det er gratis å melde seg inn i CSA Norge). Forvent inspirerende foredrag fra Håkon Olsen i DNV, Inge Kampenes i Advansia og vår egen Maria Bartnes, med påfølgende engasjert debatt der panelet i tillegg til foredragsholderne styrkes med Pål Christian Waag (Fremtind Forsikring) og Marianne Hove Solberg (HEMIT)! Oppmøte fra 15:30!
Nytt sikkerhetsmøte i regi av Dataforeningen
Sikkerhetsmåneden er over, men truslene vedvarer! Derfor inviterer vi til et nytt medlemsmøte i Dataforeningens faggruppe for informasjonssikkerhet, onsdag 9/11 på Pirsenteret.
Hvordan få utviklere til å bry seg om sikkerhet?
Torsdag 6. oktober setter Inger Anne Tøndel endelig punktum for SINTEF-prosjektet SoS-Agile ved å forsvare sin doktorgradsavhandling “Prioritisation of security in agile software development projects”.
Maskinlæring – er det så fali’ a?
Maskinlæring later til å ha gjort fantastiske fremskritt på mange områder, noe som har ført til mye heseblesende pressedekning om «Kunstig Intelligens», hvor dyp læring har blitt opphøyet til noe som mest av alt minner om magi i offentlighetens øyne.