Husk å tenke på informasjonssikkerhet når du «sourcer»!

shoppingPå lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.

Les hele innlegget

Ukens myte: Vi trenger ikke sikkerhet

Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn. Les hele innlegget

Safe Harbour underkjent

safe-harbourTirsdag 6. oktober utstedte EU-domstolen en pressemelding om Safe Harbour-ordningen fra juli 2000: «[…] Domstolen erklærer Safe Harbour-beslutningen [av kommisjonen i 2000] ugyldig». Beslutningen ønskes velkommen av forbrukerorganisasjoner, men reiser en del spørsmål for bedrifter som benytter seg av amerikanske netttjenester.

Les hele innlegget

Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger. Les hele innlegget

Velferdsteknologi, sikkerhet og personvern

GPS for dementeSINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.

Les hele innlegget

Sjekkliste for sikkerhet i skytjenester

cloudsecVi har publisert en rapport som kan være til hjelp for deg som vurderer å ta i bruk nettskyen!

Rapporten «Cloud Security Requirements» (som du laster ned gratis her) inneholder nemlig en sjekkliste som du kan bruke til å evaluere sikkerhet og personvern i offentlige nettskytjenester, og til å stille krav.

Sjekklisten benytter vi selv i forbindelse med risikoanalyser av IT-systemer/applikasjoner, og nå vil vi gjerne at enda flere tar den i bruk.

Les hele innlegget

Ukas filmanbefaling: Disconnect

Bilde fra imdb.com

Bilde fra imdb.com

Det finnes mange eksempler på filmer hvor informasjonssikkerhet er en sentral ingrediens, men realismen i dem ikke henger helt på greip. Heldigvis finnes det unntak. Jeg så nylig filmen Disconnect fra 2012, og fant den god, realistisk og tankevekkende. Teknologien som brukes i filmen er omtrent den samme som vi omgir oss med i dag, og menneskene er ordinære som folk flest – uten superkrefter eller andre spesielle talenter. Den blir heller ikke kjedelig av den grunn, og er en vekker for både barn og vokse som tilbringer litt eller mye tid online. Les hele innlegget

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund

Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen. Les hele innlegget

NordSec 2014

Capture NordsecDen 15-17 oktober så arrangeras, för nittonde året i rad, «The Nordic Conference on Security IT Systems (NordSec)» i Tromsø. I år har konferensen fokus på «Security and Privacy for Cloud Computing and Big Data». Årets program innehåller en mix av intressanta presentationer och föreläsningar om allt från sikkerhet og personvern, angrepp och forsvar, nettverkssikkerhet og kryptering.

Program och anmälan finner du här.

Väl mött i Tromsø!

Interessert i nettsky? Få litt påfyll før ferien!

Ferien står for døren, men før du kler på deg badedrakta og skyene forsvinner helt (forhåpentligvis), gir vi deg muligheten til å få litt faglig påfyll samt en gratis lunsj.

Besøk oss i Trondheim 20. juni, og bli med på workshop om sikkerhet, risiko og tillit i nettskyen!

Les hele innlegget

Forglem-meg-ei eller glem-meg-nå

forglem-meg-eiNå skal retten til å bli glemt forsterkes!

Googler du ditt eget navn av og til? Blir du overrasket når du ser gamle synder dukke opp uten at du har noen mulighet til å gjøre noe med det?

I vår digitaliserte verden har personopplysninger stor verdi. Bare fra de rundt én milliard smarttelefonbrukerne genereres det enorme mengder personlige data som kan kobles sammen og lenkes til individer. Dette omfatter data vi har gitt fra oss frivillig, samt det andre publiserer om oss og de elektroniske fotsporene vi etterlater oss når vi anvender ulike typer internettbaserte tjenester. Den kunnskapen som oppstår når man lenker sammen tidligere separerte data er uvurderlig for enkelte bransjer, og bidrar til at de kan skape innovative, individualiserte tjenester, for eksempel persontilpassede søk, annonser og nyheter.
Les hele innlegget

Mobil-apper og deres tilganger – hva er risikoen?

android-money-permissionPå mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.

Les hele innlegget

Nytt fra Data Protection Day 2014

BBdECnUCMAADYmtEU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en «Data Protection Day» med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.

Les hele innlegget

Seminar 13. november: Håndtering av data fra bolig

smart-home-dataPå vegne av forskningsprosjektet Safer@Home ønsker vi velkommen til seminar/dialogmøte, onsdag 13. november: «Hvordan håndtere alle data fra en bolig på en god måte?».

Fra arbeid med velferdsteknologi ser vi mye utstyr som plasseres i private boliger og samler data av ulike slag. Også i forbindelse med smarte strømmålere – og «smarte hjem» generelt – gjør det samme seg gjeldende; at dataene ikke bare samles inn, men ofte sendes ut av den private boligen – til offentlige eller private tjenesteleverandører. Vi ønsker å invitere til diskusjon om hvordan best forholde oss til dette i tiden framover, når tjenestelaget blir utviklet og utbredt i norske hjem.

Les hele innlegget

Innebygd personvern i praksis for app-utviklere

iphone-app-permissions-locationHva skal en lommelykt-app med tilganger til både kontaktliste og Internett-tilkobling? I et innlegg om Windows 8.1, har vi omtalt hvordan operativsystemet tillater brukeren å skru av og på ulike tilganger på app-nivå, for eksempel lokasjon, kamera og mikrofon. IOS7 har også en del muligheter for å styre dette, som på bildet til høyre. Nå ser dessuten det samme til å komme i Android, ettersom versjon 4.3 (i det skjulte) muliggjør slike blokkeringer via en egen app. Android blir dessverre liggende etter her, etter å ha fjernet svært lovende funksjonalitet som ble først sluppet ved en glipp.

Men hva er konsekvensene for deg som utvikler apps? Hva skjer med brukeropplevelsen dersom mange tilganger blir skrudd av, men brukeren fremdeles vil bruke appen din? Og hva skjer med forretningsmodellen for gratis-apper?

Les hele innlegget

Utfordringer for ansvarliggjøring i nettskyen

accountability-challengesIngen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre.  Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services. Les hele innlegget

Usikkert sommervær, men sikker PC

stylish_sun5

ill: investorsinpeoplescotland. wordpress.com

Ferietider og stort sett fri, men det er mange som likevel ikke er helt offline. Mobiltelefonen er med, kanskje et og annet nettbrett eller en PC, og noen har også med seg jobb-PCen på tur. Med noen enkle forholdsregler kan du unngå mange kjente sikkerhetsproblemer.

Les hele innlegget