Center for it-sikkerhed » Jakob I. Pagter

Innovation på sikre vinger i skyen

Jakob I. Pagter — Thu, 10 Jun 2010 12:55:47 +0000

Onsdag d. 2. juni var Alexandra Instituttet vært for en workshop med ca. 30 tilmeldte deltagere med fokus på Cloud Computing. Omdrejningspunktet for arrangement var innovation og sikkerhed i skyen. Valget af dette fokus skal findes i to grundlæggende argumenter:

Det store forretningsmæssige potentiale ligger igennem innovation af tekniske løsninger og forretningsmodeller snarere end i økonomiske besparelser. Jo, der er potentielt store besparelser, men dem vil dine konkurrenter også udnytte. Den store udfordring bliver hvordan man kan innovere i skyen.
Den største forhindring for effektiv udnyttelse af Cloud Computing er sikkerhed. Hvad er forsvarligt? Hvad kan lade sige gøre?

I forbindelse med workshoppen blev et udkast til en vejledning for innovation og sikkerhed i skyen præsenteret. Ifbm. med workshoppen identificeredes en række interessante cases, og et udvalg af disse vil nu blive studeret med afsæt i denne vejledning. Efterfølgende (til efteråret) vil vejledningen blive revideret og offentliggjort.

Vejledningen indeholder helt konkrete retningslinjer. Eksempelvis for hvor følsomme data der kan places i hhv. en IaaS-, PaaS- og SaaS-løsning.

Tagged: arrangement, SIASS

Cloud Computing 2010 – Region Sjælland

Jakob I. Pagter — Fri, 07 May 2010 09:00:08 +0000

I onsdags havde jeg fornøjelsen at holde oplæg om cloud computing i Region Sjælland. I spørgerunden efter oplægget blev jeg spurgt hvorvidt en mindre virksomhed ville få bedre sikkerhed ved at flytte deres servere op i skyen. Mit svar var “Ja, det vil de formentlig få”. Det kan dog ikke understreges kraftigt nok, at det – som altid – kommer an på hvilke data det drejer sig om.

Tagged: begreber, foredrag

Fortrolighed af det offentliges data i skyen

Jakob I. Pagter — Mon, 11 Jan 2010 21:13:34 +0000

Jeg blev idag interviewet til P1 Orientering ifbm. at jeg holder indlæg på IT- og telestyrelsen og KLs konference “Cloud Computing i det offentlige”.

Fokus i interviewet var på hvor anvendelsen af cloud computing i det offentlige er underlagt andre principper end anvendelsen af cloud computing i private virksomheder. Mit indlæg på konferencen er mere løsningsorienteret, med et snævert fokus på “del-og-hersk”-strategier i skyen, så for de nysgerrige er her mit syn på fortrolighed i det offentlige.

Når man bruger cloud computing bør man altid lave en nøje klassifikation af sine data udfra fortrolighed, integritet og tilgængelighed. For mange offentlige instanser vil situationen ifht. fortrolighed sikkert være den at de har hele spektret fra personhenførbare data som er meget følsomme, til allerede offentlige data (fx lovtekster, formularer osv.) som er meget lidt følsomme.

For de meget lidt følsomme data er der ikke tungtvejende sikkerhedsgrunde til ikke at placere dem i skyen (hvis man ser bort fra leverandøruafhængighed).

Det grundlæggende problem for de meget følsomme personhenførbare data er, at der ikke findes perfekt sikkerhed. En gang imellem går det galt, og når først en klump data er offentlig et sted på nettet er det umuligt at fjerne den igen. Bliver personhenførbaredata ved en fejl offentliggjort på nettet er det altså ikke muligt at slette dem igen!

Personhenførbare data kan være i skyen på forskellig vis. Enten 1) lagres data blot skyen, eller 2) også regnes der også på dem.

I tilfælde af 1) er det klart at kryptering kan være en hjælp – hvis man altså har styr på sin nøglehåndtering. Her kan man også forestille sig teknikker fra secret sharing og/eller fejlkorrigerende koder taget i anvendelse i en udmøntning af en del-og-hersk strategi. Selv når man benytter kryptering er der dog også det principielle i at der er åbnet for lagring i skyen; det øger risikoen for at man ved en fejl kommer til at lagre ikke-krypterede data eller ikke har benyttet tilstrækkelig stærk kryptering.

