Utfordringer for ansvarliggjøring i nettskyen

accountability-challengesIngen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre.  Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services.

Hvor sikkert er egentlig GPRS?

gprsamiMange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.

Lakmustest for sikkerhet?

I en kronikk i Computerworld nylig tok Ahlert Hysing for seg testing – eller hvor mangelfull testing ofte har vært i forskjellige sammenhenger hvor man skal rulle ut nye systemer. Helt på slutten av kronikken drar han fram at “App-er på smarttelefoner er en ny utfordring, ikke bare må de være robuste. De må sikres. Penetrasjonstest blir nødvendig.

Du kan stole på vår samarbeidspartner, kors på halsen!


Det store, stygge internettet var ikke født farlig. I den spede begynnelsen var internett en sammenkobling av et lite antall datamaskiner hvor det var fullt mulig å kjenne alle brukerne personlig. Derfor var ikke sikkerhet det første man tenkte på – hvis mailen var merket med Pål eller Yngvar som avsender, så kom den jo selvfølgelig fra nettopp Pål eller Yngvar.

Ansvarlighet i skyen

Ansvarlighet (accountability) i nettskyen kommer til å bli stadig mer viktig i årene som kommer. Usikkerhet rundt sikkerhet og personvern er en barriere for bred bruk av nettskyen – vanlige forbrukere spør seg selv: Er mine familiebilder trygge i skyen? Små og store bedrifter er nok vant til forskjellige former for tjenesteutsetting, men blir flakkende i blikket hvis du antyder at forretningshemmeligheter kan lagres i et eller annet datasenter et udefinerbart sted i verden.

Vannet ditt er sikkert hos oss

Rent vann og velfungerende kloakk er noe vi tar for gitt i Norge, på samme måte som luften vi puster i. De færreste har derfor noensinne lurt på hvor vannet deres er på et gitt tidspunkt (det er jo bare å åpne kranen), og hva som skjer etter at man har skylt toalettet er i hvert fall ikke vårt problem.

Vann, IKT, og sikkerhet: En giftig blanding?

Fredag 6. januar holdt jeg et kort innlegg med tittelen “IKT og sikkerhet i vannsektoren: Hva kan gå galt?” ved Kursdagene på NTNU. I det følgene presenteres et sammendrag med nogå attåt.

Moderne vann- og avløpssystemer er fullstendig avhengige av prosesskontrollsystemer. Pumper og ventiler, sensorer og målere kontrolleres av mange av de samme enhetene som vi kjenner fra olje- og gassbransjen. I oljebransjen har vi latt oss overraske over hvor steilt fagmiljøene kan stå mot hverandre – prosessingeniører og IT-folk har vært beskrevet som “løver og sebraer”: De snakker ikke samme språk, og kan knapt la være å slite hverandre i filler.

Hvem er redd for den store, stygge nettskyen?

Nettskyen (Cloud Computing) er realiseringen av en gammel drøm om å tilby datamaskinressurser over nettet.  Nettsky-modellen reduserer oppstartskostnadene for å utvikle og rulle ut nye tjenester på internett; det er ikke nødvendig å investere i maskinvare eller binde seg til lange kontrakter med underleverandører.

Vi bidrar til verdenslitteraturen

A Multidisciplinary Introduction to Information Security To nye informasjonssikkerhetsbøker er nettopp kommet på markedet, og vi har bidratt med et kapittel i hver av dem.

“A Multidisciplinary Introduction to Information Security” er redigert av Stig Frode Mjølsnes fra NTNU, og den kan bestilles fra CRC Press. Vårt kapittel heter “A Lightweight Approach to Secure Software Engineering” og er skrevet av Martin Gilje Jaatun, Jostein Jensen, Per Håkon Meland og Inger Anne Tøndel.

Skal det være nødvendig å stole på storebror hele tiden?

Etter en uke i Hellas (med overraskende få opptøyer) er det på sin plass å nevne presentasjonen av artikkelen “A Cryptographic Protocol for Anonymous Communication in a Redundant Array of Independent Net-storages” på årets utgave av IEEE CloudCom i Athen.

Dette er en del av et pågående arbeid for å se om det er mulig å oppnå tilstrekkelig sikkerhet i nettskyen uten å kryptere data, men kun ved å dele dem opp og spre dem på forskjellige nettskytilbydere.

På vegne av vår syke mor

Vi er forskere ansatt i et uavhengig forskningsinstitutt, noe som betyr at vi må selv bidra til å skaffe finansieringen som betaler lønna vår. I praksis betyr dette å skrive søknader til Norges forskningsråd og EUs 7ende rammeprogram. Når vi søker på forskningsrådets ulysninger i VERDIKT-programmet, konkurrerer vi med andre norske forskningsinstittutter som Norsk Regnesentral og Christian Michelsens Institutt, men også mot alle norske universiteter og høgskoler. Når det gjelder sistnevnte, er det noe som skurrer.

Prototyper: Sikre så lenge de ikke faller i hendene på gale forskere?

I de senere år har vi i flere sammenhenger støtt på tilfeller der programvareprototyper som har vært utviklet i en fei (uten at noen har tenkt så mye på sikkerhet, for “det er jo bare en protoype…”), på mystisk vis likevel plutselig ender opp i det ferdige produktet. Like fullt finnes det store selskaper ute i verden som hardnakket påstår at det er bortkastet å tenke programvaresikkerhet når man lager prototyper, “for de skal jo kastes likevel”.

Ingen er så utrygg i fare…

Malware labDet er et økende gap mellom tidspunktet et gitt eksemplar ondartet kode (virus, orm, osv.) opptrer på internett, og tidspunktet signaturen til samme ondartede kode finner veien til brukernes antivirusprodukter. Dette betyr at det til enhver tid finnes store mengder ondartet kode som ikke kan detekteres og/eller fjernes av antivirusprodukter.