fredag 29. mars 2013

Min master thesis - Using netflows for slow portscan detection

Tenkte det var greit å dele masteroppgaven min her.  Selv om det begynner å bli noen år siden den ble ferdig, så tror jeg at den likevel kan komme til nytte for den som jobber med sikkerhetsovervåking og forsvar mot cyberangrep.

Using netflows for slow portscan detection.

Cyberforsvaret rekrutterer aktivt

Denne måneden har vært en travel måned for Cyberforsvaret, i alle fall når det gjelder rekruttering og mediedekning. Her er en samling artikler:

Første artikkel omhandler angrepet mot Telenor, og ikke Cyberforsvaret direkte. Telenor og Cyberforsvaret samarbeider om kompetanseheving og utveksling av informasjon. Dette er viktig for å oppnå effektiv beskyttelse og bekjempelse av cyberangrep.

Spionerte på Telenor-sjefer, tømte all e-post og datafiler

Digi har kjørt en serie artikler, der de har intervjuet sjef og studenter ved Forsvarets Ingeniørhøgskole. Artiklene presenterer skolen, og et militærteoretisk syn på cyberdomenet og cybervåpen.

Internett er et militært våpen
Du trenger et "sverd"
Vil ha debatt om cybervåpen

En rekke aviser har dekket Cyberforsvarets rekrutteringsaktiviteter på årets The Gathering

http://www.dagbladet.no/2012/09/19/nyheter/cyberforsvaret/forsvaret/sikkerhetspolitikk/krig/23490336/
http://www.dbtv.no/?vid=2258281031001
http://www.aftenposten.no/nyheter/Forsvaret-jakter-datanerder-pa-The-Gathering-7158547.html#.UVVaFatYTK0
http://www.aftenposten.no/digital/5000-datafrelste-har-inntatt-Hamar-7160330.html#.UVVaF6tYTK0
http://www.itavisen.no/914198/forsvaret-jakter-paa-tg-folket
http://www.gd.no/nyheter/article6575826.ece
http://www.gd.no/nyheter/article6540951.ece
http://e24.no/jobb/her-skal-it-bedriftene-finne-unge-genier/20350946?recommend=true

Langfredag og påskeaften vil Cyberforsvaret holde flere foredrag på The Gathering:
http://www.gathering.org/tg13/no/schedule/

torsdag 28. mars 2013

Min vurdering av den nasjonale strategien for informasjonssikkerhet

Jeg får vel begynne med en disclaimer. Denne vurderingen av den nasjonale strategien for informasjonssikkerhet er min, ikke Forsvarets eller Cyberforsvarets. Jeg uttaler meg med andre ord som fagmann, ikke representant for 
min arbeidsgiver. 

http://www.regjeringen.no/upload/FAD/Vedlegg/IKT-politikk/Nasjonal_strategi_infosikkerhet.pdf

Det var på høy tid at vi fikk en nasjonal strategi. Man husker kanskje strategiforslaget som Nasjonal sikkerhetsmyndighet la frem i 2010, og som ble lagt bort etter høringsrunden. Den gang skrev jeg høringsbrevet fra Forsvarets Sikkerhetsavdeling(1), og sammen med en rekke andre høringsinstanser, var vi kritiske til forslaget. 
Strategien som nå er gitt ut er koordinert mellom Justis- og beredskapsdepartementet, Forsvarsdepartementet, Samferdselsdepartementet og Fornyings-, administrasjons- og kirkedepartementet. Såvidt jeg vet er det sistnevnte departement som har ført det i pennen.

Vi har altså fått en strategi, men er det en god strategi? Fokuserer den på de riktige områdene, og har den tilstrekkelige ambisjoner og tydelige målbilder slik at vi faktisk kan få en positiv utvikling?

