Jump to content

Arturo Bandini

Medlemmer
  • Content Count

    15
  • Joined

  • Last visited

Community Reputation

11 :)

Recent Profile Visitors

139 profile views
  1. Vel... nå heter det NSMs grunnprinsipper for IKT sikkerhet da. Ingen bør la seg overraske over at disse i hovedsak handler om tekniske sikkerhetskrav og styringssystemer rundt dem. Det finnes en rekke arenaer der sikkerhetskultur behandles, NSM er en av mange som er (kanskje litt over-)aktive på dette feltet og Kai Røer er selv en av dem som holder foredrag om dette. Men her virker det som om han ikke vil at noen skal stille noen krav overhodet ut over det fagfeltet han selv tilbyr tjenester innen. Man kan jo spørre seg hvorfor? Det som er en mer interessant diskusjon er i hvor stor grad mange av de angrepene vi har sett som har foregått gjennom sosial manipulasjon etc som ville vært forhindret hvis NSMs grunnprinsipper var oppfylt i de ulike virksomhetene som ble angrepet, med både tekniske krav, styringssystemer, mitigerinkg etter (gode!) risikoanalyser etc. Dette skulle jeg gjerne hørt NSM fortelle om! De har jo tilgang på informasjon om mange av disse angrepene gjennom CERT funksjonen sin og har muligheten til å gjøre analyser av angrepene og se dem opp mot tiltakene i de ulike veiledningene de utgir. Når det gjelder selve innegget fra Røer, fremstår det som fullstendig uinteressant. Han kunne med fordel satt seg inn i saken før han gikk til pressen med kritikk av en konkurrent.
  2. På samme måte som folk ikke kommer til å bygge sikkerheten i bilene sine selv (et veldig godt bilde av situasjonen, kudos for den!), men overlate det til produsentene så vil de heller ikke la produsenten selv dokumentere og godkjenne at bilen tilfredsstiller sikkerhetsklassene i Euro NCAP. Det bruker man uavhengige eksperter til. Den britiske Cyber Essentials- ordningen baserer seg i hovedsak på selvdeklarasjon og er et blindspor hvis man ønsker økt sikkerhet. Enisa er vel de som har gjort mest på dette området de siste årene, men her henger Norske myndigheter håpløst bakpå. Å komme med en selvdeklarasjonsordning fra myndighetene i tillegg til de andre compliance- rammeverkene som allerede finnes virker helt bortkastet.
  3. Huh, dette hørtes veldig merkelig ut? Mener hun at de tre områdene hun nevner er de områdene der angrepene øker mest, muligens fra et lavt nivå til noe høyere, eller er dette de mest utsatte områdene nå og fremover i følge NSMs statistiske analyser (som hun jo referer til)? Man skulle jo tro at både helse, telekom, finans og i økende grad energisektoren er områder vi må forvente at blir mer utsatte i tiden fremover og områder der Norges sikkerhetsmyndighet maner til økt beredskap, den geopolitiske situasjonen tatt i betraktning. Jeg savner en utdypning av påstanden, eller var poenget å lage en lett fordøyelig liste med tre punkter og la konteksten ligge? I så fall tror jeg NSM burde være tydeligere med å forklare hva rollen deres egentlig er, for her er det lett å trå feil. Eller er det sånn at de sier noe av dette i en sammenheng, og noe annet i en annen sammenheng, da får jo de færreste med seg budskapet. Angrepene de viser til, med mindre jeg misforstår artikkelen fullstendig, så er det vel snakk om tjenestenektangrep angrep mot websider der tjenesteleveransen til de som er påvirket ikke har vært berørt. Hvis det er de største utfordringene NSM ser i sitt materiale er det jo et tegn på at ting egentlig står ganske bra til? Og det er jo et relativt håndterbart problem. Er det egentlig budskapet her? Jeg sitter igjen med flere spørsmål enn svar etter dette.
  4. Enig, og ONS svarer på hvordan de jobber med sikkerhet på både denne og tidligere konferanser.
  5. Det kan jo ikke være sånn at alle ulike konsulentfirma skal gå rundt og kunne kreve at alle konferanser innrettes sånn at deres bidrag blir tatt inn, alltid, hvis ikke går de til pressen? Sikkerhet er et viktig tema og her synes jeg ONS svarer greit for seg og de har naturligvis gjort sine vurderinger på hvilke tema som vil bli dekket og hvordan. Dette fremstår mer som sutring fra markedssjefen i Watchcom enn et nyttig innlegg om sikkerhet i energisektoren.
  6. Dette er en artig sak. Mange artister har en Grammy, men hvor mange har sin egen CVE? Noe lignende er rapportert for RAID servere tidligere:
  7. Det er veldig gode poenger artikkelforfatterne kommer med her. Det har ikke virket som om NSM har hatt noe fokus på skytjenester når de har snakket om drift av datasentre fra Norge, mulig de ikke har særlig kompetanse på området? Det er i alle fall svært lite konkret å finne av veiledninger om skytjenester på NSM sin webside. Kanskje vi må anta at NSM ikke snakker om skytjenester men drift av on-prem systemer når de snakker om behovet for regulering av outsourcing og drift av datasentre utenfor Norge?
