NOSAD workshops på teamat IT-säk
-
1 mars kl 10 kommer vi att prata Open Source och IT-säkerhet inklusive Community Health.
Workshopen är inte helt färdigplanerad, så om du har inpel så hör av dig till maria.dalhage@digg.se eller skriv i tråden. -
Den 1 mars kl 10-11 arrangerar NOSAD eventet Hälsa och säkerhet vid val av öppen programvara.
Tekniker och processer för att undvika supply chain-attacker – Martin Hell (Lunds universitet/Debricked)
Supply chain-attacker har fått stort genomslag de senaste åren, mycket på grund av ett antal uppmärksammade incidenter. En sårbarhet kan få skadlig kod att sprida sig till tusentals organisationer. Vi diskuterar dessa attacker, hur de ser ut i en öppen-källkodsmiljö och hur förbättrade teknologier och processer kan hjälpa organisationer att skydda sig.
Proaktiv riskhantering för sårbarheter inom öppna programvaruprojekt – Johan Linåker (Rise)
Risken för att sårbarheter introduceras inom öppna programvaruprojekt beror till stor del på projektets förmåga att underhålla programvaran över en lång tid till en hög kvalitet, även kallat projektets hälsa. Hälsan går både att analysera och förbättra proaktivt vilket kan underlätta riskbedömning vid anskaffning av öppna programvarukomponenter, men även för att hantera risker för sårbarheter i projekt som är kritiska för ens verksamhet. Vi får här en introduktion både till hälsobegreppet i stort, samt hur analys och förebyggande åtgärder kan utföras.
Till anmälan: https://www.goto10.se/event/nosad-natverkande-kring-oppna-data-och-oppen-kallkod-4/
Community Manager NOSAD - Network Open source and data
-
Ni som har säkerhetsfrågor eller aspekter som ni vill ta upp på NOSAD-eventet 1 mars när vi pratar hälsa och säkerhet får dela era tankar i denna tråd.
-
Tre saker tar jag särskilt med mig från dagens workshop:
- En genomgång av supply-chain attacker visar tydligt att den uttjatade diskussionen om open source är osäkrare än proprietära programvaror är en förlegad diskussion. Se bara på Coop-incidenten förra sommaren när butikerna fick stänga och log4j. Sårbarheter finns i all kod!
- Vi är bättre rustade än någonsin att jobba med öppen källkod, eftersom tidigare incidenter lett till bättre processer och verktyg. Däremot använder vi inte det stöd som finns får vi heller inte säkra system. Här behöver vi skaffa oss bättre förståelse, insyn och säkerställa att den kod vi väljer eller upphandlar genomgår erforderliga säkerhetskontroller.
- Olika organisationer har kommit olika långt. Inom just IT-säk finns det behov av att hjälpa varandra med tips, mallar och upphandlingskrav och verktyg. Vidare efterlyses en nationell vägledning.
- Nyttja kraften i NOSAD för att hjälpa varandra!
• Vi kommer att arrangera ytterligare en workshop med vilka krav vi bör ställa i en upphandling.
• Vi alla delar med oss av vägledningar, tips och mallar. (Vi sätter upp en kategori under ”Dela” på https://nosad.se)
• Vi fortsätter diskussion och tipsar varandra på community.dataportal.se. Initialt i denna tråd. Men tror ni att det behövs en kategori såå kan vi ta fram en sådan.
På länken nedan finns dagens bildspel. Inspelning kommer:
https://gitlab.com/open-data-knowledge-sharing/wiki/-/wikis/Digital-Workshopserie -
@maria_dalhage
Vi håller på att testa ett verktyg som använder sig av parametrar från Chaoss. Det heter GrimoireLab (https://chaoss.github.io/grimoirelab/) som ska kunna genomföra automatiska hämtningar från olika datakällor.
Tanken är att kunna ha ett verktyg för semi-automatisk kontroll av hälsan för ett eller flera open source-projekt. Förhoppningen är ju att kunna identifiera risker som kan gå in i vårt riskarbete, i det här fallet för ett e-arkivsystem.
Är de fler som har testat eller vill testa detta vore det kul att få kontakt. -
@malinå Låter jätteintressant. Berätta gärna hur ni upplever verktyget. Till er andra? Vad använder ni idag?
-
Även om jag personligen tycker att öppen källkod kan stå på egna ben utan att bli jämförda hela tiden, så går det inte att diskutera öppen källkod utan att det görs jämförelser med slutna kommersiella programvaror. Inte i min organisation alla fall.
Visst finns det säkerhetsutmaningar med användningen av öppen källkod och det är väldigt intressant att höra hur det blir bättre och bättre. Det gör mig glad, även om den generella säkerhetsnivån inom IT-sektorn gör mig bedrövad...
Det skulle vara väldigt intressant att se eller höra någon seriös jämförelse mellan öppen källkod och kommersiella produkter ur ett säkerhetsperspektiv.
Jag hör ofta argument som att om man har en leverantör bakom programmen så kan man få hjälp. Det stämmer ju i praktiken inte med mina erfarenheter. Om du hittar en bug i Office eller Windows så kommer ju inte Microsoft att på något sätt fixa den buggen och förse dig med en uppdaterad version. Det är helt upp till dem om de vill fixa buggen eller inte och du får inte ta del av dessa fixar, även om felet drabbat dig, om du inte ser till att fortfarande ha en licens (även om det finns skäl att tycka att den tidigare leveransen inte var OK). Alla kommersiella bolag friskriver sig ju från allt, till och med det att programmet eventuellt skulle kunna vara användbart för någonting...
Det måste redan finnas sådana rapporter någonstans?
-
@bengtb Håller helt med om att det är en falsk trygghet att tro att koden är skyddad bara för att man eventuellt kan begära skadestånd, och som du skriver, i många fall har leverantören avtalat bort denna möjlighet. Det finns behov av att istället börja ställa krav på kod och processer, både vid intern utveckling och vid anskaffning. Tror att vissa organisationer kommit långt. Vet att andra är helt omedvetna. Var ligger de största riskerna idag?
-
@maria_dalhage Jag antar att du menar risker med att tro att kommersiella produkter är bättre?
Risken är ju att man inte får den programvara som skulle passa bäst ur ett funktionellt perspektiv.
Sedan tänker jag på det vi fick höra från någon kommun (Sundsvalls?) för nått möte sedan. Kommunerna har under lång tid köpt program från några få leverantörer som erbjudit samma program till många kommuner. Kommunerna själva har hjälpt till att förbättra produkterna och leverantörerna har på så sätt kunnat sälja till flera kommuner. Sen visar det sig att dessa program sällan uppdateras för att hänga med i den digitala utvecklingen och nu står många kommuner med gammalmodiga program som inte uppdateras i takt med att dagens krav. Risken är att man fastnar hos en leverantör som för eller senare inte längre svarar upp ens krav. Då kan det vara väldigt svårt att ta sig loss, både tids- och kostnadsmässigt.
Här skulle jag ju gärna se att kommuner och myndigheter jobbar ihop istället och förstås helst inom ramen för öppen källkod och öppna data.
-
Den amerikanska cybersäkerhetsmyndigheten Cisa har publicerat en lista med kostnadsfria cybersäkerhetslösningar och verktyg för att hjälpa organisationer att förbättra sin säkerhet och öka sina möjligheter att försvara sig mot cyberattacker.
Resurserna är uppdelade i fyra kategorier: Att minska sannolikheten för en cyberincident, att snabbt upptäcka skadlig aktivitet, att svara effektivt på bekräftade incidenter och att maximera motståndskraften.
Någon som har erfarenhet av någon av dessa verktyg som omnämns?
