Nettselskapers involvering av underleverandører i hendelseshåndtering ved cyberangrep

Denne artikkelen er skrevet av Sara Waaler Eriksen og Sarmilan Gunabala som del av deres masteroppgave. Energisektoren er svært kritisk for dagens samfunn fordi alle andre sektorer er avhengig av at den er velfungerende. Ny teknologi, nye systemer og nye…

Hendelseshåndtering i IT og industrielle IKT-systemer

Denne artikkelen er skrevet av Ingrid Volden og Thea Svenkerud Ryjord som del av deres masteroppgave. Tradisjonelt har ikke cybersikkerhet vært et tema for industrielle kontrollsystemer. For å få innpass til systemene måtte man ha fysisk tilgang, siden systemene som…

Hendelseshåndtering, kryptografi, og tilfellet WPA3 vs. TLS

Hendelseshåndtering er et begrep som vanligvis brukes ved datainnbrudd, men i en mer generell betydning omfatter det håndterings- og oppfølgingsrespons for enhver sikkerhetshendelse, inkludert håndtering av nyoppdagede sårbarheter i kritiske systemer. Hvordan ser hendelseshåndtering ut i tilfelle angrep på underliggende kryptografiske protokoller som brukes i verdensomspennende nettverk? Og enda viktigere, hvordan bør det se ut?

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o
(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

Om å la andre ta seg av hendelseshåndteringen

passing-the-buck Denne uken har jeg vært i Vancouver for å delta på CloudCom-konferansen, og har presentert en artikkel basert på masteroppgaven til Alfredo Reyes (som jeg veiledet i vår).

Det har skjedd en stor utvikling i tjenesteproduksjon i senere år, fra overveiende bruk av lokal datakraft, via tradisjonell tjenesteutsetting, til dagens økende bruk av nettskyen.

Vi sjekker status på programvaresikkerhet, smaker på sikkerhetskultur, øver på hendelser og hacker fly

Bilde fra imdb.com

På årets ISF Høstkonferanse var alle gode ting minst fire.

Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.

(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)

Trykk på førsteslidene under for å laste ned de respektive presentasjonene.

Doktorgradsavhandling om hendelseshåndtering

phd-capPhD-prosjektet mitt om håndtering av IKT-sikkerhetshendelser i kraftbransjen er avsluttet. I prosjektet har jeg i samarbeid med mine kolleger studert hvilke faktorer som påvirker hvordan hendelseshåndtering gjøres i dag, samt hvilke utfordringer som ligger i veien for forbedringer. Viktige anbefalinger å ta med videre for bransjen, handler om å sette sammen riktige, kryssfunksjonelle team for både beredskapsøvelser og reelle situasjoner, samt å bruke tid og ressurser på læring.

Brettspill laget for IT-beredskapsøvelser

Play2Prepare - spillbrettet.
Play2Prepare – spillbrettet.

Vi har i vår veiledet en masterstudent i å utvikle et brettspill som har til hensikt å støtte en beredskapsøvelse for IT-sikkerhetshendelser i kraftbransjen.

Spillet simulerer et angrep på kraftnettet, og spilldeltakerne tildeles ulike roller og skal sammen respondere på situasjonen.

 

Budbringeren – Hvordan varsle eiere av sårbare systemer?

Picture1
Å bli fortalt at man har sårbare eller kompromitterte systemer kan være utfordrende. Illustrasjon: Colourbox

En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.

Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier? 

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av “black hat”-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Utfordringer ved IT-beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

Beredskapsøvelser for IT-sikkerhetshendelser prioriteres altfor lavt i dag. Til dels skyldes dette trolig at selskapene ikke forstår hvordan de skal øve effektivt eller at de ikke opplever stor nok nytte av å øve. Derfor har vi studert hvilke utfordringer nettselskapene (kraftbransjen) møtte underveis i en øvelse for å komme fram til noen anbefalinger om hvordan de kan øve bedre og mer effektivt. Våre resultater er også viktige for at norsk næringsliv skal bli flinkere til å håndtere et trusselbilde som er i konstant endring.

Del broderlig – også informasjon?

CSA-cloud-panel-nov-2014På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål.  Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.

Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet

Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.

Studie av beredskapsøvelser

ill.: Movimento Italia
ill.: Movimento Italia

De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?

Det som skjer i skyen, blir i skyen?

hendelseriskyenDataforeningen/CSA Norges nettverksmøte i Trondheim 16. september presenterte jeg noen tanker om håndtering av sikkerhetshendelser i nettskyen. Hva er det som skiller skyen fra annen tjenesteutsetting når det smeller?

Utgangspunktet vårt er at det går ikke an å lage et datasystem som er 100% sikkert. Dette betyr at hvis det er noen som ser verdien av å bryte seg inn i dine systemer, så kommer de til slutt til å lykkes – og du må derfor gå ut i fra at informasjonssikkerhetshendelser kommer til å skje i ditt system.

God praksis for hendelseshåndtering

johnny_automatic_over_the_cliffDet finnes en rekke anbefalinger for hendelseshåndtering om hvilke rutiner som bør være på plass, roller og ansvar, planer og øvelser. Men det kan være minst like mye å hente på å lære av andre organisasjoner enn å lese side opp og side ned av anbefalinger og standarder. Vi har gått gjennom en rekke vitenskapelige studier som har dokumentert erfaringer og praksis hos ulike organisasjoner. Vårt arbeid viser at praksisen er rimelig i tråd med ISO/IEC 27035, men det er noen anbefalinger som det er vanskelig å leve opp til, og kanskje er det nødvendig med mer spesifikke retningslinjer eller verktøy på disse områdene.

IT og Prosesskontroll: Løver og sebraer

zebralionDenne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.

TU-kronikk: Eksersis mot strøm-hackere

20140410 mbl tu-kronikk-utklippIT-angrep blir en ny trussel for strømbransjen når de smarte strømnettene kommer. Det må nettselskapenes beredskapsøvelser snarest mulig gjenspeile.

Teknisk Ukeblad publiserte rett før påske en kronikk av Maria B. Line hvor hun skrev om nettselskapenes behov framover for å gjøre beredskapsøvelser med utgangspunkt i IT-angrep.