Cybersecurity forskningsgruppe
I de illegale markedsplassene på det mørke nettet selges det digitale varer og tjenester for dataangrep. Dette gjør at man ikke trenger å være noen dataekspert for å stå bak et angrep og nesten hvem som helst med ondsinnet motivasjon er dermed en potensiell trussel. Vi har studert tilbud og etterspørsel i dette markedet for å lete etter nye angrepstrender.
I de illegale markedsplassene på det mørke nettet selges det digitale varer og tjenester for dataangrep. Dette gjør at man ikke trenger å være noen dataekspert for å stå bak et angrep og nesten hvem som helst med ondsinnet motivasjon er dermed en potensiell trussel. Vi har studert tilbud og etterspørsel i dette markedet for å lete etter nye angrepstrender.
I løpet av det siste året har mange nordmenn opplevd å få svindelbrev som vanlig brevpost, hvor det blir framlagt krav om erstatning for brudd på åndsverksloven [1]. Denne typen “retrospam” dukker opp en gang i blant, og jeg synes det er interessant å se på hva det egentlig koster å gjennomføre slike angrep. Når angrepene er dyre i forhold til forventet avkastning, dør de gjerne ut og utgjør ikke noen særlig trussel på sikt. Lønnsomme angrep kommer vi derimot til å se mer av framover.
I disse dager driver Europakommisjonen med en kartlegging av hvor det finnes kompetanse på cybersecurity rundt omkring i Europa. Resultatene i denne undersøkelsen skal brukes til å lage et offentlig cybersecurity-atlas, som igjen vil være et nyttig verktøy når man for eksempel er på jakt etter partnere eller spesifikk kunnskap.
Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.
Som årets lengste bloggtittelord indikerer, har vi lyst til å tipse om noen problemer du kan få bryne deg på i jula. Tradisjon tro kommer SANS med sin Holiday Hack Challenge, hvor du skal redde julenissen og fange slemmingen som har kidnappet ham (nei, dette er ikke akkurat samme plott som Snøfall på NRK). Her befinner vi oss i et nostalgisk point’n click eventyrspill ispedd sikkerhetsutfordringer, og dette er i det hele tatt veldig forseggjort. Anbefales!
På lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.
Begrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden.
ISF, ISACA og Faggruppen Informasjonssikkerhet i Dataforeningen Trøndelag inviterer til felles møte for faglig påfyll onsdag 14. oktober fra kl.15 til kl.18. Etter det faglige programmet blir det servering og sosialisering.
På årets ISF Høstkonferanse var alle gode ting minst fire.
Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.
(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)
Trykk på førsteslidene under for å laste ned de respektive presentasjonene.
For at et system skal overleve et dataangrep må man være forberedt, oppdage angrepet, respondere og så tilpasse systemet slik at man ikke blir angrepet på samme måte på nytt. Gjennom en slik evolusjon får man robuste systemer som skal tåle både forventede og uforutsette hendelser. Dette er en egenskap vi på nynorsk kaller resilience, og nå i juni har vi oppstart av et treårig forskningsprosjekt innenfor dette området.
Vi har lagt merke til litt skriverier knyttet til hacking av passasjerfly, fortrinnsvis i Wired og gjengitt hos tek.no. I den forbindelse har vi lyst til å opplyse om at Norge deltar i et program for å utvikle neste generasjons sikker datakommunikasjonsløsning for kommersiell luftfart – IRIS, og si litt om vår rolle.
Vi har tidligere skrevet om cyberforsikring på denne bloggen, og holdt foredrag om temaet på NHOs pensjons- og forsikringskonferanse i november i fjor. I år har vi fått startet et eget forskningsprosjekt ved SINTEF IKT for å utvikle teknikker og verktøy for vurdering av cyberforsikring.
Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin!
Det finnes mange eksempler på filmer hvor informasjonssikkerhet er en sentral ingrediens, men realismen i dem ikke henger helt på greip. Heldigvis finnes det unntak. Jeg så nylig filmen Disconnect fra 2012, og fant den god, realistisk og tankevekkende. Teknologien som brukes i filmen er omtrent den samme som vi omgir oss med i dag, og menneskene er ordinære som folk flest – uten superkrefter eller andre spesielle talenter. Den blir heller ikke kjedelig av den grunn, og er en vekker for både barn og vokse som tilbringer litt eller mye tid online.
Jula er en tid da man kan sette seg i godstolen foran peisen, spise peppernøtter og kose seg med en god bok. Tips til sistnevnte er vår nylig utgitte bok om sikkerhet og tillit for tjenestekomposisjon – anbefalt julegave til både liten og stor!
Det europeiske forskningsområdet (ERA) er uten sammenligning den viktigste internasjonale arenaen for norsk forskning. Horisont 2020 er verdens største program for forskning og innovasjon, med en økonomisk ramme på 77 milliarder euro (660 milliarder kroner) i perioden 2013-2020. SINTEF den største norske aktøren på EU-arenaen med kontraktsfestede EU-midler på over 140 millioner € per mai 2014. Dessverre er den totale norske EU-deltagelsen lavere enn hva den burde være, hittil har vi bare hentet ut 6 av de rundt 10 milliardene Norge har betalt inn til EUs forskningssamarbeid [1]. For å forbedre denne situasjonen ønsker vi å dra med oss flere aktører fra norsk næringsliv mot temaene knyttet til informasjonssikkerhet.
Informasjonssikkerhet er ikke bare et rent teknisk område, men må sees i sammenheng med økonomiske insentiver; hvor mye og hvilken type sikkerhet lønner seg? I dag velger mange bedrifter bevisst bort anerkjente sikkerhetsmekanismer fordi det rett og slett er billigere å ta støyten av et angrep, men grunnlaget for å ta slike valg er i de fleste tilfeller tynt. I andre tilfeller brukes enorme summer på sikkerhet som strengt tatt ikke er nødvendig (markedet for sikkerhetsprodukter og tjenester bare i Europa ligger på €4,6 milliarder årlig [1]). For å adressere økonomisk risiko ved dataangrep mot IT-systemer har både små og store bedrifter begynt å ty til spesielle forsikringer mot dette [2].
Dropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her.
EU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en “Data Protection Day” med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.