IT og Prosesskontroll: Løver og sebraer

zebralionDenne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.

Noen kjappe anbefalinger om risikoanalyse

I dag holdt jeg et kort innleggNEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.

Vi laget for et års tid siden en  veiledning  for risikoanalyse av AMS som inneholder følgende ting:
  • Aktivitetsliste for gjennomføring av analysen
  • Konsekvensdimensjoner og konsekvensklasser
  • Sannsynlighetsdimensjoner
  • Kort beskrivelse av relevante standarder
  • Støtte til kartlegging av informasjonsverdier
  • Liste over hendelsestyper
  • Hendelsestyper/uønskede hendelser i AMS
  • Liste over interessenter
  • Typiske sårbarheter og svakheter i IKT-systemer
  • Kort beskrivelse av relevante tiltak

Informasjonssikkerhet i kraftbransjen – hva er de største utfordringene framover?

For et par år siden ble vi spurt hva vi trodde de største utfordringene når det gjelder informasjonssikkerhet i kraftbransjen var. Nylig hentet vi svaret fram igjen, og vi må medgi at det meste av det vi sa fortsatt står ved lag.

God sikkerhetsmåned!

God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!

Risikovurderinger – hvordan kan vi gjøre dette bedre?

tu_kronikkJeg tror de fleste sikkerhetseksperter er enige i at det å gjennomføre risikovurderinger er helt sentralt for å oppnå god og kostnadseffektiv sikkerhet. Det å gjennomføre risikovurderinger er også ofte et krav, enten fra lovverk eller standarder. Det finnes en hel mengde av metoder og rammeverk man kan benytte, og konsulentselskaper tilbyr gjerne sin støtte til å hjelpe til med å gjøre vurderinger av risiko. Det gjør også vi på SINTEF. Men som forskere er vi også opptatt av å fremskaffe ny kunnskap om hva som fungerer og ikke når det gjelder gjennomføring av slike analyser, slik at metodene som brukes kan bli bedre.

Hvor sikkert er egentlig GPRS?

gprsamiMange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.

Håndtering av IKT-sikkerhetsbrudd i kraftbransjen

Ordsky av forskningsplanen

Tidligere i år beskrev jeg planene for PhD-prosjektet mitt her i bloggen. Nå er en milepæl nådd – første fase av datainnsamling er avsluttet. 19 dybdeintervjuer er gjennomført i perioden juni-desember som en del av en kartlegging av hvordan IKT-sikkerhetsbrudd håndteres i kraftbransjen i dag.

Vannet ditt er sikkert hos oss

Rent vann og velfungerende kloakk er noe vi tar for gitt i Norge, på samme måte som luften vi puster i. De færreste har derfor noensinne lurt på hvor vannet deres er på et gitt tidspunkt (det er jo bare å åpne kranen), og hva som skjer etter at man har skylt toalettet er i hvert fall ikke vårt problem.

SmartGrid og sikkerhet – en kort innføring

Foredrag om sikkerhet i smartgridTidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:

  • Hva smartgrid er og hvorfor vi ønsker smartgrid
  • Status for arbeidet med smartgrid i Norge
  • Hvilke informasjonssikkerhetsutfordringer man har i smartgrid
  • Om det er noen forskjell på sikkerhet i smartgrid og sikkerhet i andre typer systemer

Vårens vakreste eventyr – Sikkerhet og sårbarhet 2012

8.-9. mai er det duket for Sikkerhet og sårbarhet 2012! Dette er 10. år på rad at konferansen arrangeres, og programmet er nå klart. Konferansen arrangeres på Royal Garden Hotel i Trondheim, og den sosiale happeningen er – som vanlig(!) – en spennende overraskelse til deltakerne.

Lyst til å vite mer om Smart Grid og sikkerhet?

13. – 14. mars arrangerer Tekna seminar om Risiko og sårbarhet. Seminaret arrangeres i Oslo, og det tar opp flere temaer relater til IKT-sikkerhet. Blant annet skal jeg gi en introduksjon til sikkerhet i Smart Grids. Smart Grids er fremtidens energisystem. Vi ser en utvikling der kraftnettet blir mer intelligent, og bedre i stand til å utnytte ressurser effektivt. Men mer fjernstyring – og generelt mer IKT – åpner også opp for nye trusler. Dette foredraget vil gi et innblikk i IKT-relaterte  trusler mot Smart Grids, og si noe om mulige konsekvenser av disse.

Vann, IKT, og sikkerhet: En giftig blanding?

Fredag 6. januar holdt jeg et kort innlegg med tittelen “IKT og sikkerhet i vannsektoren: Hva kan gå galt?” ved Kursdagene på NTNU. I det følgene presenteres et sammendrag med nogå attåt.

Moderne vann- og avløpssystemer er fullstendig avhengige av prosesskontrollsystemer. Pumper og ventiler, sensorer og målere kontrolleres av mange av de samme enhetene som vi kjenner fra olje- og gassbransjen. I oljebransjen har vi latt oss overraske over hvor steilt fagmiljøene kan stå mot hverandre – prosessingeniører og IT-folk har vært beskrevet som “løver og sebraer”: De snakker ikke samme språk, og kan knapt la være å slite hverandre i filler.