SlideShare a Scribd company logo

Cybersecurity inom bilindustrin

Transcendent Group
Transcendent Group

Presentation från GRC 2016 den 19 maj. Kontakta gärna talaren om du har några frågor.

Economy & Finance
1 of 28
Download to read offline
Cybersecurity inom bilindustrin Marcus Larsson GRC 2016, 19 maj
Om mig • CIO och CISO på Transcendent Group. • Senior säkerhetsspecialist med bakgrund som GRC-konsult, IT- revisor och IT-säkerhetskonsult. • CISSP, CISA, CISM, CRISC, CGEIT, CEH, ITIL-certifierad. ©TranscendentGroupSverigeAB2016
Agenda • Safety and security: en titt i backspegeln. • Ett nytt hotlandskap: vad betyder det för bilindustrin idag och i framtiden? • Designing success: inkorporera IT-säkerhet in i organisationella processer ©TranscendentGroupSverigeAB2016
Safety and security: en titt i backspegeln ©TranscendentGroupSverigeAB2016
Safety and security Safety • säkerhet för liv och lem • säkerhet i bilar = ambitionen att rädda liv och undvika skador • fysiska produkter såsom sätesbälten och airbags. Security • skydda verksamheten och produkterna fysiskt • fysiska barriärer och kontroller som skyddar från stöld av fysiska produkter och ritningar var tillräckligt för att skydda verksamheten. ©TranscendentGroupSverigeAB2016
En titt framåt • Säkerhetsprodukter utvecklas konstant och framtida säkerhetsprodukter kommer alltmer involvera intelligenta funktioner (mjukvara). • Exempel på intelligenta säkerhetsprodukter: intelligenta bromsar, mörkerseende och radarlösningar. • Utveckling från mestadels fysiska säkerhetsprodukter till mer intelligenta säkerhetsprodukter medför nya risker och hotvektorer. ©TranscendentGroupSverigeAB2016
Fysiska vs mjukvarumässiga produktlivscykler • För enbart fysiska produkter kan en garanti ofta ges exempelvis att de förväntas hålla i ett visst antal år. • Kan man idag lämna liknande garantier på intelligenta säkerhetsprodukter? • Vad är den förväntade livslängden av en normal bil och dess säkerhetsprodukter idag? • En intressant jämförelse är att Microsoft sällan stödjer mjukvarusäkerhetsuppdateringar för operativsystemet Windows i mer än 10 år och Google (Android) inte mer än 18 månader. ©TranscendentGroupSverigeAB2016
Ett nytt hotlandskap ©TranscendentGroupSverigeAB2016
Hacking Varför? • sabotage • stöld av pengar eller information • erkännande Vem? • forskare • före detta anställda • konkurrenter (rent a hacker) • hacktivister Hur? • ökad komplexitet medför ökad risk • användandet av funktioner och gränssnitt på sätt de inte var ämnade ©TranscendentGroupSverigeAB2016
Sårbarheter Kända sårbarheter • ”In IT security, a vulnerability is a weakness which allows an attacker to reduce a system's information assurance.” • Forskas kring löpande och priser/belöningar delas ibland ut för uppdagade av sårbarheter. • Har långtgående efterverkningar. Egenutvecklade sårbarheter • Inhemska risker kopplade till olika programmeringsspråk som exempelvis C och SQL. • Lätt att motverka lågt hängande frukt. • Låg tolerans för och går emot god sed-principer. ©TranscendentGroupSverigeAB2016
Hur vanliga är sårbarheter? Källa: National vulnerability database via GFI.com 2010 2011 2012 2013 2014 vulnerabilities 4258 3532 4347 4794 7038 2500 3000 3500 4000 4500 5000 5500 6000 6500 7000 7500 ©TranscendentGroupSverigeAB2016
Security through obscurity Säkerhet genom obskyritet är inte en bra försvarstaktik. Teorin om särskild kunskap: • ”Ingen vet detta…” • ”Utnyttjande av denna sårbarhet kräver viss kunskap och kompetens” Teorin om fysisk proximitet: • ”Man måste vara i bilen för att göra detta!” • ”Man måste vara inom 10 meter av bilen för att göra detta!” • ”Man måste vara inom 1 kilometer av bilen för att göra detta!” • ”Du måste vara på internet för att göra detta…” ©TranscendentGroupSverigeAB2016
Ständigt uppkopplade bilar Drivande faktorer: infotainment (Apple och Google) Mjukvaruuppdateringar Internet of things • “Shodan is the world's first search engine for internet-connected devices.” • Webkameror, skrivare, kylskåp, byggnader, kärnkraftverk, bilar. • Även om Shodan är ett verktyg som används i forskningssyfte så kan dess funktionalitet replikeras för mer ljusskygga aktiviteter. ”Oroa dig inte kära kund, din bil är helt säker! Men den går att fjärrstyras av vem som helst på internet…” - ditt bilföretag ©TranscendentGroupSverigeAB2016
