Cybersecurity forskningsgruppe
De fleste er enige om at beredskapsøvelser er viktige. Det holder ikke med skriftlige planer for hva vi skal gjøre den dagen det smeller, da er vi avhengige av at vi vet hva vi skal gjøre, at vi evner å tenke kreativt og improvisere, og at vi greier å ta raske og riktige beslutninger. Hvis vi ikke øver, så får vi det heller ikke til i en krisesituasjon. Men hvordan kan vi best mulig øve på dette?
I
dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.
I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.
Denne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
I dag holdt jeg et kort innlegg på NEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.
For et par år siden ble vi spurt hva vi trodde de største utfordringene når det gjelder informasjonssikkerhet i kraftbransjen var. Nylig hentet vi svaret fram igjen, og vi må medgi at det meste av det vi sa fortsatt står ved lag.
Vi deltok denne uken på Transatlantic Science Week som ble arrangert av den norske ambassaden, Forskningsrådet, Kunnskapsdepartementet og Justisdepartementet i Washington DC 12.-13. november.
Har du ansvar for drift av vann- og avløpsanlegg, og lurer på hva du burde tenke på med hensyn til informasjonssikkerhet?
God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!
Jeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.
Mange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.
Tidligere i år beskrev jeg planene for PhD-prosjektet mitt her i bloggen. Nå er en milepæl nådd – første fase av datainnsamling er avsluttet. 19 dybdeintervjuer er gjennomført i perioden juni-desember som en del av en kartlegging av hvordan IKT-sikkerhetsbrudd håndteres i kraftbransjen i dag.
For et halv decennium siden påpekte vi at prosesskontrollmiljøer som olje- og gassindustrien fremstår som yndede mål for slemme mennesker. Så kom Stuxnet, og vi kunne si «hva var det vi sa«.
Rent vann og velfungerende kloakk er noe vi tar for gitt i Norge, på samme måte som luften vi puster i. De færreste har derfor noensinne lurt på hvor vannet deres er på et gitt tidspunkt (det er jo bare å åpne kranen), og hva som skjer etter at man har skylt toalettet er i hvert fall ikke vårt problem.
Tidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:
8.-9. mai er det duket for Sikkerhet og sårbarhet 2012! Dette er 10. år på rad at konferansen arrangeres, og programmet er nå klart. Konferansen arrangeres på Royal Garden Hotel i Trondheim, og den sosiale happeningen er – som vanlig(!) – en spennende overraskelse til deltakerne.
13. – 14. mars arrangerer Tekna seminar om Risiko og sårbarhet. Seminaret arrangeres i Oslo, og det tar opp flere temaer relater til IKT-sikkerhet. Blant annet skal jeg gi en introduksjon til sikkerhet i Smart Grids. Smart Grids er fremtidens energisystem. Vi ser en utvikling der kraftnettet blir mer intelligent, og bedre i stand til å utnytte ressurser effektivt. Men mer fjernstyring – og generelt mer IKT – åpner også opp for nye trusler. Dette foredraget vil gi et innblikk i IKT-relaterte trusler mot Smart Grids, og si noe om mulige konsekvenser av disse.
Fredag 6. januar holdt jeg et kort innlegg med tittelen «IKT og sikkerhet i vannsektoren: 
Hva kan gå galt?» ved Kursdagene på NTNU. I det følgene presenteres et sammendrag med nogå attåt.
Moderne vann- og avløpssystemer er fullstendig avhengige av prosesskontrollsystemer. Pumper og ventiler, sensorer og målere kontrolleres av mange av de samme enhetene som vi kjenner fra olje- og gassbransjen. I oljebransjen har vi latt oss overraske over hvor steilt fagmiljøene kan stå mot hverandre – prosessingeniører og IT-folk har vært beskrevet som «løver og sebraer»: De snakker ikke samme språk, og kan knapt la være å slite hverandre i filler.