Innledningen er for alle praktiske formål gjentagelser og stadfesting av et etablert syn på dagens situasjon. Det vises til vår avhengighet til IKT, og jeg savner nok et kikk i krystallkulen. Ja, vi er alle enige om at vi er avhengige av IKT. Men hva om fem år? Ti? Femten? En strategi bør etter mitt syn se lengre frem, så få det heller være at tiltaksplanen har en kortere horisont. Som et minimum kunne man ha sett til regjeringens ambisjoner om digitalisering av kommunikasjon mellom innbyggerne, næringslivet og det offentlige(2).

Sikkerhetsutfordringene og trendene dekker et bredt område, og jeg synes at de områdene som er valgt ut er helt ok. Noe er kanskje overlappende som «Nye tjenesteplattformer og uoversiktelighet» og «Økt kompleksitet». Personlig savner jeg at strategien her tar opp behovet for fremskaffe og dele informasjon om trusselaktørene (etterretninger). Det er en trend blant sikkerhetsselskaper at slik informasjon tilbys, og det burde være et nasjonalt strategisk anliggende å legge bedre til rette for deling av slik informasjon.

Når det gjelder kapitelet om ansvarsdeling, er det som forventet. Det er kjent at sikkerhetsutfordringene i cyberspace utfordrer sektor- og ansvarsprinsippene, men jeg har ikke fanget opp noen reell vilje til å gjøre noe med dette. Jeg tror det er klokt å legge det overordnede ansvaret hos Justis- og beredskapsdepartementet (JD), fordi vi tross alt snakker om handlinger som trolig er kriminelle. Det er vanskelig for meg å se for meg håndtering av cyberhendelser, uten at det i stor grad involverer politiet. Det som imidlertid blir noe uklart er hvilken rolle NSM/NorCERT skal ha. De har per i dag en faglinje til JD, men det er Forsvarsdepartementet som har etatsstyringen. Strategien og tiltaksplanen bør være svært tydelig på hvilken organisering vi skal ha, slik at denne støtter opp under den faktiske ansvarsfordelingen. Å gi overordnede oppgaver til en virksomhet som ikke er gitt det overordnede ansvaret eller som har reell myndighet til å gripe inn virker ufornuftig.
Jeg savner også at strategien beskriver Forsvarets rolle og ansvar ved cyberhendelser som er så alvorlige at de kan true statssikkerheten. Eller som i det minste er i den øvre delen av krisespennet. Årets Crisis Management Exercise og Cyber Coalition øvelser i NATO viste med all tydelighet behovet for deployerbare og stridende cyberenheter. Disse er det bare Forsvaret som har.

Om de overordnede mål og strategiske prioriteringer:

1 Ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte 
Virker fornuftig. En må ha et styringssystem for informasjonssikkerhet. Det er imidlertid helt vesentlig at man velger riktig metode for risikovurderingene. Les hva jeg har skrevet om det tidligere: (3) og (4).

2 Styrke IKT-infrastrukturen
En fare her er at man går i retning av «sikkerhetsgodkjenning» av systemene. Dette vil føre til kraftig økte kostnader, økt tidsbruk i utviklings- og implementeringsfasen som igjen fører til at teknologien i større grad er utdatert når den tas i bruk. Glemte jeg å nevne at systemene heller ikke blir så sikre at cyberangrep blir umulig? Man viser til behovet for redundans, noe jeg heller ikke tror blir mulig fordi kostnadene vil øke. FFI forsker på Resilience, altså motstandsdyktighet, og det er et konsept som jeg tror har mer for seg enn å forsøke å kontruere «sikre» IKT-løsninger. Spesielt om en kombinerer dette med å konstruere forsvarbare IKT-løsninger. Se gjerne mitt whitepaper om arkitekturprinsipper for en forsvarbar infrastruktur her: (5)

3 Sørge for en felles tilnærming til informasjonssikkerhet i statsforvaltningen
Virker fornuftig, men delvis overlappende med første satsningsområde. Igjen er det fokus på å styrke beskyttelsen for IKT-løsningene, og lite om fokus på å fjerne trusselen.

