informasjonssikkerhet og personvern: hva må vi tenke på ved tilgjengeliggjøring av data?
TRANSCRIPT
SINTEF IKT
C-‐ITS, Teknologidagene 2015
1
Marie Moe, PhD, Forsker ved SINTEF IKT, Systemutvikling og sikkerhet
Informasjonssikkerhet og personvern: Hva må vi tenke på ved .lgjengeliggjøring av data?
@MarieGMoe @SINTEF_Infosec
SINTEF IKT
• Bakgrunn: Bruk av åpne data Nl C-‐ITS • Cybersikkerhet: Hva kan gå galt? • Noen mulige kjøreregler
2
Agenda
SINTEF IKT
Åpne data og C-‐ITS
3
• Bedre fremkommelighet • Bedre publikumstjenester • Bedre planlegging og transportmodeller • Miljøgevinst • Bedre sikkerhet
Store muligheter, men vi må huske informasjonssikkerhet!
SINTEF IKT
Hvilken telefon er smartest?
Foto: www.colourbox.com
-‐ Når det gjelder sikkerhet?
SINTEF IKT
KooperaNve Intelligente Transportsystemer:
Designes for å øke fysisk sikkerhet og effekNvitet
Åpner dermed opp for nye angrepsflater i cyberdomenet…
Smarte systemer snakker med hverandre og er på Interne\!
SINTEF IKT
Hva om vi blir avhengige av korrekt og .lgjengelig data for å sikre trygg trafikkavvikling?
• DoS-‐angrep på NVDB som brukes av selvkjørende biler • Terror-‐angrep ved hjelp av forfalskning av data som styrer tog eller bane
Hva med personvernet?
• Målre\ede angrep på utvalgte personer ved hjelp av uautorisert Nlgang Nl videostrømmer og annen innsamlet data med sporbarhet
6
Åpner åpne data opp for angrep?
SINTEF IKT
• Vår avhengighet av teknologi øker raskere enn vår evne Nl å
sikre teknologien • Vi trenger mer forskning på de\e!
• Lovgivingen henger e\er
7
Vi er ikke klare Nl å møte ubordringene
SINTEF IKT 8
Hva kan gå galt?
SINTEF IKT
h@p://www.autosec.org/pubs/cars-‐usenixsec2011.pdf
SINTEF IKT
h@p://www.autosec.org/pubs/cars-‐usenixsec2011.pdf
SINTEF IKT
h@p://video.wired.com/watch/hackers-‐wireless-‐jeep-‐a@ack-‐stranded-‐me-‐on-‐a-‐highway
SINTEF IKT
h@p://www.ioac.ve.com/pdfs/IOAc.ve_Remote_Car_Hacking.pdf
SINTEF IKT
h@p://www.ioac.ve.com/pdfs/IOAc.ve_Remote_Car_Hacking.pdf
SINTEF IKT
h@p://www.bbc.com/news/technology-‐34156598
SINTEF IKT
h@p://www.wired.com/2015/09/gm-‐took-‐5-‐years-‐fix-‐full-‐takeover-‐hack-‐millions-‐onstar-‐cars/
SINTEF IKT
h@p://www.theverge.com/2015/8/11/9130203/wireless-‐hack-‐corve@e-‐brakes-‐insurance-‐dongle
SINTEF IKT
h@p://www.wired.com/2015/08/hackers-‐cut-‐corve@es-‐brakes-‐via-‐common-‐car-‐gadget/
SINTEF IKT
Ubordringer
• Proprietære løsninger uten velkjente og standardiserte protokoller • Masseprodusert elektronikk hvor det ikke lønner seg å investere i
sikkerhetsmekanismer • Sikkerhetsmekanismer er Nlstede, men vanskelige å konfigurere eller ikke
slå\ på som standard • Standard eller hardkodede passord, dårlig nøkkelhåndtering • Ikke implementert NlfredssNllende mekanismer eller ruNner for sogware-‐
oppdatering • Det fysiske produktet har lang leveNd og blir hengende e\er i forhold Nl nye
sikkerhetsmekanismer og utviklingen i trusselbildet
SINTEF IKT
² Safety-‐By-‐Design ² Tredjeparts samarbeid ² Bevissikring ² Sikkerhetsoppdateringer ² Segmentering og isolering
19
Noen mulige kjøreregler
ü Innse at det vil gå galt og planlegg håndtering ü Kjenn dine allierte før det går galt ü Finn problemet og lær av dine feil ü Ta tak i hendelsen og fiks problemet ü Unngå at problemet påvirker flere deler av
systemet
Oversa\ fra: h\ps://www.iamthecavalry.org/domains/automoNve/5star/
SINTEF IKT
Connec.ons and Ongoing Collabora.ons
5-‐Star Framework 5-‐Star Capabili.es
« Safety by Design – AnNcipate failure and plan miNgaNon « Third-‐Party Collabora.on – Engage willing allies « Evidence Capture – Observe and learn from failure « Security Updates – Respond quickly to issues discovered « Segmenta.on & Isola.on – Prevent cascading failure
Addressing AutomoNve Cyber Systems
AutomoNve Engineers
Security Researchers
Policy Makers
Insurance Analysts
Accident InvesNgators
Standards OrganizaNons
h\ps://www.iamthecavalry.org/auto/5star/
SINTEF IKT SINTEF IKT
Takk for oppmerksomheten!
[email protected] h\p://infosec.sintef.no
@MarieGMoe @SINTEF_Infosec