Home » Digital sikkerhet » Cybertrusler og personvern må møtes med innebygd sikkerhet
Digital sikkerhet

Cybertrusler og personvern må møtes med innebygd sikkerhet

Solveig Bruvoll og Audun Jøsang. FOTO: UIO/MAGDALENA IVANOVSKA, 2019

Digitaliseringen av samfunnet skjer i rekordfart og gir store gevinster i form av økt velferd og effektivitet. Spørsmålet er om systemene blir sikre nok når de utvikles så raskt. Dette arbeider de med ved Universitetet i Oslo.

Digitalisering betyr at digital teknologi innføres for å effektivisere prosesser som tidligere foregikk uten digitale komponenter, eller for helt nye anvendelser som blir mulig nettopp gjennom digital teknologi. Typiske eksempler er smarte hjem, smarte byer og tingenes internett. Digitaliseringen sprer seg til nær sagt alle områder av samfunnet, både i arbeids- og privatliv, og skaper betydelige økonomiske og sosiale endringer i samfunnet.

Dessverre fører digitaliseringen også ofte til økt eksponering overfor cybertrusler, enten det er trusler fra internett eller direkte via brukergrensesnitt og trådløs kommunikasjon. Derfor er det viktig at slike trusler effektivt stoppes og nøytraliseres gjennom å designe systemer med innebygd informasjonssikkerhet og personvern, for å stoppe truslene og skape digitale løsninger som er bærekraftige.

– Under designfasen må de som utvikler digitale systemer tenke på hvordan de kan blokkere mulige trusler og hvordan man kan unngå at sårbarheter bygges inn i systemene. Utviklere som ikke følger prinsippet om innebygd informasjonssikkerhet, enten fordi de mangler kompetanse eller har dårlig tid, vil nødvendigvis skape sårbarheter som trusselaktører vil kunne utnytte, sier professor Audun Jøsang ved Institutt for informatikk ved Universitet i Oslo (UiO).

– Sikkerhetsaspektet må være en faktor som man tenker på gjennom hele utviklingen. Det er for sent å begynne å tenke på sikkerhet når systemet er ferdigutviklet, understreker Jøsang.

Trusselpoker som metode

Den nye Personopplysningsloven GDPR (General Data Protection Regulation) definerer også innebygd personvern som et juridisk krav ved utvikling og innføring av alle IT-systemer som skal behandle personopplysninger. Det setter også krav til innebygd informasjonssikkerhet.

Masterstudent Hanne Rygge studerer hvordan informatikkstudenter kan lære å tenke på innebygd personvern og informasjonssikkerhet som del av programvareutviklingen. Hun lar studentene spille trusselpoker, som er en morsom og praktisk metode for evaluering av sikkerhets- og personverntrusler.

– Vi bruker kortspillet som en metode for gruppearbeid og diskusjoner knyttet til sikkerhet og personvern. Studentene deles inn i mindre grupper hvor de har fått rollen som utviklingsteam og skal designe et dataprogram. Det første caset var et apoteksystem. Et slikt system krever at man både må ta hensyn til sikkerhet og personvern i utviklingen. I løpet av spillet blir studentene utfordret til å finne sårbare områder, og til å tenke på sikkerhetsaspektene gjennom hele utviklingsløpet. Å tenke sikkerhet helt fra starten og gjennom hele utviklingsløpet er helt avgjørende for å skape de beste løsningene. Tilbakemeldingen fra studentene var at de syns dette var en interessant tilnærmingsmåte, og at det fikk dem til å tenke mer på sikkerhet enn de hadde gjort uten å ha spilt dette spillet, forklarer Rygge.


Hanne Rygge og Audun Jøsang. FOTO: UIO/GUNHILD M. HAUGNES, 2018

Masterprogram i informasjonssikkerhet

Sikkerhetskompetanse må skapes både i bredden og som spesialistutdanning. I bredden trenger alle grunnkunnskap om informasjonssikkerhet. Ingeniører og IT-arkitekter må lære å tenke sikkerhet, ikke bare i designfasen, men i hele livssyklusen av digitale systemer. Samtidig trenger vi eksperter som har informasjons- og cybersikkerhet som spesialfelt for å kunne lede arbeidet med informasjonssikkerhet og for å kunne håndtere og respondere hvis det oppstår alvorlige sikkerhetshendelser i organisasjoner. Her har utdanningsinstitusjonene et klart ansvar for å skape kompetanse.

