Ukens myte: Vi har ikke råd til sikkerhet

poorunclesam-800pxOfte blir sikkerhet sett på som en ekstra kostnad. En sikkerhetsansvarlig som prøver å sanke støtte hos ledelsen for investering i sikkerhetstiltak må argumentere for en positiv avkastning på investeringen (ROI). Dette blir vanskelig hvis man ikke kan vise til noen sikkerhetshendelser – da kan det tvert i mot se ut som om investeringene var overdrevet eller direkte bortkastet. Pussig nok er dette aldri en problemstilling i HMS-verdenen, men dette kan forklares ut fra samfunnets vilje til å bruke mye penger hvis det kan redde livet til et eneste menneske. Les hele innlegget

Alle vil ha sikkerhet, men ingen vil betale for det

rejection-ideogram-2400pxSikkerhet er aldri gratis. Selv når man ikke betaler i rene penger, må brukere av sikkerhet akseptere at ting tar lengre tid, medfører mer plunder, eller er mindre spennende enn de ellers kunne ha vært. Et relevant eksempel er ramaskriket over oppdagelsen av de påståtte falske GSM-basestasjonene på forskjellige strategiske plasser i Oslo i fjor, som man antok kunne tillate sporing og avlytting av topp-politikere og ledende forretningsfolk. Les hele innlegget

Ukens myte: Vi trenger ikke sikkerhet

Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn. Les hele innlegget

Dypdykk i BSIMM del 12 – Software Environment

LibertyBudget.com-Install-Computer-Software-CD-2400pxI vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til det siste avsnittet, nemlig Software Environment eller «Programvaremiljø» som vi har kalt det på norsk.

I vår modenhetsstudie av programvaresikkerhet i offentlige virksomheter fant vi at de aller fleste hadde god tiltro til egen modenhet på dette feltet. Dette er ikke overraskende, ettersom det stort sett dreier seg om tradisjonelle mekanismer for sikring av datamaskiner og nettverk, noe som i langt større grad er en del av vanlig praksis enn det programvaresikkerhet er. Les hele innlegget

Dypdykk i BSIMM del 11 – Security Testing

johnny-automatic-hydraulic-press-testingI vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Security Testing, eller «Sikkerhetstesting».

Hovedmålet for praksisen Sikkerhetstesting er kvalitetskontroll som gjøres i løpet av utviklingssyklusen. De som utfører sikkerhetstesting må sørge for at sikkerhetsfeil oppdages og korrigeres. Programvaresikkerhetsgruppen (SSG) må sørge for at standarder blir fulgt og at godkjente sikkerhetsmekanismer gjenbrukes.

Les hele innlegget

Dypdykk i BSIMM del 10 – Penetration Testing

penetrationI vår modenhetsstudie av programvaresikkerhet i offentlige virksomheter pekte penetreringstesting seg ut som en aktivitet som generelt sett ikke gjøres som en del av utviklingen – dette er overraskende når man tenker på hvor mange verktøy som er fritt tilgjengelige. Noen kunne hevde at den jevne utvikler ikke har tilstrekkelig kompetanse til å drive penetreringstesting, men vårt svar er at da er det på tide at de lærer seg noen nye triks! Les hele innlegget

Dypdykk i BSIMM del 9 – Code Review

code-reviewI vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Code Review, eller kodegjennomgang.

Hovedmålet for praksisen «Kodegjennomgang» er kvalitetskontroll. De som utfører kodegjennomgang må sørge for at sikkerhetsfeil oppdages og korrigeres. SSG må sørge for at standarder blir fulgt og at godkjente sikkerhetsmekanismer gjenbrukes. Les hele innlegget

Dypdykk i BSIMM del 8 – Architecture Analysis

laurent-comparaison-art-roman-art-gothiqueI vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til  Architecture Analysis, eller Arkitekturanalyse.

Hovedmålet for praksisen Arkitekturanalyse er kvalitetskontroll. De som utfører arkitekturanalyse må sørge for at strukturelle sikkerhetsfeil oppdages og korrigeres. Programvarearkitekter må sørge for at standarder følges, og at godkjente sikkerhetsløsninger gjenbrukes.
Les hele innlegget

Dypdykk i BSIMM del 7 – Standards and Requirements

2A0---A4I vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Standards and Requirements, eller Standarder og krav.

Hovedmålet for praksisen «Standarder og krav» er å lage retningslinjer for alle interes­senter. Ledere og programvaresikkerhetsgruppen (SSG) må dokumentere programvaresikkerhetsvalg, og formidle dette materialet til alle som er invol­vert i livssyklusen for sikker programvareutvikling (SSDL), inkludert eksterne aktører.