  8. Dette er en interresant sak. Det er noe spekulasjoner rundt utbredelsen av dette, forskerne sier jo bare at de har funnet noen tilfeller av dette i noen av nøklene de har undersøkt. Slike positive funn er det grunn til å ta på alvor. Saken viser hvor viktig det er å verifisere hvordan nøkler håndteres i krypto. Hvis man for eksempel bare hevder compliance ved å si at man følger en standard for krypto så kan jo det være man følger en standard som ETSI TS 102 176-1 som ikke er presis nok, og bare gir eksempler. I en sånn situasjon ville man kunne være sårbar for dette. Og sett i lys av funnene til forskerne er det ikke utenkelig at flere er det.
  9. Det er litt vanskelig å få tak på hva NSM mener problemet er. Er man bekymret for alt utstyr som er produsert i Kina, det er i og for seg greit men da må man også innse at det har store ringvirkninger. Da må det ganske drastiske tiltak til. Eller har de faktisk kunnskap om at sikkerheten til utstyret fra Hikvision er problematisk? Det virker jo ikke sånn siden NSM har sikkerhetsgodkjent utstyret gjennom den åpne ordningen sin. https://sertit.no/sertifiserte-produkter/hikvision-network-camera-series-article2248-1791.html Sett i lys av dette er jo det Tolletaten sier ikke helt urimelig.
  10. Jeg klarte ikke helt å la det ligge så jeg leste artikkelen igjen, og det står da vitterlig her i klartekst at Hikvision er forbudt i Sør Korea på grunn av forfalskede testrapporter? Er det sant? Nei, det er det ikke! Det var et problem at det (Amerikanske) firmaet Hikvision for en tid tilbake benyttet for å vise at de er compliant med det Koreanske radioutstyrsdirektivet (tilsvarende Directive 2014/53/EU for EU) benyttet et lokalt kontor som ikke var en del av akkrediteringsscopet for radiodirektivet i Sør Korea. De (det amerikanske radioutstyrs-compliance firmaet altså) har sikkert brukt sikker samme sjappa for de fleste markeder for denne produsenten uten problemer. Og denne non-compliance blunderen fikk Hikvision på pungen for ved at de ikke fikk selge utrsyret sitt i Korea i ett år. Men her er en koreansk nettbutikk som selger hikvision. Og her er en. etc Dette er en helt normal, om noe streng, myndighetsreaksjon og sikkert noe produsenten har lært av. Men å skrive at de er forbudt på grunn av forfalskede testrapporter, det er en så kraftig overdrivelse at det er vanskelig å skille fra ren ljug og grenser til propaganda. Etter hva jeg kan se så er det i hovedsak to land hvor Hikvision ikke selges, det er USA og Australia men det selges for eksempel uten hindringer i alle de andre Five Eyes nasjonene (Canada, UK, New Zealand) og stort sett over alt ellers ser det ut som. Hvor er det journalisten egentlig har funnet at dette faktisk ikke selges på grunn av at det er forbudt (utenom USA og AU da)? Ville vært interessant å høre og relativt enkelt å finne ut av! Alt dette er lett tilgjengelig informasjon for den som bare våger å google lite grann.
  11. Det er som denne artikkelen påpeker litt rart at alle tilfeller former for sikkerhetshull som kan utgjøre en bakdør omtales som plantet i ondsinnet hensikt hvis produktet kommer fra øst, mens hvis eksakt det samme problemet oppstår i noe fra vest så er det bare et uhell i produksjon. Selv om begge patches, blir det ene problemet oppfattet som ondsinnet og det andre godartet. Dette er ren Trumpisme og understøttelse av hans handelskrig. Det er dumt at antatt liberale europeiske medier fortsetter å bygge oppunder dette da vi som sitter midt i skuddlinjen har lite å tjene på dette. Artikkelen fra digi går ganske langt i å antyde at Hikvision er ulovlig å selge i Danmark, noe som naturligvis ikke riktig. Med er svært enkelt googlesøk finner jeg på under et minutt i alle fall tre danske nettbutikker som selger Hikvision. Det er kjent at det Danske pensjonsfondet for akademikere har solgt sine aksjer i Hikvision. Det er noe ganske annet. Jeg skulle ønske vår egen frie presse så på tilgjengelige fakta på bakken i stedet før å være ærendegutter for de mest konservative og proteksjonistiske delene av USA. Kom med fakta, ikke spekulasjoner!
  12. Det var jo dette man med den nye sikkerhetsloven og ikke minst forskriften var ment å skulle fange opp gjennom å definere såkalte Grunnleggende Nasjonale Funksjoner, GNF-er og ansvaret for utpekingen ligger til det enkelte departement. Det fremkommer ikke her hva NSM mener problemet er, mener de at departmenetene er for lite flinke til å utpeke disse GNF-ene eller mener de at forskriftene til sikkerhetsloven ikke fungerer eller at den er uklar?
×
×
  • Create New...