Norsk sikkerhetsstandard i EU

  • ikt

Sikring av dataressurser er ikke noen alenejobb. En lang rekke personer både innen og utenfor bedriften er involvert i slike prosesser som skal beskytte vitale verdier fra alle slags trusler.

Teknisk lar det seg gjøre å konstruere beskyttelsesløsninger. Problemet er å få personer med ulike funksjoner og forskjellig bakgrunn til å snakke sammen i et språk som alle forstår, slik at man får et korrekt bilde av hvilke behov for beskyttelse man egentlig har.

Utviklingen av den nye metodikken for sikkerhetsanalyse har vært organisert som et EU-prosjekt under navnet Coras. Coras-konsortiet bestod av elleve institusjoner hvorav fem var norske. I tillegg til Sintef har Telenor, IFE, Nasjonalt Senter for Telemedisin og Norsk Regnesentral deltatt i prosjektet. Budsjettet har vært på rundt 40 millioner kroner. Coras-prosjektet har omfattet risikovurdering av sikkerhet med spesiell vekt på e-handel og telemedisin.

Alle slags trusler

Et av Sintefs viktigste bidrag til Coras har vært å utvikle en felles kommunikasjonsplattform for alle som skal bidra med informasjon når et sikkerhetssystem skal utvikles. Det er stor forskjell på kunnskapsnivået til systemutviklere, brukere av systemene, for eksempel leger innenfor telemedisin, økonomifolk og andre involverte. Løsningen har vært å utvikle et pictogrambasert høynivåspråk som gjør det mulig å identifisere trusler i form av bilder i stedet for tekstlige beskrivelser. Dette språket har nå blitt en del av en internasjonal standard gjennom bransjeorganisasjonen Object Management Group.

- Formålet med en sikkerhetsanalyse er å identifisere truslene som er rettet mot alle slags aktiva i en bedrift. Slike trusler dreier seg ikke bare om virus, ormer og trojanere, sier sjefsforsker ved Sintef IKT og professor II ved UiO, Ketil Stølen. De kan like godt være rettet mot pasienter hvis det er snakk om telemedisin, tilgjengeligheten på en dataforbindelse når det dreier seg om nettverk eller data i en database.

Vurdere brukerne

Når trusselbildet mot en bedrift skal analyseres, er det ikke nok å se på maskinvare og programvare alene. Hvordan ulike brukere benytter systemet og hvordan systemet fungerer i virksomheten må også vurderes.

En lege som skal behandle en lidelse, kommer mye lenger når sykdommen er kjent. Legen har mye større sjanse til å stille korrekt diagnose når kommunikasjonen med pasienten en god.

Stølen peker på at mye av problematikken rundt sikkerhet ikke kommer fra mangel på IT-verktøy, men fra hvordan systemene brukes av mennesker. Selv det beste verktøy hjelper ikke hvis det brukes feil eller ikke benyttes i hele tatt.

Riktig ressursbruk

- Sikkerhet er dessverre ofte en salderingspost, sier cand scient Mass Soldal Lund ved Sintef IKT. Systemutvikling koster ofte betydelig mer i kroner og øre enn forutsatt, og da blir det mindre igjen til sikkerhet. Regelen i dag er at systemutvikling og sikkerhet er organisert som to forskjellige prosjekter som utvikles uavhengig av hverandre og med ulike verktøy. I Coras-prosjektet er utvikling og sikkerhet smeltet sammen til ett prosjekt. I stedet for å benytte to ulike verktøykasser har forskergruppen integrert verktøy for sikkerhetsanalyse i verktøy og metodikk for systemutvikling. Dette gjør det svært mye enklere å bygge bro mellom sikkerhetsfolk og systemutviklere. Dessuten forenkler det vedlikehold på systemet senere.

Forskerne på Sintef vil fortsette å utvikle verktøyene og metodene fra Coras-prosjektet innenfor prosjektet Securis, et prosjekt i regi av Norges forskningsråd. De håper å kunne automatisere utviklingsprosessene enda mer enn i dag.