Sløyfer og slips i ROS analyser

De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.

Les hele innlegget

Cyberforsikring – hva vet vi fra forskningen?

report-frontpageDet å kjøpe cyberforsikring er et mulig tiltak for å håndtere risiko i en virksomhet. Det kan imidlertid være krevende å vurdere cyberforsikring opp mot andre tiltak: Når bør man velge å forsikre, og når bør man heller gå for andre strategier? Vi har laget en rapport som oppsummerer forskningen på cyberforsikring som en risikohåndteringsstrategi.

Les hele innlegget

Velferdsteknologi, sikkerhet og personvern

GPS for dementeSINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.

Les hele innlegget

Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Les hele innlegget

Bli med på seminar om risiko og forsyningssikkerhet i det kombinerte IKT- og kraftsystemet

Velkommen til seminar 16. desember på Gardermoen kl. 10.00 til 16.00! SINTEF inviterer til et seminar om driftssikkerhet i kraftnettet, med hovedvekt på gjensidige avhengigheter mellom kraftnettet og IKT-systemer for vern, kontroll og automatisering. Seminaret er tverrfaglig og vi inviterer aktører fra både kraft- og IKT-miljøer til å delta. SINTEF Energi og SINTEF IKT står sammen som arrangører.

Les hele innlegget

Informasjonssikkerhet – hvor trykker skoen?

Faktaark DifiSINTEF har, på oppdrag fra Difi, kartlagt behovet hos statsforvaltningen når det gjelder støtte til arbeidet med informasjonssikkerhet. Kartleggingen ble gjennomført ved hjelp av fokusgrupper der til sammen 18 virksomheter var representert. Gruppene diskuterte hvordan informasjonssikkerhetsarbeidet gjøres i dag, samt hvilke behov de ser framover. I tillegg ble det gjennomført en spørreundersøkelse knyttet til bruk av styringssystem for informasjonssikkerhet. Kartleggingen er ment som et grunnlag for Difi til å gjøre prioriteringer i deres arbeid.

Les hele innlegget

Mobil-apper og deres tilganger – hva er risikoen?

android-money-permissionPå mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.

Les hele innlegget

Kortsvindel – er det nødvendigvis din skyld?

credit-card-scamNå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?

Les hele innlegget

Bedriftsinformasjon i Prism – en mulighet for industrispionasje

Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?

Les hele innlegget

Usikkert sommervær, men sikker PC

stylish_sun5

ill: investorsinpeoplescotland. wordpress.com

Ferietider og stort sett fri, men det er mange som likevel ikke er helt offline. Mobiltelefonen er med, kanskje et og annet nettbrett eller en PC, og noen har også med seg jobb-PCen på tur. Med noen enkle forholdsregler kan du unngå mange kjente sikkerhetsproblemer.

Les hele innlegget

Sol, sand og sikkerhet

Vi er med på å arrangere en vårskole innenfor temaet «Trustworthy & Secure Service Composition», og inviterer herved studenter, forskere og andre interesserte til å komme til Málaga (Spania) den siste uka i mai. Organisatorer er Málaga Universitet, IFIP WG 11.11 og EU-prosjektene Aniketos, Choreos og NESSoS.

Les hele innlegget

Hvorfor sikkerhetssystemer aldri skal være hemmelige

Hver gang noen sier at sikkerhetsmekanismene de bruker må være hemmelige for å være sikre, er det grunn til å være skeptisk. For, hvis det faktisk er sant at de må være hemmelige, så er de heller ikke sikre.

Det er et grunnleggende prinsipp innen informasjonssikkerhet som sier at man må anta at «angriperen vet alt om systemet», som kan sees på som en generalisering av Kerckhoffs berømte prinsipp.  Men hvorfor er det slik? Hvorfor skal vi på død og liv betrakte angripere som orakler som kan alt? Det kan da virkelig ikke være nødvendig? Eller?

Les hele innlegget

Ja, men hva er risikoen for det?

Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?

Les hele innlegget