IT-säkerhet är lika viktigt som fysisk säkerhet • Gällande intelligenta produkter är dessa två sorters säkerhet två sidor av samma mynt. • Man kan inte ha det ena utan det andra. • Därför måste säkerhet vara en integrerad del av designen och hela vägen fram till produktens livslängd löpt ut. ©TranscendentGroupSverigeAB2016
Vad står på spel? • VD sedan 2007 avgick. • Volkswagen måste eventuellt återkalla 11 miljoner bilar. • Aktien föll 40 % på en vecka. • Kreditmätningsbyrån Fitch, har uttryckt att denna skandal är en “vändpunkt” för hela globala bilindustrin och kommer ha “omfattande och långtgående efterverkningar”. ©TranscendentGroupSverigeAB2016
Designing success: inkorporera säkerhet i existerande processer ©TranscendentGroupSverigeAB2016
Designa er egen framgång • Strukturerat arbete från A till Z, succé är inte en slump. • Holistisk och riskbaserad approach: säker mjukvaruutveckling, hotintelligens och sårbarhetshantering, incident och forensiska processer. ©TranscendentGroupSverigeAB2016
Riskanalys • Förstå era produkter: Vilka hotvektorer finns? Vilken säkerhetsnivå bör finnas? • Förstå er omgivning: Vad händer i er värld? Finns det kända sårbarheter i era produkter? • Förstå era processer: Vem gör vad och när? ©TranscendentGroupSverigeAB2016
Det procedurella angreppsättet Definition av process: • Vem gör vad och när? • Vem tillser att vad blir gjort och när samt att vad är rätt sak att göra? Process Substantiv pro·cess ˈprå-ˌses, ˈprō-, -səs :a En serie händelser som producerar något som leder till ett förväntat resultat ©TranscendentGroupSverigeAB2016
Processer: antiproduktivitet i förklädnad? Några citat: • ”Processer innebär bara massa byråkrati!” • ”Tid är pengar!” • ”Och när skall vi jobba på riktigt då?” Henry Ford, löpande bandet: • specialisering • effektivisering • högre kvalitet • billigare • säkrare ©TranscendentGroupSverigeAB2016
Processer för att motverka sårbarheter (mjukvarulivscyckelhantering) Strukturerad utveckling och designprocess: • motverkar uppkomsten av skadlig kod • genomtänkt ur produkthänsyn och robusthet • nutida och framtida hotlandskap för koden analyserat. Det behövs även process för övervakning av uppkomsten av nya sårbarheter: • interagerar med redan produktionssatt kod • ställer krav på framställan av kod. ©TranscendentGroupSverigeAB2016
Utmaningar med säker kod • Vad som är säker kod är inte lika intuitivt att avgöra som exempelvis kompakt kod eller snabb kod. • Kräver särskild kompetens och fortsatt träning. • Vad som är säkert idag är inte nödvändigt säkert imorgon. Heartbleed, Shellshock, Poodle, SSL/TLS. ©TranscendentGroupSverigeAB2016
Några extrema exempel NASA • Ett års arbete och kvalitetskontroller för att ändra tre rader kod i en Mars Rover. • En bluescreen per 15 år. Angry Birds • Från sekunder till minuter mellan releases. Hur mycket fokus lägger bilföretagen på säker kod idag? ©TranscendentGroupSverigeAB2016
Best practice gällande säker kodning • löpande riskanalyser • segregation of duties • dualitet • procedurell kvalitet och säkerhetstestning • verktygsstödda processer: OWASP, Debuggers • processen uppdateras i takt med omgivningen. Testkriterier: • snabb? • kompakt? • säker? ©TranscendentGroupSverigeAB2016
Incidentprocess Upptäcka nya hot: • strukturerad hotintelligens • vetskap om din produkt och dess hotvektorer samt hotlandskap. Incidentprocess: • sårbarhetshantering • forensics • lärande processer. ©TranscendentGroupSverigeAB2016
Hitta balansen • Hur är balansen mellan säkerhet och produktutveckling? • För lågt fokus på risk innebär risk för långtgående negativa effekter. • Med för högt fokus blir processerna onödigt långsamma och kostsamma vilket kan få negativ effekt på vinstmarginaler. ©TranscendentGroupSverigeAB2016
Tre saker att komma ihåg • Safety och security är nu samma sak. • Mjukvarulivscykeln är sannolikt lika lång som den fysiska produktens förmodade livslängd. • Framgång är inte en slump. ©TranscendentGroupSverigeAB2016
www.transcendentgroup.com