– Universitetet i Oslo sitt nye masterprogram i informasjonssikkerhet er et samarbeid mellom Institutt for informatikk i Oslo og Institutt for teknologisystemer på Kjeller. På studieretningen informasjonssikkerhet lærer studentene hvordan informasjonssystemer kan bygges for å tåle og håndtere både utilsiktede uhell og bevisste angrep. Med andre ord er studiene bygd opp slik at studentene både blir satt inn i hvordan de kan forebygge, men også hvordan de skal håndtere dataangrep og sammenbrudd i IT-infrastrukturer, forklarer Jøsang.

– Næringsliv og forvaltning har et økende behov for solid kompetanse innen IT, og kunnskapen som studentene får med en mastergrad innenfor informasjonssikkerhet er svært etterspurt. Masterprogrammet gir spesialkompetanse innen cybersikkerhet, men alle studenter ved Universitetet i Oslo kan ta sikkerhetsemner som valgfag også. På den måten gir studiene vi tilbyr også en veldig god breddekompetanse innen informasjonssikkerhet, tilføyer førsteamanuensis Solveig Bruvoll.

Industrisamarbeid i cybersikkerhetsforskning

Institutt for informatikks forskningsgruppe for informasjons- og cybersikkerhet samarbeider med mange norske og internasjonale partnere i industri og akademia. Jon-Martin Pettersen Storm og Siri Bromander, er næringsstipendiater. Det betyr at de har fast jobb i næringslivet samtidig som de er forskere og PhD-studenter på Universitetet i Oslo. Siri Bromander jobber i mnemonic, Norges største IT-sikkerhetsselskap. Dette selskapet hjelper virksomheter med å administrere og håndtere sine sikkerhetsrisikoer, beskytte sine data og forsvare seg mot trusler fra internett.

– Forskning og innovasjon innen nye teknologier for cybersikkerhet er en forutsetning for av vi i mnemonic skal kunne levere tjenester av høy kvalitet til våre kunder. Derfor er forskningssamarbeidet med Universitetet i Oslo svært verdifullt for oss. Vi har flere forskningsprosjekter som går parallelt, mitt prosjekt handler om digital trusseletterretning. Det er ikke mulig å beskytte seg mot absolutt alt, men det er viktig å vite hva du bør beskytte deg mot, og da må du vite hva slags trusler du egentlig står overfor. De mest avanserte trusselaktørene kan ofte gjenkjennes ut fra måten de arbeider. Hvis vi kan gjenkjenne dem, blir det også enklere å forsvare seg.  En del av trusseletterretning er utveksling av kunnskap om trusselaktørene. Slik utveksling gjør at flere har kunnskapen, og dette gir oss evnen til å forbedre vårt felles forsvar i den digitale verden, sier Siri Bromander.

Jon-Martin Pettersen Storm jobber ved NVE, som forvalter Norges vassdrag og kraftnett, som i høy grad regnes som en kritisk infrastruktur.

– Egentlig er vår jobb å sørge for at denne infrastrukturen ikke blir sårbar siden den er så viktig. I NVE ser vi både på naturlige hendelser og på tilsiktede cyberhendelser, og det er det siste som jeg forsker på ved Universitetet i Oslo. Spesielt er fokus rettet mot at de digitale systemene er sikre og særlig at kontrollsystemene som styrer kraftforsyningen vår er sikker. NVE har et stort fokus på cybersikkerhet, og samarbeidet med universitetet på dette området er svært verdifullt for oss, sier Jon-Martin Pettersen Storm.

Jon Martin Pettersen og Siri Bromander. FOTO: UIO/AUDUN JØSANG, 2019

Mangfoldige aktiviteter

I tillegg til undervisning og forskning holder universitetet også konferanser og seminarer om informasjons- og cybersikkerhet kontinuerlig, slik at både studenter og forskere har et stort utvalg aktiviteter hvor de kan delta og bidra. Klubben for etisk hacking har møter ukentlig, mens Akademisk Forum Sikkerhet er en seminarserie med populærvitenskapelige foredrag om informasjonssikkerhet som arrangeres hver måned.

I tillegg organiserer Institutt for informatikk flere internasjonale fagkonferanser om cybersikkerhet hvert år. Det er svært verdifullt at aktivitetene rundt cybersikkerhet er samlokalisert med Institutt for informatikk og Universitetet i Oslos andre fagmiljøer, siden det gjør at forskningen og undervisningen kan integreres i multidisiplinære sammenhenger. For det er dette som er innebygd informasjonssikkerhet i praksis.

Av: Tom Backe, [email protected]

Next article