Digitalt grenseforsvar – SINTEF etterlyser alternative tiltak

«For oss ser det ut til at fordelene ved systemet ikke oppveier ulempene.» Det skriver SINTEF i sin høringsuttalelse om den foreslåtte overvåkingen av all datatrafikk ut og inn av Norge.

Masseovervåking av all datatrafikk som passerer landegrensene – bør Norge innføre dette som et våpen mot cyberangrep og terror? Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. I høst kom svaret som viser at utvalget går for et slikt digitalt grenseforsvar.

SINTEF sendte tidligere denne uka inn sin høringsuttalelse til Forsvarsdepartementet om utvalgets forslag. Vi uttrykte også vårt syn i en kronikk i Dagens Næringsliv 30.12.2016, gjengitt på Gemini.

Les hele innlegget

Sløyfer og slips i ROS analyser

De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.

Les hele innlegget

Mr Robot: en studie i social manipulation

Mr. Robot (2015) poster (bild från imdb.com)

Mr. Robot (2015) poster (bild från imdb.com)

Om du inte har hört om den amerikanske TV serien Mr Robot så rekommenderar jag att du tar en titt på denna! Till skillnad från tidigare TV serier och filmer som försökt skildra hacking (och som oftast får oss som jobbar med säkerhet att himla med ögonen och sucka djupt) så innehåller denna serien en lång rad med realistiska «hacks» som inte bara baserar sig på utnyttjandet av tekniska sårbarheter utan som också på ett smart och trovärdig sätt skildrar så kallad «social manipulation» (eng: social engineering). Serien har hyllats av både amerikanske och norska kritiker. Ryktet säger att till och med medlemmar i Anonymous tycker den är bra gjord.

Mr Robot visas i Sverige just nu och är tillgänglig på SVT Play (för de av oss som befinner oss i Sverige). När serien kommer till Norge vågar jag tyvärr inte säga något om.

Oppdatert: NRK3 sender serien fra 1. mars 2016!

Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger. Les hele innlegget

Tilpasningsdyktighet ved kriser

Charles DarwinFor at et system skal overleve et dataangrep må man være forberedt, oppdage angrepet, respondere og så tilpasse systemet slik at man ikke blir angrepet på samme måte på nytt. Gjennom en slik evolusjon får man robuste systemer som skal tåle både forventede og uforutsette hendelser. Dette er en egenskap vi på nynorsk kaller resilience, og nå i juni har vi oppstart av et treårig forskningsprosjekt innenfor dette området. Les hele innlegget

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Les hele innlegget

Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet

Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.

Les hele innlegget

Studie av beredskapsøvelser

ill.: Movimento Italia

ill.: Movimento Italia

De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?

Les hele innlegget

Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?

I1078183_successful dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.

I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.

Les hele innlegget

IT og Prosesskontroll: Løver og sebraer

zebralionDenne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
Les hele innlegget

Noen kjappe anbefalinger om risikoanalyse

I dag holdt jeg et kort innleggNEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.

Vi laget for et års tid siden en  veiledning  for risikoanalyse av AMS som inneholder følgende ting:
  • Aktivitetsliste for gjennomføring av analysen
  • Konsekvensdimensjoner og konsekvensklasser
  • Sannsynlighetsdimensjoner
  • Kort beskrivelse av relevante standarder
  • Støtte til kartlegging av informasjonsverdier
  • Liste over hendelsestyper
  • Hendelsestyper/uønskede hendelser i AMS
  • Liste over interessenter
  • Typiske sårbarheter og svakheter i IKT-systemer
  • Kort beskrivelse av relevante tiltak

Les hele innlegget

God sikkerhetsmåned!

God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!

Les hele innlegget

Risikovurderinger – hvordan kan vi gjøre dette bedre?

tu_kronikkJeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.

Les hele innlegget

Hvor sikkert er egentlig GPRS?

gprsamiMange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.

Les hele innlegget

Håndtering av IKT-sikkerhetsbrudd i kraftbransjen

Ordsky av forskningsplanen

Tidligere i år beskrev jeg planene for PhD-prosjektet mitt her i bloggen. Nå er en milepæl nådd – første fase av datainnsamling er avsluttet. 19 dybdeintervjuer er gjennomført i perioden juni-desember som en del av en kartlegging av hvordan IKT-sikkerhetsbrudd håndteres i kraftbransjen i dag.

Les hele innlegget