På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål. Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.
Dypdykk i BSIMM del 2 – Attack Models
På frokostmøtet om måling av sikkerhet fikk jeg et godt spørsmål som jeg ikke kunne svare på: «Hvilket nivå skal man legge seg på?» Mitt ikke-svar var at «da må du gjøre en risikobasert vurdering», som egentlig bare er en annen måte å si «det kommer an på». I utgangspunktet hadde jeg sagt at «alle» burde kunne starte med aktivitetene på nivå 1 i hver praksis, men her skilte aktivitet AM1.1 seg ut i tallmaterialet – bare 21 av de 67 undersøkte bedriftene vedlikeholder en liste av de topp N mulige angrepene mot seg selv. Dette virker som en ganske grei aktivitet å gjøre et par ganger i året, og jeg finner ingen god forklaring på hvorfor det ikke gjøres.
Dypdykk i BSIMM del 1 – Configuration and vulnerability management
Etter utallige oppfordringer kommer endelig neste episode i vårt dypdykk i BSIMM – akkurat tidsnok til fredagens frokostmøte! Vi starter bakerst, med konfigurasjons- og sårbarhetshåndtering.
En av tesene i BSIMM er at hvis du driver programvareutvikling trenger du en programvaresikkerhetsgruppe (SSG). Kanskje består gruppen kun av en person, men den må være der. BSIMM tar utgangspunkt i SSG og utviklerne rundt den.
Frokostmøte om BSIMM, OpenSAMM etc. utsatt en uke
Frokostmøtet er flyttet til fredag 7.november kl.08.00-10.30, på DIGS. Hvis du ikke har meldt deg på enda, kan du gjøre det nå: https://www.dataforeningen.no/maaling-av-sikkerhet.5597310-134423.html Illustrasjon av Full Scottish Breakfast ved Mark Longair
Hva var nå de derre BSIMM-greiene igjen?
Hvis du har lyst til å høre litt mer om hva BSIMM er, skal jeg delta på et frokostmøte arrangert av Dataforeningen neste fredag (31. oktober). I tillegg får du høre om OWASP’s OPENSAMM, samt at du får være vitne…
Det som skjer i skyen, blir i skyen?
På Dataforeningen/CSA Norges nettverksmøte i Trondheim 16. september presenterte jeg noen tanker om håndtering av sikkerhetshendelser i nettskyen. Hva er det som skiller skyen fra annen tjenesteutsetting når det smeller?
Utgangspunktet vårt er at det går ikke an å lage et datasystem som er 100% sikkert. Dette betyr at hvis det er noen som ser verdien av å bryte seg inn i dine systemer, så kommer de til slutt til å lykkes – og du må derfor gå ut i fra at informasjonssikkerhetshendelser kommer til å skje i ditt system.
Hjelp, skyen min har blitt hacket!
Tirsdag 16/9 arrangerer vi nok et meetup på Krambua i samarbeid mellom Cloud Security Alliance Norge og Dataforeningen; temaet denne gangen er håndtering av sikkerhetshendelser i nettskyen.
Hvorfor driver vi og maser om personvern i Smart Grid?
Smarte strømmålere vil samle svært mye informasjon om hver enkelt husstand. Det vil være mulig å se når noen er hjemme og borte, hvilke apparater som finnes i boligen, forbruksmønster, og døgnrytme.
Måledata går til nettselskapene, hvor de må lagres en viss tid. AMS-forskriften sier at timesverdier skal lagres 3-15 mnd (for fakturering), mens måneds- og årsverdier skal lagres 3 år (pga. lastprofiler, sesongvariasjoner, og energimerking).
Dette er vel og bra, men vi sitter igjen med noen sentrale spørsmål:
- Hvem har tilgang til opplysningene som samles inn?
- Hva kan opplysningene rettmessig benyttes til?
- Hva kan uvedkommende benytte opplysningene til?
- Hvordan sikres opplysningene?
DDoS – ikke bare stammespråk
Denne sommeren var det flere som fikk ferien forstyrret av en 17-årig bergenser som moret seg med å gjennomføre et såkalt distribuert tjenestenektangrep (DDoS) mot firma som Telenor og DnB. Nå på tampen av ferien kunne det kanskje passe å se litt nærmere på hvordan et slikt angrep egentlig fungerer?
Interessert i nettsky? Få litt påfyll før ferien!
