Bedre risikoanalyser

Konsortiet består av ti partnere, hvorav halvparten fra Norge. Prosjektet varer i to år. Kostnadsrammen er på over 40 millioner kroner. EU-kommisjonen finansierer halvparten, resten finansieres av deltagerne i prosjektet.

Risikoanalyser er grunnlaget for alt systematisk sikkerhetsarbeid. Coras skal videreutvikle metoder for semiformelle spesifikasjoner og objektorientert modellering, som deretter kombineres med tradisjonelle metoder for risikoanalyse. Behov for gode og kostnadseffektive sikkerhetsløsninger i informasjons-, kommunikasjons- og styringssystemer er stort i virksomhets- og/eller samfunnskritiske datasystemer. Sikkerhetsløsningene er av avgjørende betydning for at brukerne, bedriftene og/eller de offentlige myndighetene har nødvendig tillit til at de virker. Svikt kan gi alvorlige ulykker, bortfall av viktige samfunnsfunksjoner og/eller betydelige økonomiske tap.

Sårbarhet

Datasikkerhet og samfunnets sårbarhet har kommet høyt opp på den politiske dagsordenen. Statssekretærutvalget for IT begynte i 1998 å arbeide for å fastslå status for IT-sårbarhetsarbeidet i Norge. I 1999 ble sårbarhetsutvalget etablert under ledelse av Kåre Willoch. Samme år etablerte Nærings- og handelsdepartementet et eget IT-sårbarhetsprosjekt.

Willoch-utvalget leverte sin innstilling 4. juli 2000 i form av NOU 2000:24 - Et sårbart samfunn - Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet. NOU 2000:24 påpeker sårbarheten i en rekke samfunnssektorer, og anbefaler flere tiltak for å redusere samfunnets sårbarhet som følge av avhengigheten av informasjons- og kommunikasjonsteknologi (IKT). Økt satsing på forskning og utvikling er ett av hovedvirkemidlene for å redusere samfunnets sårbarhet som følge av avhengigheten av IKT.

Spørsmål om tillit

Gode sikkerhetsløsninger i samfunns- og virksomhetskritiske systemer er helt avgjørende for at brukerne, bedriftene, bedriftseierne og de offentlige myndighetene skal ha nødvendig tillit til disse systemene. Et godt eksempel på at sikkerhet oppfattes som viktig er den noe nølende holdningen til å ta i bruk nettbanker og e-handelsystemer. Mange sitter på gjerdet i påvente av hva de oppfatter som sikre systemer.

Sikkerhetsløsningene må beskytte informasjons-, kommunikasjons- og styringssystemer både mot tilfeldige hendelser, i form av tekniske feil og naturskader, og overlagte/planlagte handlinger fra mennesker i og utenfor organisasjonene der systemene brukes eller virker. Hovedkravene til sikkerhet (security) omfatter integritet, tilgjengelighet og konfidensialitet til systemressursene.

Ny metodikk

Prosjektet skal utvikle semiformelle metoder, det vil si at krav og løsninger uttrykkes ved hjelp av et ikke-naturlig språk med ikke fullt ut definert semantikk eller syntaks, for eksempel i form av et modelleringsspråk. UML (Unified Modeling Language) er et eksempel på et slikt objektorientert modelleringsspråk. Med formelle metoder menes at krav og løsninger uttrykkes i et ikke-naturlig språk med en definert semantikk eller syntaks basert på matematikk eller logikk.

ISO/ITUs RM-ODP (Reference Model of Open Distributed Processing) er et mye brukt generelt rammeverk for å organisere beskrivelser av distribuerte systemer. Ved hjelp av RM-ODP kan distribuerte systemer ses fra følgende, fem ulike perspektiver: Foretaksperspektivet (hva systemet skal gjøre i en virksomhet),

informasjonsperspektivet (hva slags informasjon som skal lagres og behandles i systemet), databehandlingsperspektivet (systemet som et sett med objekter som samhandler), engineeringsperspektivet (mekanismene som støtter distribusjonen av systemet) og et teknologisk perspektiv (de enkelte komponentene i det distribuerte systemet). Hvert perspektiv i RM-ODP har sine tilhørende språk for å beskrive de konsepter og regler som gjelder for det aktuelle perspektivet.