4 Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser
Det største mangelen her er at strategien ikke har som en helt tydelig prioritering at informasjon om truslene, som virksomhetene kunne ha brukt til å beskytte seg selv, skal deles i mye større grad enn det som er tilfellet i dag. Offentlige myndigheter, primært NorCERT men også sektor-CERTene, burde vært pålagt å dele denne informasjonen med både privat næringsliv og øvrige offentlige etater. Vi burde her ha sett til USA som har en slikt lovforslag nå.
Jeg synes forøvrig at punktet er utydelig når det gjelder håndteringsansvar for alvorlige dataangrep, og kriminalitet på internett. Er det virksomheten selv? NorCERT? Politiet? Forsvaret er heller ikke nevnt her, bortsett fra som en sektor på linje med alle andre sektorer. 

5 Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet
Dette glir sammen med forrige satsningsområde, og det er etter min mening ufornuftig å dele dette i to punkter. En kan bli fristet til å tro at det er gjort for å tekkes eksisterende organisering mer enn en oppdeling basert på reelle forskjeller.

6 Kontinuerlig innsats for bevisstgjøring og kompetanseheving
Virker fornuftig, om enn noe tamt i sin beskrivelse.

7 Høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet
Dette er et viktig punkt, og det er synd at en legger seg på et så lavt ambisjonsnivå. Beskrivelsen bruker for mange dempere i språket (bør i stedet for skal). Forskning og utvikling er naturligvis aktiviteter som ser langt frem, og strategien burde etter mitt syn ha lagt til grunn noen ordentlig «hårete» ambisjoner. Hvor skal Norge vært best?

Avslutningsvis: Det er ingen overraskelse at ansvaret for gjennomføring legges til det enkelte departement og virksomhet. Heller ikke at tiltakene skal finansieres innen rammen av de økonomiske tildelingene.

Hovedinntrykket er at det er bra at vi har fått en strategi, men at den egentlig ikke er tydelig nok, eller går langt nok, i målbeskrivelsen. Sånn sett får jeg et inntrykk av at det mest handler om å konsolidere eksisterende strukturer, og at det sånn sett blir spiselig for de fleste. At vi kanskje ikke klarer å ta et sjumilssteg får så være, i det minste sitter alle stille i båten :)



(1) http://www.regjeringen.no/pages/2534053/Cybersikkerhet_svar-med-merknader_Forsvarets-sikkerhetstjeneste.pdf
(2) http://www.aftenposten.no/nyheter/Dropper-papirbrev_-alt-skal-bli-digitalt-6802539.html
(3) https://plus.google.com/111681706588280002123/posts/jSGMB4rAanh
(4) https://plus.google.com/111681706588280002123/posts/VnYBr5u2cvd
(5) https://plus.google.com/111681706588280002123/posts/bzdgbHsS8rN

Trusselorientert tilnærming til cybersikkerhet

http://threatpost.com/en_us/blogs/fbi-moves-identify-more-hackers-102912

Nok en artikkel som beskriver en trussel-orientert tilnærming til cybersikkerhet. 

Det som er interessant er at FBI tydeligvis ikke mener at såkalt attribusjon er så vanskelig at man bør la være. De fleste (teknikere) jeg snakker med bruker ordet attribusjon om det å identifisere personen/gruppen/aktøren som står bak et cyberangrep. De hevder, med rette, at det finnes så mange måter å skjule (den tekniske) opprinnelsen for angrepet. De hevder at det rett og slett er en umulig oppgave å identifisere den som står bak.
En etterforsker er trolig bedre utrustet til å vurdere (analyse/syntese) et større sett med "indikatorer", og vil derfor i større grad tenke at det vil la seg gjøre å identifisere vedkommende. Sånn sett er dette en mer korrekt bruk av begrepet attribusjon: 

The act of attributing or ascribing, as a quality,character, or function, to a thing or person, an effect to a cause. [1913 Webster]

En trussel-orientert tilnærming gjør deg i stand til å samle inn et større antall brikker i puslespillet, og vurdere disse på en strukturert måte. Da er ikke attribusjon bare en teoretisk mulighet, men høyst reelt og nødvendig for å kunne møte trusselaktøren med de mest hensiktsmessige virkemidlene.

