Recently in IT-Sikkerhed Category
Well it seems that my thesis gets to live on a bit longer. Last thursday I presented my work to the security-community at IBM. Despite early forecasts of 50 people attending the presentaion not alot turned up but I actually think that helped the discussion.
Because the ones that did turn up were very dedicated and the community had a lot of good discussions about some of the topics I chose to present.
Hot topics were especially: Semantic model; Perimeter model; and to what extend we should expect to see a "real time" SOA.
I learned something and I'm sure they also did!
You can get the presentation Here
Because the ones that did turn up were very dedicated and the community had a lot of good discussions about some of the topics I chose to present.
Hot topics were especially: Semantic model; Perimeter model; and to what extend we should expect to see a "real time" SOA.
I learned something and I'm sure they also did!
You can get the presentation Here
Having dispersed pieces of information stored around the internet is one thing, but having crucial information like address and telephone numbers is another one. How should we make sure that these are always true? Also as systems become integrated companies start facing a problem: Who keeps the master of identity data? - as long as data is kept within the company's control they can throw it into one single address-repository... but what happens when e.g. HR wants to communicate with Unions? - who has the correct data then?
The answer is pretty clear - you and I do... That is why good news today appeared that IBM, along with Novell, IBM, Parity Communications and Harvard University's Berkman Center for Internet & Society had come up with a possible solution which can enable us to manage our own identity. Higgins isn't an application, nor is it a service or a protocol. Rather, it's a description of an architecture - a framework - that, if implemented would provide an abstraction layer to make it easy to manage identity information (including rich profiles, presence, etc.) and social networks across multiple heterogeneous (new or existing) computer mediated "contexts." This allows interested parties to tap into every individual's identity profile to gather updated information. This way we change our identity management situation from a PUSH to a PULL situation, we also regain control of which information we want to retain control over.
There are a few drawbacks though - one is the need for critical mass - we really need to have people. as well as software suppliers backing this thing to make it work. Another is the illusion that this will give us total control over our identity information. This information can still be aggregated on the web and it only takes one dubious company to get your updated information before it's spread to a all it's affiliated - knowing the behaviour-pattern related to phishing this is not an unlikely idea.
The answer is pretty clear - you and I do... That is why good news today appeared that IBM, along with Novell, IBM, Parity Communications and Harvard University's Berkman Center for Internet & Society had come up with a possible solution which can enable us to manage our own identity. Higgins isn't an application, nor is it a service or a protocol. Rather, it's a description of an architecture - a framework - that, if implemented would provide an abstraction layer to make it easy to manage identity information (including rich profiles, presence, etc.) and social networks across multiple heterogeneous (new or existing) computer mediated "contexts." This allows interested parties to tap into every individual's identity profile to gather updated information. This way we change our identity management situation from a PUSH to a PULL situation, we also regain control of which information we want to retain control over.
There are a few drawbacks though - one is the need for critical mass - we really need to have people. as well as software suppliers backing this thing to make it work. Another is the illusion that this will give us total control over our identity information. This information can still be aggregated on the web and it only takes one dubious company to get your updated information before it's spread to a all it's affiliated - knowing the behaviour-pattern related to phishing this is not an unlikely idea.
TV2 slog nærmest benene væk under mig her til aftes med Top Historien:
Et eksperiment, som it-eksperten Peter Kruse har udført for TV 2, gav ham mulighed for at se alle danskeres medicinoplysninger ved at stjæle lægen Lars Kensmarks digitale signatur. Tyveriet foregik via en forfalsket email med TDC som afsender, der sendte Kensmark til en kopi af TDCs hjemmeside.
Her gik man egentligt og troede at agurketiden var overstået, men det lader til at journalister stadig keder sig så meget, at de er nødt til at ty til gammelkendte phising-historier.
Hvis der ikke er nogen der engang har udtalt at:
"De farligste journalister er de der keder sig" vil jeg gerne melde mig som den første!