Les hele innlegget

Transparens i skyen – hva mener brukerne?

awf-Message-in-BottlePå CLOSER-konferansen har jeg nylig presentert artikkelen «Cloud Provider Transparency – A View from Cloud Customers» forfattet av Daniela S. Cruzes og undertegnede. Artikkelen fikk «Best paper award«, og vi spanderer derfor på oss et lite sammendrag her:

Nettskyen kommer med mange fordeler, men bekymringer rundt sikkerhet og personvern gjør at mange potensielle brukere vegrer seg. I prosjektet A4Cloud argumenterer vi for at Accountability (som vi fortsatt ikke har noe godt norsk ord for) kan være det som skal til for å døyve bekymringene.

Les hele innlegget

Dypdykk i BSIMM del 6 – Security Features & Design

Security Features of the US Twenty Dollar BillI vår serie om innebygd målbar sikkerhet og BSIMM er vi nå kommet til Security Features & Design, eller sikkerhetsfunksjonalitet og design. En «feature» er kanskje egentlig heller en egenskap, men i de fleste tilfeller dreier det seg om funksjonalitet, så vi kjører videre med det.

Hovedmålet for denne praksisen er etablering av tilpasset kunnskap om sikkerhetsegenskaper, rammeverk og mønster. Den tilpassede kunnskapen må drive arkitektur- og komponent-beslutninger.

Les hele innlegget

Dypdykk i BSIMM del 4 – Training

joggerHvordan kan du vite at du håndterer en oppgave hvis du aldri har gjort den før? Opplæring er svaret, og Øvelse gjør mester – og den som tror at han er ferdig utlært, er ikke utlært, men ferdig. Programvaresikkerhetsgruppen (SSG) spiller en viktig rolle her!

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på Training, eller opplæring og øvelser. Hovedmålene for denne praksisen er å utdanne en kunnskapsrik arbeidsstokk og rette opp feil i prosesser. Arbeidsstokken må ha rolle-basert kunnskap som spesifikt inkluderer ferdighetene som kreves for å utføre deres SSDL-aktiviteter på en hensiktsmessig måte. Opplæringen må omfatte spesifikk informasjon om rotårsaker til feil som oppdages i prosessaktiviteter og resultater.

Les hele innlegget

Hvordan står det til med programvaresikkerheten i norske offentlige virksomheter?

BSIMM3-logoPå oppdrag fra Difi har vi har fått 20 offentlige virksomheter til å fylle ut en egenerklæring om hvilke programvaresikkerhets-aktiviteter de utfører som en del av sine egne systemutviklingsprosesser.

Det offentlige gjennomfører en rekke digitaliseringsprosjekter, og utfører dermed mange aktiviteter knyttet til utvikling og anskaffelse av nye digitale løsninger. For at disse løsningene skal kunne håndtere de digitale sikkerhetstruslene, er det viktig at det jobbes systematisk med sikkerhet i utviklingsprosessen. Les hele innlegget

Sommerens vakreste eventyr

Påskeferien er knapt over, men her har du muligheten til din egen lille oase i hverdagen før neste skoleferie: CSA Norges sommerkonferanse (i år rebranded CSA Nordic Summit) går av stabelen 15. juni – hiv deg med!

Påmelding kan gjøres her: http://www.eventbrite.com/e/csa-nordic-summit-2015-tickets-15871141010

For mer informasjon om programmet, se her: https://csanorway.no/nordicsummit15/

I fortsettelsen av konferansen gir vi også som de første i Norge muligheten til å ta et ettdags kurs for kvalifisering til Certificate of Cloud Security Knowledge (CCSK) – se her for mer informasjon: https://csanorway.no/nordicsummit15/ccsk-training/

Falske basestasjoner – hvordan er det mulig?

radio-wireless-towerSikkerhetskonferansen 2015 arrangert av Nasjonal Sikkerhetsmyndighet holdt jeg et innlegg om hvordan det er mulig å opprette falske GSM basestasjoner og hvorfor ting fungerer slik de gjør. I dette blogginnlegget skal jeg kort innom historikken til GSM-standarden for mobiltelefoni, beskrive hvilke enheter som inngår i et GSM nettverk, og hva som skjer når du ringer i en mobiltelefon. Deretter blir det litt konkrete detaljer om falske basestasjoner, og noen betraktninger rundt hvilke valg vi tar når vi kommuniserer – hvordan vi forholder oss til sikkerhet kontra brukervennlighet. Les hele innlegget

Dypdykk i BSIMM del 3 – Compliance & Policy

checklist«Security Policy» er et av mange ord som ikke har en fullgod norsk oversettelse, noe som medfører at mange bruker bastard-begrepet «sikkerhets-policy». Muligens kan man oversette det med «sikkerhetsinstrukser og strategi», men jeg er usikker på om det treffer helt (noen foreslo nettopp «sikkerhetsretningslinjer» – det er kanskje bedre).

I vår serie om innebygd målbar sikkerhet og BSIMM, skal vi denne gangen skal vi se nærmere på «Compliance and Policy», som vi forsøksvis kunne oversette med «Etterlevelse av regler og retningslinjer».

Les hele innlegget