Is attack the best defence?

Tidligere publisert på G+ i oktober:

http://letstalk.globalservices.bt.com/en/security/2012/09/is-attack-the-best-form-of-defence/

Denne artikkelen stiller spørsmålet "is attack the best defence"? Selv om artikkelen forsåvidt trekker opp noen interessante momenter, så er dette selvfølgelig feil spørsmål. Riktig spørsmål er "what is the point of defence without attack"?

Formålet med militære operasjoner er jo å påtvinge andre sin vilje. De væpnede styrker har mange forskjellige virkemidler, noen er defensive i sin natur mens andre er offensive. (Defence & Attack for å bruke terminologien fra artikkelen). En militær operasjon vil bruke mange slike virkemidler, satt sammen og synkronisert slik at man oppnår størst mulig effekt. 

Imidlertid har defensive og offensive virkemidler forskjellige grunnleggende egenskaper og begrensninger. Defensive virkemidler har som formål å forberede for og gi handlingsrom til offensive virkemidler. De har en helt åpenbar begrensning: de kan ikke oppnå annet enn å opprettholde status quo. Det er det maksimale vi kan oppnå. Å tenke sikkerhet i det digitale rom, der vi kun bruker defensive virkemidler, vil altså i beste fall sørge for at ingenting forandres. En annen egenskap med defensive virkemidler er at de i sin natur er reaktive. Om vi står overfor en potent motstander vil han til slutt slite ut det digitale forsvaret, fordi han har initiativet og våre ressurser ikke er uttømmende. Løsningen er ikke mer ressurser til defensive virkemidler, vi kan ikke betale oss ut av dette. 

Effektiv Cyber Defence må bruke begge typer virkemidler. Først da er det mulig å påvirke en trusselaktør, og å oppnå et effektivt forsvar mot alvorlige trusler mot våre interesser og virksomheter.

Cybersecurity and cyber war hysteria

Tidligere publisert på G+ oktober 2012:

http://www.crikey.com.au/2012/10/03/can-govts-ever-discuss-cybersecurity-without-going-over-the-top/

Denne artikkelen tiltrakk seg min oppmerksomhet, men dessverre tilfører den lite nytt til debatten. Kort oppsummert: Myndighetene er "dumme" fordi de overdriver cybertrusselen. 

I det korte perspektivet er det vanskelig å vite hvem som sitter med "det sanne bildet". Vi kan alle observere de åpenbare effektene av et cyberangrep, men hva med effektene som ikke er åpenbare? Hva med trusler som ble avverget pga god etterretning og effektivt forsvar mot slike angrep? Er disse åpenbare for blogosfæren? I det lengre perspektivet er det myndighetenes (Forsvarets) oppgave å se lengre frem, og bygge strukturer og kapasiteter som skal brukes dersom fremtidens trusler materialiserer seg. Kan vi virkelig si at en cyberkrig aldri vil bli utkjempet?
Si vis pacem, para bellum - If you want peace, prepare for war.

Det som kanskje er mest skuffende med denne type artikler, er at de sjelden diskuterer hva, om noe, som skiller nettopp cybersecurity og cyber war. Er det virkelig slik at dersom vi fjerner all staffasje, så handler det jo bare om cybersikkerhet? Noen mener dette. Jeg mener at de tar feil, og at grunnen til at man tror at alt egentlig bare er cybersikkerhet er at de fokuserer nesten bare på den tekniske dimensjonen. Hvis en bare ser på det tekniske, så kan jeg forestille meg at det er vanskelig å se forskjell. Man bruker gjerne det samme tekniske utstyret, som brannmurer, tilgangsstyring, overvåkingsutstyr, for å nevne noe. Forskjellene derimot, finner vi i hensikten og hjemmelsgrunnlaget for det en gjør. 