I tilfælde af 2) er problemet med meget følsomme data, at de med traditionelle løsninger vil skulle dekrypteres for at man kan regne på dem. Principielt kan dette løses med Secure Multiparty Computation, men denne teknologi er idag kun anvendelig for meget målrettede beregninger og er derfor ikke generelt anvendelig. Det er dog en teknologi med løfter for fremtiden.

Er man tilhænger af et forsigtighedsprincip vil det være nærlæggende at konkludere at Cloud Computing og personhenførbare data ikke passer sammen. Omvendt vil man formentlig kunne argumentere for det modsatte udfra en ren omkostningssbetragtning. Man kan selvfølgelig også have det standpunkt at lækager af fx elektroniske patientjournaler ikke er noget problem…

Redigeret 12/1-2010: Link til interview tilføjet.

Tagged: anvendt kryptografi, debat, SMC

Forskning i Elektroniske Markeder

Jakob I. Pagter — Tue, 15 Dec 2009 13:57:23 +0000

Alexandra Instituttet er med i det nye projekt: “Center for Forskning i Elektroniske Markeder”, som netop er bevilget fra Det Strategiske Forskningsråd. Projektet ledes af professor Ivan Damgård fra Aarhus Universitet og er et samarbejde mellem dataloger og økonomer som skal hjælpe dansk industri med at udnytte de ny muligheder i elektroniske markeder optimalt.

Konsortiet bag projektet består af:

Læs mere i Børsen og i Alexandras egen artikel om bevillingen.

Redigeret 16/1-10: Link til Alexandra-artikel tilføjet.

Tagged: anvendt kryptografi, FEM, SMC

Cloud computing i det offentlige – Digitaliser.dk

Jakob I. Pagter — Fri, 23 Oct 2009 09:13:31 +0000

Jeg har skrevet et indlæg på IT- og Telestyrelsens debatforum om brugen af Cloud Computing i det offentlige: Cloud computing i det offentlige – Digitaliser.dk.

Hovedpointen er en tese om at man – afhængigt af de typer af data man arbejder med – kan opnå enkel sikkerhed i skyen ved at bruge en del-og-hersk strategi. Til visse formål kan sådan en strategi realiseres vha. Secure Multiparty Computation (SMC).

Tagged: debat, SMC

Digital Signatur 2009

Jakob I. Pagter — Fri, 09 Oct 2009 13:59:17 +0000

Jeg har idag holdt indlæg på Dansk ITs konference “Digital Signatur 2009″. Titlen var “En status på kryptoalgoritmer – forældede algoritmer og fremtidssikre nøgler”.

Tagged: anvendt kryptografi, CACE, foredrag, sikker kommunikation

Konference om Sikkerhed og HR

Jakob I. Pagter — Fri, 09 Oct 2009 11:12:37 +0000

Den 26. november afholder vi og i-Trust i samarbejde med DI/ITEK og KITA et arrangement om de sikkerhedsudfordringer de følger i kølvandet på de “digitale indfødte”.

Programmet kan ses her, hvor man også kan tilmelde sig.

Tagged: arrangement, digitale indfødte

The Net will not forget

Jakob I. Pagter — Thu, 24 Sep 2009 09:28:56 +0000

Har idag holdt foredrag på konferencen The Net will not forget. Jeg forsøgte at give perspektiver på hvad Secure Multiparty Computation (SMC) kan bruges til i regi af privacy.

Tagged: CACE, foredrag, SIMAP, SMC

Skal sikkerhedsmodellen vendes på hovedet?

Jakob I. Pagter — Thu, 03 Sep 2009 19:50:12 +0000

Idag holdt jeg indlæg på Foreningen af Statsautorisede Revisorers konference “Sikkerhed og Revision 2009″. Titlen var “Skal sikkerhedsmodellen vendes på hovedet” og handlede om de sikkerhedsmæssige udfordringer der følger i kølvandet på bla. Pervasive og Cloud Computing.

Tagged: foredrag

Videnskab.dk: Mobilen skal sikre den digitale signatur

Jakob I. Pagter — Wed, 20 May 2009 08:07:45 +0000

Sybille Hildebrandt fra Videnskab.dk fortæller om ITSCI-projektet: Mobilen skal sikre den digitale signatur.Vi

Tagged: ITSCI, sikker kommunikation