Ferien står for døren, men før du kler på deg badedrakta og skyene forsvinner helt (forhåpentligvis), gir vi deg muligheten til å få litt faglig påfyll samt en gratis lunsj.
Besøk oss i Trondheim 20. juni, og bli med på workshop om sikkerhet, risiko og tillit i nettskyen!
Hvem er vakrest i landet her?
I forrige måned deltok vi på vårens vakreste eventyr, men nå er det blitt sommer, og vi har tro på at CSA Norges Sommerkonferanse i Oslo den 17. juni også kan bli et tiltalende arrangement!
Jeg skal bidra med foredraget «Tools for accountability in the cloud: When not all of your problems look like nails» , hvor jeg skal si litt mer om verktøyene som utvikles i EU-prosjektet A4Cloud. Programmet omfatter ellers Quentyn Taylor (Canon Europe), Peter Flem (Steria), Thom Langford (Sapient) og den alltid like inspirerende Mo Amin. Etter de faglige innslagene forflytter vi oss til taket av Postgirobygget, hvor det blir lett servering og forfriskninger.
IT og Prosesskontroll: Løver og sebraer
Denne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
Noen kjappe anbefalinger om risikoanalyse
I dag holdt jeg et kort innlegg på NEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.
Vi laget for et års tid siden en veiledning for risikoanalyse av AMS som inneholder følgende ting:
- Aktivitetsliste for gjennomføring av analysen
- Konsekvensdimensjoner og konsekvensklasser
- Sannsynlighetsdimensjoner
- Kort beskrivelse av relevante standarder
- Støtte til kartlegging av informasjonsverdier
- Liste over hendelsestyper
- Hendelsestyper/uønskede hendelser i AMS
- Liste over interessenter
- Typiske sårbarheter og svakheter i IKT-systemer
- Kort beskrivelse av relevante tiltak
Innebygd sikkerhet i programvare – Dypdykk i BSIMM (del 0)
På utallige oppfordringer skal vi fremover bruke litt tid på å beskrive detaljene i Building Security In Maturity Model. BSIMM er et rammeverk med mål og aktiviteter som brukes i for å integrere sikkerhet i programvare mens den bygges, basert på praksiser som faktisk er i bruk. I Charles Dickens’ ånd gjør vi det som en føljetong, men ettersom verden har gått litt framover siden Pickwick-klubben, hadde vi tenkt å la dere lesere få være med å bestemme rekkefølgen på det som presenteres.
Helsedata i skyen – friskt tiltak, eller helt sykt?
Sommerjobb om skysikkerhet
Er du/kjenner du en knakende god student som kunne tenke seg en sommerjobb innen nettsky og sikkerhet i Trondheim?
Informasjonssikkerhet i kraftbransjen – hva er de største utfordringene framover?
For et par år siden ble vi spurt hva vi trodde de største utfordringene når det gjelder informasjonssikkerhet i kraftbransjen var. Nylig hentet vi svaret fram igjen, og vi må medgi at det meste av det vi sa fortsatt står ved lag.
God Jul!
Da er sikkerhetsåret 2013 over, i hvert fall for oss. Vi kommer sterkt tilbake med nye blogginnlegg på nyåret, men i mellomtiden minner vi om at juletiden er høysesong for Phisking (eller Phishing som det heter på utenlandsk). Vær derfor skeptisk til å åpne zip-filer fra ukjente avsendere, aldri logg deg inn i nettbanken ved å klikke på lenker i epost, og innse at nigerianske prinser eller prinsesser med millioner de ikke vet hva de skal gjøre med neppe har tenkt å dele dem med akkurat deg! Som alltid før: Hvis det høres for godt ut til å være sant, er det akkurat det.
Årets kalendergave
Sikkerhetsmiljøet i Norge er ikke kjempestort, men likevel erfarer vi at det tidvis er vanskelig å unngå at man planlegger kolliderende arrangementer i en og samme by (spesielt hvis byen heter Oslo). Som et del av vårt engasjement i CSA Norge, har vi lansert et initiativ for å få til en felles arrangementskalender for hele landet.
Transatlantic Science Week – verdens korteste uke
Vi deltok denne uken på Transatlantic Science Week som ble arrangert av den norske ambassaden, Forskningsrådet, Kunnskapsdepartementet og Justisdepartementet i Washington DC 12.-13. november.