Digitalforum våren 2013 om digitutvalget og bredbånd i Norge
Informasjonssikkerhet og personvern: Hva må vi tenke på ved tilgjengeliggjøring av data?
1. SINTEF
IKT
C-‐ITS,
Teknologidagene
2015
1
Marie
Moe,
PhD,
Forsker
ved
SINTEF
IKT,
Systemutvikling
og
sikkerhet
Informasjonssikkerhet
og
personvern:
Hva
må
vi
tenke
på
ved
.lgjengeliggjøring
av
data?
@MarieGMoe
@SINTEF_Infosec
2. SINTEF
IKT
• Bakgrunn:
Bruk
av
åpne
data
Nl
C-‐ITS
• Cybersikkerhet:
Hva
kan
gå
galt?
• Noen
mulige
kjøreregler
2
Agenda
3. SINTEF
IKT
Åpne
data
og
C-‐ITS
3
• Bedre
fremkommelighet
• Bedre
publikumstjenester
• Bedre
planlegging
og
transportmodeller
• Miljøgevinst
• Bedre
sikkerhet
Store
muligheter,
men
vi
må
huske
informasjonssikkerhet!
4. SINTEF
IKT
Hvilken
telefon
er
smartest?
Foto:
www.colourbox.com
-‐
Når
det
gjelder
sikkerhet?
5. SINTEF
IKT
KooperaNve
Intelligente
Transportsystemer:
Designes
for
å
øke
fysisk
sikkerhet
og
effekNvitet
Åpner
dermed
opp
for
nye
angrepsflater
i
cyberdomenet…
Smarte
systemer
snakker
med
hverandre
og
er
på
Interne!
6. SINTEF
IKT
Hva
om
vi
blir
avhengige
av
korrekt
og
.lgjengelig
data
for
å
sikre
trygg
trafikkavvikling?
• DoS-‐angrep
på
NVDB
som
brukes
av
selvkjørende
biler
• Terror-‐angrep
ved
hjelp
av
forfalskning
av
data
som
styrer
tog
eller
bane
Hva
med
personvernet?
• Målreede
angrep
på
utvalgte
personer
ved
hjelp
av
uautorisert
Nlgang
Nl
videostrømmer
og
annen
innsamlet
data
med
sporbarhet
6
Åpner
åpne
data
opp
for
angrep?
7. SINTEF
IKT
• Vår
avhengighet
av
teknologi
øker
raskere
enn
vår
evne
Nl
å
sikre
teknologien
• Vi
trenger
mer
forskning
på
dee!
• Lovgivingen
henger
eer
7
Vi
er
ikke
klare
Nl
å
møte
ubordringene
18. SINTEF
IKT
Ubordringer
• Proprietære
løsninger
uten
velkjente
og
standardiserte
protokoller
• Masseprodusert
elektronikk
hvor
det
ikke
lønner
seg
å
investere
i
sikkerhetsmekanismer
• Sikkerhetsmekanismer
er
Nlstede,
men
vanskelige
å
konfigurere
eller
ikke
slå
på
som
standard
• Standard
eller
hardkodede
passord,
dårlig
nøkkelhåndtering
• Ikke
implementert
NlfredssNllende
mekanismer
eller
ruNner
for
sogware-‐
oppdatering
• Det
fysiske
produktet
har
lang
leveNd
og
blir
hengende
eer
i
forhold
Nl
nye
sikkerhetsmekanismer
og
utviklingen
i
trusselbildet
19. SINTEF
IKT
² Safety-‐By-‐Design
² Tredjeparts
samarbeid
² Bevissikring
² Sikkerhetsoppdateringer
² Segmentering
og
isolering
19
Noen
mulige
kjøreregler
ü Innse
at
det
vil
gå
galt
og
planlegg
håndtering
ü Kjenn
dine
allierte
før
det
går
galt
ü Finn
problemet
og
lær
av
dine
feil
ü Ta
tak
i
hendelsen
og
fiks
problemet
ü Unngå
at
problemet
påvirker
flere
deler
av
systemet
Oversa
fra:
hps://www.iamthecavalry.org/domains/automoNve/5star/
20. SINTEF
IKT
Connec.ons
and
Ongoing
Collabora.ons
5-‐Star
Framework
5-‐Star
Capabili.es
« Safety
by
Design
–
AnNcipate
failure
and
plan
miNgaNon
« Third-‐Party
Collabora.on
–
Engage
willing
allies
« Evidence
Capture
–
Observe
and
learn
from
failure
« Security
Updates
–
Respond
quickly
to
issues
discovered
« Segmenta.on
&
Isola.on
–
Prevent
cascading
failure
Addressing
AutomoNve
Cyber
Systems
AutomoNve
Engineers
Security
Researchers
Policy
Makers
Insurance
Analysts
Accident
InvesNgators
Standards
OrganizaNons
hps://www.iamthecavalry.org/auto/5star/