Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?
Smartgridkonferansen 2013
10. og 11. september går Smartgridkonferansen av stabelen i Trondheim. Konferansen dekker bredt, og tar for seg politikk og rammevilkår, status på prosjekter innen området både i næringslivet og innen forskningen, og hva som skjer framover på teknologi. Dag 2 er det satt av en sesjon til personvern og informasjonssikkerhet. I denne sesjonen vil blant annet undertegnede gi en presentasjon av det arbeidet vi i SINTEF gjør på risikovurdering i regi av DeVID-prosjektet.
Säkerhet som ett försäljningsargument i molnet
Cloud computing är ett av de hetaste begreppen inom IT branschen och säkerhet är en av de mest omdiskuterade och debatterade osäkerhetsmomenten när ett företag överväger att använda sig av så kallade molntjänster (norsk: skytjenester). Men det är viktigt att vara medveten om att den som använder en molntjänst förlorar kontrollen över var och hur data lagras och processeras (vilket i och för sig kan vara både på gott och ont).
Sikkerhet i flere kanaler
Ja, men hva er risikoen for det?
Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?
Trusler mot strømmåleren
På smartgridkonferansen 12. september 2012 overleverte vi en rapport til NTE og Telenor som identifiserer 30 trusler mot strømmålere, og beskriver fem potensielle angrep relatert til Avanserte Målestystemer (AMS). Rapporten har blitt til i samarbeid med Telenor (som har finansiert arbeidet) og NTE og deres live-lab, DemoSteinkjer (som har bidratt med faglig input). Aidon, som er en leverandør av målere, har også bidratt med informasjon om hvordan AMS-systemer fungerer. Mange av truslene er relevante for de fleste typer av målere, og rapporten kan ikke brukes til å rangere ulike teknologier opp mot hverandre når det kommer til sikkerhet.
Identitetshåndtering og smartgrid-sikkerhet på ISF-konferansen
Jostein Jensen og Maria B. Line skal holde foredrag på ISF høstkonferansen. Jostein skal snakke om identitetshåndtering; praktisk anvendelse av federering, og Maria har igjen sikkerhet i smartgrid på dagsorden, denne gang med tittelen “Få naboen til å betale strømmen din.” ISF høstkonferansen avholdes 3.-5. september i Larvik.
AMS-sikkerhet i media
Risikovurderingen av AMS som vi har utført for NVE, har vekket interesse i flere norske medier den siste uka. Teknisk Ukeblad slo det opp som forsidesak, og NRK Trøndelag har hatt radiointervju og laget nyhetssak på nett.
Det er scenarioet med hackere som kan mørklegger større områder som trekkes fram, det som vi har omtalt som det verst tenkelige scenarioet i rapporten.
Risikovurdering av AMS
SINTEF har utført en risikovurdering av AMS – avanserte måle- og styringssystemer – for Norges vassdrags- og energidirektorat (NVE). AMS innebærer automatisk strømmåleravlesning hver time, og er et steg på veien mot Smart Grids.
Risikovurderingen er på et overordnet nivå, og hvert enkelt nettselskap er ansvarlig for å utarbeide egne risikovurderinger for sine spesifikke løsninger.