Martin (@mrtn9), Eirik (@0xSV1), Alexander (@ErDetEnTing) og Rene (@ParticleVoid) følger opp respons fra lyttere, kommer med tips om hvem man skal følge på Twitter og hva slags kurs man bør ta, og diskuterer nyheter. Simula gir ikke opp rampelyset, ZeroLogon danser Samba, NIST reviserer ting og Citrix kaster glass i steinhus.
“Syntes dere undervurderer cyberforsikring. Vi er så vant til forsikringer at vi ikke tenker på det, men er det noen som kan risiko så er det dem. De stiller masse krav, krav det er feil eller umulig å legge i lovgivning, som dermed fører til bedre it sikkerhet.”
Jan Erik: “Hvis du/dere har tips angående hvem man kan følge i InfoSec sektoren på diverse plattformer så kanskje det kunne vært et fint innslag i en episode. Nå har jeg bare hørt den første, så godt mulig at dere har nevnt dette i senere caster”
“Simula–direktøren sier Smittestopp har tilfredsstilt alle kravene Amnesty har satt, med unntak av at data har blitt samlet inn om brukerne.”
Amnesty International has highlighted seven key principles that should guide the government’s decisions before a full roll-out of any contact tracing app:
Frivillig å installere appen, og kildekoden skal være tilgjengelig for granskning.
Begrenset omfang, all data skal brukes for å kontrollere spredningen av COVID-19, ikke noe annet.
Det må vitenskapelig bevises at det ikke er mulig å de-anonymisere data. ???
Appen må være i tråd med relevant lovgivning, med personvern fremst i fokus. Minst mulig data skal samles inn, og lagres sikkert.
Appen, datainnsamlingen og analyse av data må være under tilsyn av tredjepart.
Dataen og appen skal slettes så fort det ikke er bruk for dataene lenger.
Likhet og ikke-diskriminering. Dataen må ikke påvirke personer uforholdsmessig, og skal være tilgjengelig for alle, uavhengig av forskjellig tilgang til smarttelefoner
Det er nødvendig med økt profesjonalitet og tydelighet innen risikovurdering av forebyggende digital sikkerhet i et mer helhetlig perspektiv i Norge i dag. Virksomhetene der ute, som kjemper en kamp for å henge med i en raskt økende teknologiutvikling, med kostnadsdrivende kompetansekrav, trenger en profesjonell og kritisk sikkerhetsmyndighet som i tillegg til risikovurderinger også i et samarbeid med andre offentlige og private aktører kan bidra til gode felles nasjonale tjenester, tjenesteplattformer og IKT-infrastrukturer. Feks via:
en risikovurdering av departementenes ansvar håndtering på digital sikkerhet. Ikke en sikkerhetsrevisjon, men en risikovurdering av integrasjonen mellom sikkerhetsstyring og virksomhetsstyring, sett i lys av krav knyttet til sikkerhetsstyring etablert nå i senere tid.
Den andre risikovurderingen vi må klare å formulere på en åpen, offentlig og ryddig måte, er evnen til samvirke i hierarkiet av hendelses- og krisehåndtering skjeden fra lokale CSIRT-er til nasjonal krisehåndtering.
En risikovurdering av hvor gode er vi egentlig på å ta i bruk standarder, sette krav til bruk av nasjonale IKT-infrastrukturer, samt nasjonale digitale tjenester og tjenesteplattformer.
en vurdering av befolkningens, og samfunnets evne til å stå imot informasjons- og påvirkning operasjoner og konsekvensene dersom denne trusselen dessverre slår til. Og f.eks. sannsynlighet for påvirkning i forbindelse med valg, konsekvenser for tilliten til det offentlige blant innbyggere, samarbeidspartnere og allierte.
NSM fremholder flere viktige poeng som må hensyntas ved tjenesteutsetting - alle like viktige ved utsetting til nasjonale leverandører.
Hvis det er norsk jurisdiksjon og høyere sannsynlighet for fortsatt operativ evne i krise og krig som er den viktige forskjellen, må vi se nærmere på hvordan vi gjør det på hjemmebane først. Man har ingen åpenbar sikkerhetsgevinst av norske leverandører eller norsk jurisdiksjon.
En nasjonal skytjeneste, kanskje i Sikret Offentlig Nett (SON), høres ut som en god idé. Samtidig ville det vært lurt å ta ansvar for sentral kartlegging av verdikjeder, og utpeking av virksomhetene som skal skjermes, i stedet for å la det være opp til departementene.
En nasjonal strategi og et nasjonalt krafttak krever klarsyn, kunnskap og stø kurs. Dit må vi komme, men på veien hadde det vært fint om vi ikke skremte virksomheter som står for innovasjon og verdiskapning bort fra teknologi og løsninger som muliggjør nettopp dette.
Kunne tenke deg og være gjest? Send epost til podcast@5h3ll.sh
(War)Stories from the workplace
Martin fant en sårbar wordpress-plugin for litt siden. JWT token alg=none. “100+ active installations”. I havet av crappy wordpress-plugins, hvem skal man egentlig si ifra til?
Martin ønsker seg en Wordpress SOC/CERT som kan remote blokkere eller alarmere brukere av sårbare plugins som har blitt rapportert inn.
Evt stanse nye downloads av utdatert plugins
René: Det finnes så mange sertifiseringer og kurs, har 5h3ll noen anbefalinger eller tips til lytterne? Del gjerne erfaringer gode og dårlige.
Hvordan tilpasse informasjon fra amerikanske sertifiseringer til norske tjenester interesser etc. bruk av altinn, finn, nav, skatteetaten o.l.