Hensikten med cybersikkerhet er å ivareta konfidensialitet, integritet og tilgjengelighet. Hjemmelsgrunnlaget finner vi i en rekke lover og forskrifter som f.eks. personopplysningsloven, sikkerhetsloven m.fl.
Hensikten med militære cyberoperasjoner er imidlertid å skape eller opprettholde egen handlefrihet i operasjonene. (Cyberoperasjoner er viktige fordi militære operasjoner er helt avhengig av informasjonsteknologi). Hjemmelsgrunnlaget finner vi IKKE i det samme lovverket, men i folkeretten og det lovverket som regulerer den militære aktiviteten. Det betyr at det er helt andre virkemidler, altså det vi bruker teknologien til, enn det vi har for cybersikkerhet. En cyberoperasjon er med andre ord en del av den makt Forsvaret kan utøve, når forutsetningene tillater det.

Så spørsmålet i slike artikler burde jo være: Vil det noen gang være slike forutsetninger? Vil et cyberangrep kunne sidestilles med væpnede angrep, og således utløse bruk av militær makt?

Det korte svaret er ja. Jeg anbefaler å lese "Håndbok i militær folkerett", men vent gjerne til den reviderte utgaven gis ut siden den på en enda bedre måte drøfter "cyber war".

Risko i cyberspace, del 2

Tidligere publisert på G+ i september 2012:

I forrige post argumenterte jeg for at metodene som ofte brukes i riskovurderinger er sterkt mangelfulle, og at de heller bidrar til å forhindre at vi får en oppfatning av den faktiske risikoen. Problemet er i hovedsak knyttet til at man blir tvunget til å angi en sannsynlighetsverdi for noe som enten ikke er stokastisk, eller hvor man rett og slett ikke har data som kan brukes til å angi sannsynlighet. Når det er sagt, det er heller ikke en enkel øvelse å angi konsekvensene av et angrep fordi kompleksiteten i dagens systemer gjør at årsakssammenhenger er vanskelige å se. 
Så hva kan vi gjøre? Her er mine tanker:

1. Det absolutt aller verste er typiske ROS-analyser som tar utgangspunkt i Risiko = Sannsynlighet x Konsekvens. De er ressurskrevende, sier svært sjelden noe som helst nyttig om faktisk risiko, og kan i ytterste konsekvens utarme egne ressurser på sikkerhetstiltak som ikke har noen effekt. 

2. Litt bedre er å erstatte sannsynlighetsvurderingen med en slags mulighetsanalyse. Jeg har sett eksempler på at sårbarhetsvurderingene beholdes as-is, og at man forsøker å modellere trusselen på en strukturert måte. Det betyr at man forsøker å si noe om trusselaktørens evne og vilje til å gjennomføre et angrep. (Jones, Qinetiq). Dette er bedre enn å gjette på et tall mellom 0 og 1, men uten etterretninger om faktiske trusselaktører blir det på en måte redusert til beskrivelser av "erketyper". "Lokale vinningskriminelle: Økonomisk motivert, evne til å forsere enkle fysiske sperretiltak. Ikke kapasitet til avanserte dataangrep. Mer interessert i selve datamaskinen enn informasjonen på den." Dette sier selvfølgelig lite om akkurat DIN virksomhet er spesielt utsatt for slike trusler. Likevel kan en slik fremgangsmåte peke ut noen fokusområder på et overordnet nivå. Hvilke type trusler er mest aktuelle for oss, hvordan bør vi innrette sikkerhetsorganiseringen, beredskapstiltakene osv.