Presist og entydig

Formålet med Coras er å komme frem til et RM-ODP-lignende rammeverk for å beskrive sikkerhetskritiske systemer og metoder for å få mer presise, entydige og effektive risikoanalyser. Coras’ metoder og prosedyrer vil bli testet mot telemedisin- og e-handelssystemer.

Mange oppfatter forskningsprosjektet Coras som relativt lite spennende. Men nettopp at det utvikles et generelt rammeverk og et sett generiske metoder og prosedyrer for arbeid med sikkerhet og risikoanalyser, gjør at Coras kan få svært stor verdi, både som underlag for videre forskning og ved nyutvikling eller oppgraderinger av sikkerhetskritiske informasjons-, kommunikasjons- og styringssystemer.

Konsortiet

I norsk sammenheng er Coras et stort forskningsprosjekt, men det er bare ett skritt på veien mot sikrere og mer pålitelige systemer. De norske partnerne er Telenor FoU på Kjeller, Institutt for energiteknikk i Halden, Norsk Regnesentral i Oslo, Sintef Tele og data i Oslo og Nasjonalt senter for telemedisin ved Regionsykehuset i Tromsø. De øvrige partnerne er elektronikk- og telekommunikasjonsleverandøren Intracom SA i Hellas, forskningsinstitusjonen Rutherford Appleton Laboratory i England, Queen Mary and Westfield College (en del av University of London) i England, Computer Technology Institute ved universitetet i Patras i Hellas og programvare- og testutstyrsleverandøren Solinet i Tyskland.

Initiativet til prosjektet ble tatt av personer som nå er ansatt i Telenor FoU, Institutt for energiteknikk, Norsk Regnesentral, Sintef og Nasjonalt senter for telemedisin. Forsker Tom Opperud, Telenor FoU, er Coras’ administrative koordinator, mens seniorforsker Ketil Stølen, Sintef, er faglig koordinator.

Viktig prosjekt

EU-prosjekter er viktige for norske forskningsinstitusjoner og bedrifter fordi de gir kompetanseoverføring fra ledende europeiske partnere. EU-finansierte forskningsprosjekter kan dessuten bidra til å bringe ”utenforlandet” Norge innenfor i forhold til europeiske forskningsinstitusjoner og bedrifter.

Prosjekter som Coras gir gode muligheter for norske forskere og ingeniører til å utveksle erfaringer og knytte viktige kontakter på tvers av land-, fag- og institusjonsgrensene. EU-kommisjonen legger stor vekt på nettverksbygging både ved utlysningen, etableringen og gjennomføringen av prosjektene. Se Cordis’ nettsted for nærmere informasjon om pågående og planlagte EU-prosjekter.

Kontaktpersoner og nyttige nettsteder

Telenor FoU (http://www.telenor.no/fou) Prosjektets administrative koordinator er forsker Tom Arthur Opperud, tom-arthur.opperud@telenor.com

Sintef (http://www.sintef.no): Prosjektets faglige koordinator er seniorforsker Ketil Stølen, Ketil.Stolen@informatics.sintef.no

Institutt for energiteknikk (http://www.ife.no): Sivilingeniør Bjørn Axel Gran, bjorn.axel.gran@hrp.no

Nasjonalt senter for telemedisin (http://www.telemed.no): Sikkerhetsrådgiver Eva Skipenes, eva.skipenes@telemed.no

Norsk Regnesentral (http://www.nr.no): Forsker Knut Boge, Knut.Boge@nr.no

Coras’ nettsted: http://www.telenor.no/fou/prosjekter/coras/CoRAS.htm

Cordis’ nettsted (EU-kommisjonen): http://www.cordis.lu/ist/home.html