Dog lader det også til at VTU har en kommunikations-opgave foran dem.
Ikke bare skal de nu forklare, at det er altså pokkers svært at dæmme op for phishing angreb.
Men de skal også blive bedre til at kommunikere at der ikke er noget 100% sikkert - heller ikke den digitale signatur! Man har nok forsøgt for meget at berolige os danskere ved at overdrive sikkerheden i OCES.
Et eksperiment, som it-eksperten Peter Kruse har udført for TV 2, gav ham mulighed for at se alle danskeres medicinoplysninger ved at stjæle lægen Lars Kensmarks digitale signatur. Tyveriet foregik via en forfalsket email med TDC som afsender, der sendte Kensmark til en kopi af TDCs hjemmeside.
Her gik man egentligt og troede at agurketiden var overstået, men det lader til at journalister stadig keder sig så meget, at de er nødt til at ty til gammelkendte phising-historier.
Hvis der ikke er nogen der engang har udtalt at:
"De farligste journalister er de der keder sig" vil jeg gerne melde mig som den første!
Dog lader det også til at VTU har en kommunikations-opgave foran dem.
Ikke bare skal de nu forklare, at det er altså pokkers svært at dæmme op for phishing angreb.
Men de skal også blive bedre til at kommunikere at der ikke er noget 100% sikkert - heller ikke den digitale signatur! Man har nok forsøgt for meget at berolige os danskere ved at overdrive sikkerheden i OCES.
Tiden nærmer sig. Der er mindre end een måned tilbage og jeg er så småt begyndt at kunne se lyset for enden af tunnelen alt imens jeg mærker afleveringens klamme hånd på min skulder :)
Sideløbende med at min analyse udarbejdes, har jeg opstillet hvad der skal ende med at udgøre nogle principper for den agile sikkerhedsmodel - en sikkerhedsmodel der ikke står i vejen for SOA.
Jeg vil her dele mit første BETA - udkast med Jer og I skal være mere end velkommen til at komme med kommentarer, forslag og rettelser.
Princip 1: Tidstro
Fundamentet for den agile sikkerhedsmodel er, at den bygger på (tæt på) tidstro information og beslutningsværktøjer der giver overblik over et kompleks heterogent miljø. For at informationen skal være brugbar må modellen være platforms og applikations -neutral.
En sådan sikkerhedsmodel vil give organisationer mulighed for med præcision, at vurdere risici forholde sig proaktivt til dem. Sikkerhedsmodellen selv skal være agil som SOA, og ikke nødvendigvis fordre nyindkøb af specialiserede hardware eller software. Modellen skal i høj grad kunne sammensættes af eksisterende efterretningsværktøjer som organisationer besidder samt udbygge dem efterhånden som nye teknologier som f.eks. VoIP vinder frem.
Princip 2: Altomfattende
Den agile sikkerhedsmodel handler ikke kun om perimetersikkerhed såsom firewalls og intrusion protection. Modellen tager et mere fingranuleret syn på sikkerheden, hvor der indsamles informationer og udøves kontrol af sikkerhedsproblemer fra det tekniske niveau (netværk; applikations og transport) til det menneskelige niveau som phising og bedrag.
Den agile sikkerhedsmodel kræver at brugere (medarbejderne, partnere og kunder) håndteres radikalt anderledes. Der skal være fokus på efterretning og kontrol af brugernes gøren og færden i systemet ligesom systemet skal kunne håndtere, at brugere ofte vil udgøre applikationer og maskinel. Logning (ansvarsstillelse) og entydig autentificering er vigtige.
Princip 3: Efterretningsbaseret
Den agile sikkerhedsmodel skal operere i et miljø der strækker sig ud over en organisations egne perimetre. Derfor må efterretningen i høj grad også basere sig på eksterne efterretningskilder hvis den skal forholde sig proaktivt til udefra kommende trusler. Eksterne services vil formodentlig resultere i en større, mere specialiseret, hurtigere og billigere form for efterretning, end hvis organisationen selv står for det.
