Om Per Håkon Meland

- Secure software engineering - Mobile services and application development - Healthcare applications and information security

«A wiseguy never pays for his drinks»

Photo by TriStar Pictures – © 1997

Photo by TriStar Pictures – © 1997

Sitatet tilhører Benjamin ‘Lefty’ Ruggiero fra filmen «Donnie Brasco» (1997), og vi får se om dette stemmer når den virkelige Donnie Brasco (eller Joseph D. Pistone som han egentlig heter) kommer til ISF sin høstkonferanse i september. Pistone er en tidligere FBI-agent som infiltrerte Mafiaen i New York på 70-tallet, og førte til at over 100 medlemmer av «familien» ble dømt. Jeg ser fram til høre ham fortelle om hvordan det var å være muldvarp i temmelig paranoid og livsfarlig organisasjon, og hvordan livet ble i etterkant. Les hele innlegget

Unngå turbulens når du nærmer deg nettskyen

turbSkytjenester kan oppleves som en enveis norsk motorvei, med varierende sikkerhet og liten mulighet til å stoppe opp og stille egne krav. Standardkontrakter er normalen, men det er vanskelig å vite hva man skal se etter, hva som burde stått der og hva man skal spørre om når man ikke finner noen gode garantier. Sammen med Telenor har vi utarbeidet et rammeverk som gjør det lettere å vite hva slags sikkerhet man skal se etter i kontrakter og annen dokumentasjon fra en skyleverandør. Vi har benyttet dette rammeverket i forbindelse med «security audits», for å identifisere sårbarheter og trusler man som organisasjon bør være klar over før man stuper inn i skyen.

Les hele innlegget

Sol, sand og sikkerhet

Vi er med på å arrangere en vårskole innenfor temaet «Trustworthy & Secure Service Composition», og inviterer herved studenter, forskere og andre interesserte til å komme til Málaga (Spania) den siste uka i mai. Organisatorer er Málaga Universitet, IFIP WG 11.11 og EU-prosjektene Aniketos, Choreos og NESSoS.

Les hele innlegget

Får vi noen gang digitale kontrakter for nett-tjenester?

Dersom du trenger garantier for en nett-tjeneste, for eksempel relatert til oppetid, pris, sikkerhet og personvern, er du avhengig av at dette blir spesifisert i en eller annen form for avtale eller kontrakt.  Dette blir som regel betegnet som Service Level Agreements (SLAer) på nynorsk, og er spesielt i vinden for nettskytjenester der vi overlater ansvaret for verdifulle data til noen vi egentlig ikke har så mye forhold til (se tidligere innlegg om Ansvarlighet i skyen).

Les hele innlegget

Ikke-personlig informasjon, hva er det?

I forbindelse med lanseringen av iOS6 har vi tatt en kjapp gjennomgang av Apple sine retningslinjer for personvern.
Som de fleste lisensavtaler inneholder disse retningslinjene mer eller mindre konkret informasjon om hva personopplysninger kan brukes til, for eksempel tilpasset markedsføring, produktutvikling eller forskning (se tidligere blogg-post: Vi vil muligens nesten aldri selge din informasjon…). Det vi reagerer spesielt på hos Apple er deres definisjon av ikke-personlig informasjon – data i en form som ikke åpner for direkte assosiering med en spesifikk person. I retningslinjene fra Apple står det at vi kan samle, bruke, overføre og gjøre tilgjengelig ikke-personlig informasjon til ethvert formål, her er det altså snakk om fint lite begrensninger. Les hele innlegget

Vi vil muligens nesten aldri selge din informasjon…

Jeg legger merke til at Google fra 1. mars skal fjerne over 60 personvernregler og erstatte de med et sett som er enklere å lese. Vel og bra, men om reglene er mindre vage er jeg usikker på. Her er noen utvalgte sitater fra de nye reglene:

  • «Det er mulig at vi samler inn informasjon om tjenestene du bruker og hvordan du bruker dem.» Les hele innlegget

Opp på barrikadene

Tidligere denne uka (18. januar) opplevde vi om ikke den første, så iallefall den mest betydningsfulle streiken på Internett. Et stort antall nettsteder hvor brukere kan bidra med innhold markerte sin motstand til lovforslaget Stop Online Piracy Act (SOPA) ved å enten legge ned tjenesten eller å ha bannere på sine sider. Mange andre nettsteder markerte også sin støtte til denne streiken, og hadde for eksempel lagt opp lenker til http://sopastrike.com/. Noen eksempler på steder som deltok er Wikipedia, WordPress, Mozilla, Digital Public Library of America, Google og Wired. Les hele innlegget

Trøbbel med trojanske tjenester

Når du benytter en tjeneste på nettet levert av en eller annen aktør er det ofte et sett med underleverandører til denne som du ikke har oversikt over. Sist gang du bestilte en reise gjennom en reiseportal benyttet du sannsynligvis et sett med forskjellige tjenesteunderleverandører for å ordne med fly, hotell, bil, betaling, osv. Vi kaller dette tjenestekomposisjon, og prinsippet er omtrent det samme som når en sluttbruker bestiller et hus fra en totalentreprenør. Sluttbrukeren trenger da bare å forholde seg til den med det overordnede avsvaret dersom noe skulle gå galt. Les hele innlegget

Hva er programvaresikkerhet?

I siste nummer av The International Journal of Secure Software Engineering (IJSSE) var undertegnede og Martin Gilje Jaatun gjesteredaktører, og skrev i den forbindelse en introduksjon for å gjøre selve begrepet «software security» noe mer håndgripelig. Bakgrunnen for skrive om nettopp dette er at vi opplever at begrepet ofte benyttes i en veldig vid forstand.

Les hele innlegget