3. Enda bedre er det om en har tilgang til etterretningsopplysninger om trusselaktører som opererer på de arenaene en selv opererer på. Dette skjer i noen grad, for noen typer trusselaktører. Politiet går noen ganger ut med informasjon om personer eller grupper som utgjør en spesiell trussel. Dette er informasjon som en kan bruke til å vurdere risiko. For cyberområdet har en aktører som Norsis, NorCERT, Telenor SOC og andre som bidrar til å produsere et trusselbilde som kan brukes til å vurdere cybertrusselen. I USA har man sett behovet for at etterretningsorganisasjonene må gi informasjon til sivil sektor, nettopp for at de skal bli i stand til å beskytte seg selv. Dette er en type informasjonsutveksling som har mange utfordringer knyttet til seg, men som trolig også har et stort potensiale.

4. Om en ikke har tilgang til gode etterretninger fra andre, så bør en fremskaffe disse selv. Gjennom å overvåke egen infrastruktur kan en både avdekke trender som kan være viktig for den mer overordnede sikkerhetsstyringen, og en kan avdekke og motvirke faktiske angrep. Dagens trusler karakteriseres av at de er fleksible (omgår sikkerhetsmekanismene dine), dynamiske (utvikler sitt repertoir) og uforutsigbare (Les gjerne Talebs "Black Swan"). 

Risikovurderingen bør derfor vurdere om du har kapabiliteter og kapasitet til å motstå den type trusselaktører som er mest relevant for deg. Er du riktig organisert. Har du riktig teknologi og tilgang til riktig informasjon? Har du tilstrekkelig myndighet? Er du tilstrekkelig trent på et bredt spekter av hendelser? Har du riktig kompetanse i teamet? I så fall er du trolig i stand til å oppdage og motvirke et bredt spekter av angrep.
I kjernen ligger det en endring i fokus. Fra forebyggende sikkerhetstiltak basert på statistisk prediksjon, til etterretningsdrevet risikohåndtering i en infrastruktur som er konstruert etter forsvarbare arkitekturprinsipper.

Risiko i cyberspace, del 1

Første gang publisert på G+ i august 2012:

I det siste har avisene gjentatt spørsmålet "Hvordan kunne de ha vurdert risikoen så feil?". Beredskapen, altså evnen til å forutse hva som kunne gå galt, hadde feilet. Det er mulig at ledere og andre har forsømt sine plikter, men jeg vil også hevde at det er noe grunnleggende galt med hvordan vi vurderer risiko. Innenfor mitt fagfelt, cybersikkerhet, ser vi akkurat de samme effektene. På tross av omfattende risikoanalyser, klarer man likevel ikke å beskytte seg mot cyberangrep. På tross av de enorme ressursene vi legger i å konstruere og operere sikre nettverk, blir vi likevel angrepet. Hvorfor er det slik? Spesialistene har jo kunnskap nok, så forklaringen kan ikke ligge der. Min påstand er at det er i selve metoden for risikoanalyse at vi feiler. 

En risikoanalyse skal avdekke risikoen knyttet til et tiltak, aktivitet, system eller situasjon. Hensikten er å skaffe seg et beslutningsgrunnlag, slik at vi kan unngå eller redusere risikoen nok til at vi kan akseptere den. I følge NS 5815 Krav til risikovurderinger, er risiko definert som "et uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket hendelse." Og her er vi allerede i kjernen av problemet med risikostyringen. 

For å forstå bakgrunnen for denne tenkningen rundt risikostyring, må vi tilbake til USA og Japan på 1950-tallet der Quality Management virkelig fikk fotfeste. William Edwards Deming, en amerikansk statistiker og professor ved The New York University, forbedret produksjonsprosesser og produksjonskvalitet gjennom blant annet statistiske metoder. Sentralt lå avvikshåndtering, nettop fordi en ikke ønsker avvik i produksjonen, enten det er snakk om biler, lyspærer eller harddisker. Ut fra Quality Management kom det en hel rekke metoder og verktøy som var sterkt medvirkende til å forbedre produksjon over hele verden. Så langt, alt bra.