En forudsætning for en agil sikkerhedmodel er, at efterretninger kan indhentes omkring andre organisationers overholdelse af it-sikkerhedsstandarder. Disse efterretninger kan være leveret af organisationerne selv; ske som følge af en formalisering af den nuværende it-revision; eller evt. indsamlet af en overordnet instans.
Princip 4: Handlingskonsekvent
I sidste ende har it-sikkerhed altid en økonomisk konsekvens. En konsekvent handling baseret på korrekt efterretning er en måde at minimere konsekvensen. Der skal således foreligge klare modeller for risikovurdering og mulighed for at kunne estimere tab baseret på mulige trusselsscenarier samt løbende opbygges en konsekvenshistorik. Uden disse handlingsplaner, er det svært at vurdere sikkerhedsbehovet og styre ressourcer til hvor de gør mest gavn.
Sideløbende med at min analyse udarbejdes, har jeg opstillet hvad der skal ende med at udgøre nogle principper for den agile sikkerhedsmodel - en sikkerhedsmodel der ikke står i vejen for SOA.
Jeg vil her dele mit første BETA - udkast med Jer og I skal være mere end velkommen til at komme med kommentarer, forslag og rettelser.
Princip 1: Tidstro
Fundamentet for den agile sikkerhedsmodel er, at den bygger på (tæt på) tidstro information og beslutningsværktøjer der giver overblik over et kompleks heterogent miljø. For at informationen skal være brugbar må modellen være platforms og applikations -neutral.
En sådan sikkerhedsmodel vil give organisationer mulighed for med præcision, at vurdere risici forholde sig proaktivt til dem. Sikkerhedsmodellen selv skal være agil som SOA, og ikke nødvendigvis fordre nyindkøb af specialiserede hardware eller software. Modellen skal i høj grad kunne sammensættes af eksisterende efterretningsværktøjer som organisationer besidder samt udbygge dem efterhånden som nye teknologier som f.eks. VoIP vinder frem.
Princip 2: Altomfattende
Den agile sikkerhedsmodel handler ikke kun om perimetersikkerhed såsom firewalls og intrusion protection. Modellen tager et mere fingranuleret syn på sikkerheden, hvor der indsamles informationer og udøves kontrol af sikkerhedsproblemer fra det tekniske niveau (netværk; applikations og transport) til det menneskelige niveau som phising og bedrag.
Den agile sikkerhedsmodel kræver at brugere (medarbejderne, partnere og kunder) håndteres radikalt anderledes. Der skal være fokus på efterretning og kontrol af brugernes gøren og færden i systemet ligesom systemet skal kunne håndtere, at brugere ofte vil udgøre applikationer og maskinel. Logning (ansvarsstillelse) og entydig autentificering er vigtige.
Princip 3: Efterretningsbaseret
Den agile sikkerhedsmodel skal operere i et miljø der strækker sig ud over en organisations egne perimetre. Derfor må efterretningen i høj grad også basere sig på eksterne efterretningskilder hvis den skal forholde sig proaktivt til udefra kommende trusler. Eksterne services vil formodentlig resultere i en større, mere specialiseret, hurtigere og billigere form for efterretning, end hvis organisationen selv står for det.
En forudsætning for en agil sikkerhedmodel er, at efterretninger kan indhentes omkring andre organisationers overholdelse af it-sikkerhedsstandarder. Disse efterretninger kan være leveret af organisationerne selv; ske som følge af en formalisering af den nuværende it-revision; eller evt. indsamlet af en overordnet instans.
Princip 4: Handlingskonsekvent
I sidste ende har it-sikkerhed altid en økonomisk konsekvens. En konsekvent handling baseret på korrekt efterretning er en måde at minimere konsekvensen. Der skal således foreligge klare modeller for risikovurdering og mulighed for at kunne estimere tab baseret på mulige trusselsscenarier samt løbende opbygges en konsekvenshistorik. Uden disse handlingsplaner, er det svært at vurdere sikkerhedsbehovet og styre ressourcer til hvor de gør mest gavn.
