Hvis du ikke har meldt deg på enda, er det nok for sent – og hotellene på Lillehammer var fullbooket allerede i vår. Du som har meldt deg på er imidlertid hjertelig velkommen til å komme og høre på meg og mine kolleger!
Tre ikke-tekniske hovedutfordringer innen cyber-hendelseshåndtering som oljenæringen står ovenfor
Cybersecurity Barrier Management-prosjektet har som mål å integrere operasjonelle, organisatoriske og tekniske barriereelementer innen cybersikkerhet med safety-barrierer. I dette prosjektet utfører jeg mitt PhD-prosjekt som fokuserer på å kartlegge de ikke-tekniske (operasjonelle og organisatoriske) barrierene som finnes innen cybersikkerhet. Igjennom en intervjustudie som ble gjennomført i fjor avdekket jeg tre hovedutfordringer som oljenæringen bør ta tak i.
Er det kjedelig med sikkerhet?
På oppdrag fra NVE har vi skrevet en rapport med anbefalinger til krav som norske nettselskaper med fordel kan stille til sine leverandører.
NVE ønsket en rapport som kunne identifisere god praksis for krav relatert til IKT-sikkerhet i anbudsdokumenter på anskaffelse av IT og OT, og hvordan dette skal kunne følges opp i drift. Hovedmålet var å identifisere krav som små og mellomstore nettselskap kan stille til sine leverandører.
Noe bør stoppes, men det er neppe IT
Vi er i ferd med å runde av EU-prosjektet STOP-IT (2017-2021) som har fokusert på å gjøre vann- og avløpssystemer sikrere og mer motstandsdyktige mot ondsinnede angrep. STOP-IT har arbeidet for at vannbransjen skal bli mer bevisst på, og gjøre bedre forberedelser mot, cyber-fysiske trusler, og forbedre håndtering av hendelser av både fysisk og digital karakter. STOP-IT-løsningene vil hjelpe vannverk med å prioritere risikoer og utvikle en realistisk plan for forbedret fysisk/cyber beskyttelse.
Trusselmodellering i norsk oljesektor
Nettselskapers involvering av underleverandører i hendelseshåndtering ved cyberangrep
Hendelseshåndtering i IT og industrielle IKT-systemer
Informasjonssikkerhet for nettbransjen
Lille julaften 2015 svartnet det bokstavelig talt for mange ukrainere. Nærmere en kvart million var plutselig uten strøm, og mange fikk ikke strømmen tilbake på seks timer eller mer. Selv i et land hvor oppvarming hovedsakelig skjer med gass, er det ikke særlig trivelig å være strømløs midt på vinteren.
Jeg flyr alene
En gang i tiden var det nødvendig med en rekke personer i cockpit på flyet når man skulle fly lengre distanser. På 1950 tallet var to piloter, en ingeniør, en navigatør og en radiooperatør normen på langdistanseflygninger. Den raske utviklingen av kommersiell radio, sammen med en internasjonal enighet om at all kommunikasjon skal skje på engelsk, gjorde raskt at radiooperatøren ble overflødig. Navigatøren forsvant på 60-tallet og med introduksjonen av den moderne jetmotoren på 80-tallet var det ikke lenger bruk for en ingeniør ombord til å justere motoren underveis.
I dag er det fortsatt et absolutt krav om to piloter i cockpit for alle kommersielle jetfly som frakter passasjerer eller last. Men, helt i tråd med den økende digitaliseringen av vårt samfunn, er det igjen aktuelt å redusere besetningen: kanskje det er mulig å erstatte andrepiloten i cockpit med en løsning der førstepiloten isteden har støtte fra bakken?
STOP-IT – sikkerhet i vannbransjen
Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak
“For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.” Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.
Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.
SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.
Sløyfer og slips i ROS analyser
De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.
Sikre satellittbaserte tjenester for luftfart
Mr Robot: en studie i social manipulation
Sikkerhet og robusthet i IKT-systemer
Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. Sikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger.
Tilpasningsdyktighet ved kriser
For at et system skal overleve et dataangrep må man være forberedt, oppdage angrepet, respondere og så tilpasse systemet slik at man ikke blir angrepet på samme måte på nytt. Gjennom en slik evolusjon får man robuste systemer som skal tåle både forventede og uforutsette hendelser. Dette er en egenskap vi på nynorsk kaller resilience, og nå i juni har vi oppstart av et treårig forskningsprosjekt innenfor dette området.
Alt henger sammen med alt i den nye krafthverdagen
16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.
Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet
Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.
Studie av beredskapsøvelser
De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?
Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?
I dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.
I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.