Skjellet av et styrtet fly

Blackbox in the cloud

Skjellet av et styrtet fly

De senere årene har flere fly styrtet og man har i ettertid hatt lange leteaksjoner etter de svarte boksene for å kunne gi pårørende og verden svar på hva som har skjedd. Dette har medført at flere har tatt til orde for at de svarte boksene burde strømmes ut i skyen. Senest i starten av juni ville NRK vite mer om muligheten for dette fra våre kollegaer Martin Gilje Jaatun og Ivonne Herrera.

Her skal vi ta en kikk på hva disse berømte svarte boksene er for noe, mulighetene som åpner seg om vi legger disse i skyen og selvsagt også noen tuer langs veien (de kan som kjent velte store lass).

Sjekkliste for sikkerhet i skytjenester

cloudsecVi har publisert en rapport som kan være til hjelp for deg som vurderer å ta i bruk nettskyen!

Rapporten “Cloud Security Requirements” (som du laster ned gratis her) inneholder nemlig en sjekkliste som du kan bruke til å evaluere sikkerhet og personvern i offentlige nettskytjenester, og til å stille krav.

Sjekklisten benytter vi selv i forbindelse med risikoanalyser av IT-systemer/applikasjoner, og nå vil vi gjerne at enda flere tar den i bruk.

Transparens i skyen – hva mener brukerne?

awf-Message-in-BottlePå CLOSER-konferansen har jeg nylig presentert artikkelen “Cloud Provider Transparency – A View from Cloud Customers” forfattet av Daniela S. Cruzes og undertegnede. Artikkelen fikk “Best paper award“, og vi spanderer derfor på oss et lite sammendrag her:

Nettskyen kommer med mange fordeler, men bekymringer rundt sikkerhet og personvern gjør at mange potensielle brukere vegrer seg. I prosjektet A4Cloud argumenterer vi for at Accountability (som vi fortsatt ikke har noe godt norsk ord for) kan være det som skal til for å døyve bekymringene.

Det som skjer i skyen, blir i skyen?

hendelseriskyenDataforeningen/CSA Norges nettverksmøte i Trondheim 16. september presenterte jeg noen tanker om håndtering av sikkerhetshendelser i nettskyen. Hva er det som skiller skyen fra annen tjenesteutsetting når det smeller?

Utgangspunktet vårt er at det går ikke an å lage et datasystem som er 100% sikkert. Dette betyr at hvis det er noen som ser verdien av å bryte seg inn i dine systemer, så kommer de til slutt til å lykkes – og du må derfor gå ut i fra at informasjonssikkerhetshendelser kommer til å skje i ditt system.

SINTEF og Telenor Research: Cloud Security Whitepaper

Nytt whitepaper: Sikkerhetsutfordringer og -muligheter i nettskyen

SINTEF og Telenor Research: Cloud Security WhitepaperVil du ha hjelp med å unngå alvorlige feil når du velger leverandør av din nye cloud-tjeneste?

Telenor Research og SINTEF har nå publisert et whitepaper som hjelper deg å gå klar av de viktigste fallgruvene.

Whitepaperet kan du laste ned fra Telenor sine nettsider.

God sikkerhetsmåned!

God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!

Utfordringer for ansvarliggjøring i nettskyen

accountability-challengesIngen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre.  Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services.

“A wiseguy never pays for his drinks”

Photo by TriStar Pictures – © 1997
Photo by TriStar Pictures – © 1997

Sitatet tilhører Benjamin ‘Lefty’ Ruggiero fra filmen “Donnie Brasco” (1997), og vi får se om dette stemmer når den virkelige Donnie Brasco (eller Joseph D. Pistone som han egentlig heter) kommer til ISF sin høstkonferanse i september. Pistone er en tidligere FBI-agent som infiltrerte Mafiaen i New York på 70-tallet, og førte til at over 100 medlemmer av “familien” ble dømt. Jeg ser fram til høre ham fortelle om hvordan det var å være muldvarp i temmelig paranoid og livsfarlig organisasjon, og hvordan livet ble i etterkant.

Säkerhet som ett försäljningsargument i molnet

cloudsCloud computing är ett av de hetaste begreppen inom IT branschen och säkerhet är en av de mest omdiskuterade och debatterade osäkerhetsmomenten när ett företag överväger att använda sig av så kallade molntjänster (norsk: skytjenester). Men det är viktigt att vara medveten om att den som använder en molntjänst förlorar kontrollen över var och hur data lagras och processeras (vilket i och för sig kan vara både på gott och ont).

Unngå turbulens når du nærmer deg nettskyen

turbSkytjenester kan oppleves som en enveis norsk motorvei, med varierende sikkerhet og liten mulighet til å stoppe opp og stille egne krav. Standardkontrakter er normalen, men det er vanskelig å vite hva man skal se etter, hva som burde stått der og hva man skal spørre om når man ikke finner noen gode garantier. Sammen med Telenor har vi utarbeidet et rammeverk som gjør det lettere å vite hva slags sikkerhet man skal se etter i kontrakter og annen dokumentasjon fra en skyleverandør. Vi har benyttet dette rammeverket i forbindelse med “security audits”, for å identifisere sårbarheter og trusler man som organisasjon bør være klar over før man stuper inn i skyen.