Rigsrevisionen har i dag offentliggjort beretning om Finanstilsynets virksomhed ud fra hvilket det må erkendes at it-sikkerhed stadig ikke får den fornødne opmærksomhed.
Finanstilsynet fører tilsyn med, om de finansielle virksomheder overholder lovgivningen. Hovedaktiviteterne omfatter bl.a. løbende overvågning, inspektioner og generelle tilsynssager.
Rigsrevisionen har undersøgt, om Finanstilsynet har udmøntet sine formål i konkrete aktiviteter, og om dækningsgraden på inspektionsområdet samt kvaliteten af Finanstilsynets sagsbehandling på inspektionsområdet er tilfredsstillende.
Resultatet af revisionen var bl.a. at Finanstilsynet ikke i stor grad inddrager it-sikkerhed i dens evaluering som det ellers er påkrævet.
73. På pengeinstitutområdet blev det først fra 2004 kontrolleret, om virksomheden har en it-sikkerhedspolitik og en it-beredskabsplan. Rigsrevisionens gennemgang af inspektionerne viste, at flere finansielle virksomheder ikke levede op til lovgivningens krav på it-området. Der er ikke i fagkontorets gennemgang eksempler på, at Finanstilsynet har vurderet hensigtsmæssigheden af virksomhedernes it-politikker eller it-beredskabsplaner.
Før 2004 indgik it-området ikke i de ordinære inspektioner.
Med banker som en gruppe der går forrest når det gælder anvendelsen af IT kan meldingen virke meget overraskende. Måske har Danmark virkelig brug for en VISA-skandale før der rigtig sker noget!
Måske ville en offentliggørelse og rangering af finansielle institutters niveau af it-sikkerhed - i stil med den man har lavet for skoler - hjælpe på motivationen...
rapporten kan hentes her http://www.rigsrevisionen.dk/media(93,0)/Beretning_om_Finanstilsynets_virksomhed.pdf
Finanstilsynet fører tilsyn med, om de finansielle virksomheder overholder lovgivningen. Hovedaktiviteterne omfatter bl.a. løbende overvågning, inspektioner og generelle tilsynssager.
Rigsrevisionen har undersøgt, om Finanstilsynet har udmøntet sine formål i konkrete aktiviteter, og om dækningsgraden på inspektionsområdet samt kvaliteten af Finanstilsynets sagsbehandling på inspektionsområdet er tilfredsstillende.
Resultatet af revisionen var bl.a. at Finanstilsynet ikke i stor grad inddrager it-sikkerhed i dens evaluering som det ellers er påkrævet.
73. På pengeinstitutområdet blev det først fra 2004 kontrolleret, om virksomheden har en it-sikkerhedspolitik og en it-beredskabsplan. Rigsrevisionens gennemgang af inspektionerne viste, at flere finansielle virksomheder ikke levede op til lovgivningens krav på it-området. Der er ikke i fagkontorets gennemgang eksempler på, at Finanstilsynet har vurderet hensigtsmæssigheden af virksomhedernes it-politikker eller it-beredskabsplaner.
Før 2004 indgik it-området ikke i de ordinære inspektioner.
Med banker som en gruppe der går forrest når det gælder anvendelsen af IT kan meldingen virke meget overraskende. Måske har Danmark virkelig brug for en VISA-skandale før der rigtig sker noget!
Måske ville en offentliggørelse og rangering af finansielle institutters niveau af it-sikkerhed - i stil med den man har lavet for skoler - hjælpe på motivationen...
rapporten kan hentes her http://www.rigsrevisionen.dk/media(93,0)/Beretning_om_Finanstilsynets_virksomhed.pdf