Da jeg startet min yrkeskarriere som EDB-tekniker i Forsvaret tidlig på 90-tallet, snakket man allerede om risikoanalyser og sikkerhetshendelser i informasjonssystemene. Men den gang var sikkerhetshendelsene i stor grad knyttet til feil på utstyret. En harddisk kunne ryke, en telefonlinje kunne gå ned. Så langt, alt bra. 

Både avvikshåndtering i Quality Management og avvikshåndtering av harddisker som ryker, kan forutsies ved hjelp av statistiske metoder. Risiko = Sannsynlighet X Konsekvens. Hele poenget med å bruke denne "formelen" er at det vi skal angi risiko for har stokastiske egenskaper. Det vil si at det er et element av tilfeldighet som avgjør om harddisken skal ryke eller ikke. Noen husker sikkert at det ble oppgitt MTBF-verdier (Mean Time Between Failure) for enkelte datakomponenter. Så risikostyring i et slikt system er ganske enkelt, takket være Deming og hans kolleger. Om jeg har 1000 harddisker i serverparken min, så kan jeg takket være de statistiske metodene regne ut hvor mange av dem som vil ryke i løpet av et år. Det risikoreduserende tiltaket blir å kjøpe inn nok harddisker slik at de kan byttes ut fortløpende. Alle er fornøyd. 

Problemet er at dette ikke virker i dagens trusselbilde. Det som kanskje i hovedsak karakteriserer dagens cybertrusler er at aktørene blir mer avanserte, mer målrettet, mer dynamiske og mer uforutsigbare. En nasjonalstat som har en etterretningskampanje (duqu, flamer, gauss) angriper ikke tilfeldig. Disse har en omfattende og nøyaktig plan for sine angrep. Hacktivister har neppe like gode planer for sine angrep, men de kompenserer med en tydelig intensjon og identifisering av målet. Det er ikke tilfeldig at an gruppe som er mot hvalfangst angriper Norge fremfor Sveits. Poenget er at målrettede og villede angrep IKKE kan forutsies ved hjelp av statistisk prediksjon. Metodene som vi har benyttet for risikoanalyser så langt, virker ikke i denne nye situasjonen. De er tvert imot skadelige fordi vi blir presentert med et feil beslutningsgrunnlag, og dermed bruker opp ressursene på sikkerhetstiltak som har liten effekt. Vi kan ikke forutse cyberangrep ved hjelp av statistiske metoder, fordi cyberangrepene er ikke stokastiske!!

Risiko = Sannsynlighet X Konsekvens må ut av all undervisning som omhandler cybersikkerhet. 

Mine tanker om hva som bør inn kommer i neste innlegg

Drones

If drones are the future of warfare, the cyberdomain will certainly be the center of gravity.

http://www.wired.com/dangerroom/2013/03/navy-next-killer-drone/

Security awareness training

I agree with Schneiers view on security awareness training. It is hard enough for a security professional to know what browser to use this week, what filetypes to avoid after the latest 0-day or what techniques the adversaries fancy this month. Assuming that a non-professional will keep up to date with this is a mistake.
A more viable strategy would be to have a well trained cyber defence team, constantly adapting the policies and technical security measures to meet the current threat. A rudimentary knowledge, paired with the directive "If you experience something unusual, call this number", could prove sufficient as security awareness training for the non-professional.

The article:
http://www.schneier.com/blog/archives/2013/03/security_awaren_1.html

Arkitekturprinsipper for en forsvarbar infrastruktur

Jeg har skrevet et whitepaper om arkitekturprinsipper for en forsvarbar informasjonsinfrastruktur. Målgruppen er primært Forsvarets IKT-område, altså de som skal konstruere, drifte og beskytte informasjonssystemene. Utelukker likevel ikke at det kan være til nytte for andre. 

Bruk det fritt, men oppgi gjerne kilden.

Whitepaper om forsvarbar informasjonsinfrastruktur