C- ITS, Teknologidagene 2015 Informasjonssikkerhet og personvern: Hva må vi tenke på ved.lgjengeliggjøring av data? Marie Moe, PhD, Forsker ved, Systemutvikling og sikkerhet @MarieGMoe @SINTEF_Infosec 1
Agenda Bakgrunn: Bruk av åpne data Nl C- ITS Cybersikkerhet: Hva kan gå galt? Noen mulige kjøreregler 2
Åpne data og C- ITS Bedre fremkommelighet Bedre publikumstjenester Bedre planlegging og transportmodeller Miljøgevinst Bedre sikkerhet Store muligheter, men vi må huske informasjonssikkerhet! 3
Hvilken telefon er smartest? - Når det gjelder sikkerhet? Foto: www.colourbox.com SINTEF IKT
KooperaNve Intelligente Transportsystemer: Designes for å øke fysisk sikkerhet og effeknvitet Smarte systemer snakker med hverandre og er på Interne\! Åpner dermed opp for nye angrepsflater i cyberdomenet
Åpner åpne data opp for angrep? Hva om vi blir avhengige av korrekt og.lgjengelig data for å sikre trygg trafikkavvikling? DoS- angrep på NVDB som brukes av selvkjørende biler Terror- angrep ved hjelp av forfalskning av data som styrer tog eller bane Hva med personvernet? Målre\ede angrep på utvalgte personer ved hjelp av uautorisert Nlgang Nl videostrømmer og annen innsamlet data med sporbarhet 6
Vi er ikke klare Nl å møte ubordringene Vår avhengighet av teknologi øker raskere enn vår evne Nl å sikre teknologien Vi trenger mer forskning på de\e! Lovgivingen henger e\er 7
Hva kan gå galt? 8
h@p://www.autosec.org/pubs/cars- usenixsec2011.pdf
h@p://www.autosec.org/pubs/cars- usenixsec2011.pdf
h@p://video.wired.com/watch/hackers- wireless- jeep- a@ack- stranded- me- on- a- highway
h@p://www.ioac.ve.com/pdfs/ioac.ve_remote_car_hacking.pdf
h@p://www.ioac.ve.com/pdfs/ioac.ve_remote_car_hacking.pdf
h@p://www.bbc.com/news/technology- 34156598
h@p://www.wired.com/2015/09/gm- took- 5- years- fix- full- takeover- hack- millions- onstar- cars/
h@p://www.theverge.com/2015/8/11/9130203/wireless- hack- corve@e- brakes- insurance- dongle
h@p://www.wired.com/2015/08/hackers- cut- corve@es- brakes- via- common- car- gadget/
Ubordringer Proprietære løsninger uten velkjente og standardiserte protokoller Masseprodusert elektronikk hvor det ikke lønner seg å investere i sikkerhetsmekanismer Sikkerhetsmekanismer er Nlstede, men vanskelige å konfigurere eller ikke slå\ på som standard Standard eller hardkodede passord, dårlig nøkkelhåndtering Ikke implementert NlfredssNllende mekanismer eller runner for sogware- oppdatering Det fysiske produktet har lang levend og blir hengende e\er i forhold Nl nye sikkerhetsmekanismer og utviklingen i trusselbildet
Noen mulige kjøreregler ² Safety- By- Design ² Tredjeparts samarbeid ² Bevissikring ² Sikkerhetsoppdateringer ² Segmentering og isolering ü Innse at det vil gå galt og planlegg håndtering ü Kjenn dine allierte før det går galt ü Finn problemet og lær av dine feil ü Ta tak i hendelsen og fiks problemet ü Unngå at problemet påvirker flere deler av systemet Oversa\ fra: h\ps://www.iamthecavalry.org/domains/automonve/5star/ 19
5- Star Framework Addressing AutomoNve Cyber Systems 5- Star Capabili.es «Safety by Design AnNcipate failure and plan minganon «Third- Party Collabora.on Engage willing allies «Evidence Capture Observe and learn from failure «Security Updates Respond quickly to issues discovered «Segmenta.on & Isola.on Prevent cascading failure Connec.ons and Ongoing Collabora.ons Security Researchers AutomoNve Engineers Policy Makers Insurance Analysts Accident InvesNgators Standards OrganizaNons h\ps://www.iamthecavalry.org/auto/5star/
Takk for oppmerksomheten! marie.moe@sintef.no h\p://infosec.sintef.no @MarieGMoe @SINTEF_Infosec