Forfatter: Martin Gilje Jaatun (page 2)

ConCERT – et sektorvist responsmiljø for bygg-, anleggs- og eiendomsbransjen?

I fjor høst foretok vi en utredning på vegne av Oslo Construction City Cluster AS, anført av OBOS, Statsbygg, AF-gruppen og Betonmast, for å se om det var grunnlag for å opprette et sektorvist responsmiljø (SRM) for Bygg-, Anleggs- og Eiendomsbransjen. Vi inviterte 24 bransjeaktører til videointervjuer på ca. en time, hvorav vi klarte å få til intervjuer med 7. Dessuten hadde vi tilsvarende intervjuer med 3 eksisterende SRMer, samt med en større leverandør av IT-tjenester.

Continue reading “ConCERT – et sektorvist responsmiljø for bygg-, anleggs- og eiendomsbransjen?”

OWASP Top 10 2021

OWASP Top 10 har siden 2003 representert de viktigste/vanligste sårbarhetene eller angrepstypene mot internettbasert programvare. Listen har vært oppdatert med ujevne mellomrom, men i det siste stort sett hvert fjerde år. Listen er viktig ikke bare fordi den forteller oss hvilke angrepstyper som er vanligst for tiden, men også fordi den representerer angrep som utgjør utgangspunktet for mer eller mindre uerfarne angripere – dette er det de kommer til å prøve først, så sørg for at du ikke er sårbar for det! OWASP Top 10 tar utgangspunkt i Mitres Common Weakness Enumeration (CWE).

Continue reading “OWASP Top 10 2021”

Noe bør stoppes, men det er neppe IT

Vi er i ferd med å runde av EU-prosjektet STOP-IT (2017-2021) som har fokusert på å gjøre vann- og avløpssystemer sikrere og mer motstandsdyktige mot ondsinnede angrep. STOP-IT har arbeidet for at vannbransjen skal bli mer bevisst på, og gjøre bedre forberedelser mot, cyber-fysiske trusler, og forbedre håndtering av hendelser av både fysisk og digital karakter. STOP-IT-løsningene vil hjelpe vannverk med å prioritere risikoer og utvikle en realistisk plan for forbedret fysisk/cyber beskyttelse.

Continue reading “Noe bør stoppes, men det er neppe IT”

Sikkerhetsoperasjoner

Det å passe på sikkerheten til et system etter at det har vært satt i drift, har tradisjonelt vært sett på som en (ja, nettopp) driftsoppgave som «de på IT» tar seg av.

Et vellykket programvaresikkerhetsinitiativ må imidlertid også omfatte sikkerhetsoperasjoner eller nettverkssikkerhet, for å sørge for full tilbakekopling til utviklerne.

Continue reading “Sikkerhetsoperasjoner”

Kan NSMs grunnprinsipper for IKT-sikkerhet brukes for prosesskontroll-systemer?

Nasjonal sikkerhetsmyndighet har gitt ut en samling tiltak for IKT-sikkerhet i I(K)T-systemer. På oppdrag fra Ptil har vi gjennomført en evaluering av disse tiltakene, og finner at med noen få unntak er de relevante også for prosesskontrollsystemer i petroleumsindustrien, men at en del tiltak krever noen ekstra tillempninger.

Continue reading “Kan NSMs grunnprinsipper for IKT-sikkerhet brukes for prosesskontroll-systemer?”

Sju (pluss/minus to) steg til bedre program-varesikkerhet

Programvaresikkerhet handler om sikker funksjonalitet snarere enn sikkerhetsfunksjonalitet, dvs. å lage programvare slik at den oppfører seg som forventet også når den utsettes for angrep. Det finnes en lang rekke anbefalte aktiviteter som kan bidra til å nærme seg dette målet, men hvor skal man begynne? Etter fem års forskning på dette temaet har vi et forslag til ni steg som kan representere en slik begynnelse.

Continue reading “Sju (pluss/minus to) steg til bedre program-varesikkerhet”

Testing av pacemakere – øvelse gjør mester!

En pacemaker er ikke en frittstående enhet som opereres inn i en pasient og deretter overlates til seg selv i årevis uten noen form for kommunikasjon med omverdenen. Introduksjon av telemedisin og fjernovervåking har medført at det faktisk kreves et helt økosystem for å holde en pacemaker i korrekt og effektiv drift.

Continue reading “Testing av pacemakere – øvelse gjør mester!”

Noen oppklarende formuleringer rundt det kommende «European Cybersecurity Industrial, Technology and Research Competence Centre» og eventuelle norske avleggere

EU har lansert en forordring  [1][2] hvor hvert medlemsland (og presumtivt EØS-land) skal opprette et nasjonalt koordineringssenter  for cybersecurity. I tillegg skal det opprettes et nettverk («Cybersecurity Competence Community») bestående av sentrale aktører fra industri, akademia og det offentlige; og et «European Cybersecurity Industrial, Technology and Research Competence Centre». Både det nasjonale og det europeiske senteret vil ha som ansvar å tildele finansiell støtte, henholdsvis i det nasjonale økosystemet og knyttet til implementasjonen av Digital Europe- og Horizon Europe-programmene. Som en del av forarbeidet har H2020 finansiert 4 «Piloter» [3][4][5][6], som skal definere hvordan det europeiske kompetansesenter skal fungere. Det er norske deltakere i CyberSec4Europe [3] (NTNU og SINTEF) og Concordia [4] (UiO, Storbyuniversitetet og Telenor).

Continue reading “Noen oppklarende formuleringer rundt det kommende «European Cybersecurity Industrial, Technology and Research Competence Centre» og eventuelle norske avleggere”

Oppdatering fra Referansenettverk for digital sikkerhet

Som mange lesere av bloggen sikkert husker, ble Referansenettverk for digital sikkerhet opprettet for å øke deltagelsen av norske virksomheter i europeisk sikkerhetsforskning. Vi vil prøve å øke aktivitetsnivået i vår – foreløpig på virtuelle arenaer.

Continue reading “Oppdatering fra Referansenettverk for digital sikkerhet”

Et nytt fellesmøte i toppsjiktet

26. februar braker det løs igjen, med et nytt fellesmøte med Dataforeningen, ISF, ISACA og CSA Norge. Som vanlig stiller et spennende knippe av foredragsholdere, og i tillegg til det faglige blir det god anledning til relasjonsbygging akkompagnert av inntak av pizza og prøvesmaking av lokale produkter.

Continue reading “Et nytt fellesmøte i toppsjiktet”