Recommended

Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
Transcendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
Transcendent Group
 

Recommended

Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
Transcendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
Transcendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
Transcendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Transcendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
Transcendent Group
 
Riskhantering
RiskhanteringRiskhantering
RiskhanteringNils Thulin
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Transcendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Transcendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
Transcendent Group
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governance
Transcendent Group
 
Riskanalysen
RiskanalysenRiskanalysen
Riskanalysen
Nils Thulin
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
Transcendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Transcendent Group
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
Transcendent Group
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Transcendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Transcendent Group
 

More Related Content

What's hot

Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
Transcendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Transcendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
Transcendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Transcendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Transcendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
Transcendent Group
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governance
Transcendent Group
 
Riskanalysen
RiskanalysenRiskanalysen
Riskanalysen
Nils Thulin
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
Transcendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Transcendent Group
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit
 

What's hot (19)

Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governance
 
Riskanalysen
RiskanalysenRiskanalysen
Riskanalysen
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
 
Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018Frontit seminarium: Business Security Stockholm 31/1 2018
Frontit seminarium: Business Security Stockholm 31/1 2018
 

Viewers also liked

Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
Transcendent Group
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Transcendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Transcendent Group
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Transcendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Transcendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
Transcendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
Transcendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Transcendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
Transcendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Transcendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Transcendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
Transcendent Group
 
Frukostseminarium om molntjänster
Frukostseminarium om molntjänsterFrukostseminarium om molntjänster
Frukostseminarium om molntjänster
Transcendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Transcendent Group
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
Transcendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
Transcendent Group
 

Viewers also liked (20)

Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
 
Frukostseminarium om molntjänster
Frukostseminarium om molntjänsterFrukostseminarium om molntjänster
Frukostseminarium om molntjänster
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 

Similar to Cybersecurity inom bilindustrin

Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDLJohan Lindfors
 
Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009
Anna Näsmark
 
Portwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & SecurityPortwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & SecurityPredrag Mitrovic
 
Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaAnna Näsmark
 
Nygammalt om molnlöftet
Nygammalt om molnlöftetNygammalt om molnlöftet
Nygammalt om molnlöftet
Predrag Mitrovic
 
Identiteter nordic edge april 2011
Identiteter nordic edge april 2011Identiteter nordic edge april 2011
Identiteter nordic edge april 2011
Predrag Mitrovic
 
Mantacore Whitepaper Standard System Sv
Mantacore Whitepaper Standard System SvMantacore Whitepaper Standard System Sv
Mantacore Whitepaper Standard System Sv
Mantacore
 
Mantacore Whitepaper Standard System
Mantacore Whitepaper Standard SystemMantacore Whitepaper Standard System
Mantacore Whitepaper Standard System
Mantacore
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
Rolf Häsänen
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
Idenet
 
Gigant LYFT folder
Gigant LYFT folderGigant LYFT folder
Gigant LYFT folder
Gigant
 
Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217
Bjorn Elmberg
 
Symantec Code Signing (SE)
Symantec Code Signing (SE)Symantec Code Signing (SE)
Symantec Code Signing (SE)
Symantec Website Security
 
Internet of unsecure things
Internet of unsecure thingsInternet of unsecure things
Internet of unsecure thingsPatrick Kall
 
checklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhetchecklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhet
Oskar Ehrnström
 
Vad blir nästä steg mot den smarta försäkringsindustrin
Vad blir nästä steg mot den smarta försäkringsindustrinVad blir nästä steg mot den smarta försäkringsindustrin
Vad blir nästä steg mot den smarta försäkringsindustrin
Tieto Corporation
 
Niclas Jacobsson - Svenskt moln på kundens villkor BC14
Niclas Jacobsson - Svenskt moln på kundens villkor BC14Niclas Jacobsson - Svenskt moln på kundens villkor BC14
Niclas Jacobsson - Svenskt moln på kundens villkor BC14
IBM Sverige
 
Sig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & MolnsäkerhetSig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & Molnsäkerhet
Predrag Mitrovic
 

Similar to Cybersecurity inom bilindustrin (20)

Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDL
 
Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009
 
Gassås-broschyr
Gassås-broschyrGassås-broschyr
Gassås-broschyr
 
Gassås Folder 2014
Gassås Folder 2014Gassås Folder 2014
Gassås Folder 2014
 
Portwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & SecurityPortwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & Security
 
Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 Agenda
 
Nygammalt om molnlöftet
Nygammalt om molnlöftetNygammalt om molnlöftet
Nygammalt om molnlöftet
 
Identiteter nordic edge april 2011
Identiteter nordic edge april 2011Identiteter nordic edge april 2011
Identiteter nordic edge april 2011
 
Mantacore Whitepaper Standard System Sv
Mantacore Whitepaper Standard System SvMantacore Whitepaper Standard System Sv
Mantacore Whitepaper Standard System Sv
 
Mantacore Whitepaper Standard System
Mantacore Whitepaper Standard SystemMantacore Whitepaper Standard System
Mantacore Whitepaper Standard System
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
 
Gigant LYFT folder
Gigant LYFT folderGigant LYFT folder
Gigant LYFT folder
 
Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217
 
Symantec Code Signing (SE)
Symantec Code Signing (SE)Symantec Code Signing (SE)
Symantec Code Signing (SE)
 
Internet of unsecure things
Internet of unsecure thingsInternet of unsecure things
Internet of unsecure things
 
checklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhetchecklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhet
 
Vad blir nästä steg mot den smarta försäkringsindustrin
Vad blir nästä steg mot den smarta försäkringsindustrinVad blir nästä steg mot den smarta försäkringsindustrin
Vad blir nästä steg mot den smarta försäkringsindustrin
 
Niclas Jacobsson - Svenskt moln på kundens villkor BC14
Niclas Jacobsson - Svenskt moln på kundens villkor BC14Niclas Jacobsson - Svenskt moln på kundens villkor BC14
Niclas Jacobsson - Svenskt moln på kundens villkor BC14
 
Sig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & MolnsäkerhetSig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & Molnsäkerhet
 

More from Transcendent Group

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
Transcendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Transcendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Transcendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Transcendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Transcendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
Transcendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Transcendent Group
 

More from Transcendent Group (7)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 

Cybersecurity inom bilindustrin

  • 2. Om mig • CIO och CISO på Transcendent Group. • Senior säkerhetsspecialist med bakgrund som GRC-konsult, IT- revisor och IT-säkerhetskonsult. • CISSP, CISA, CISM, CRISC, CGEIT, CEH, ITIL-certifierad. ©TranscendentGroupSverigeAB2016
  • 3. Agenda • Safety and security: en titt i backspegeln. • Ett nytt hotlandskap: vad betyder det för bilindustrin idag och i framtiden? • Designing success: inkorporera IT-säkerhet in i organisationella processer ©TranscendentGroupSverigeAB2016
  • 4. Safety and security: en titt i backspegeln ©TranscendentGroupSverigeAB2016
  • 5. Safety and security Safety • säkerhet för liv och lem • säkerhet i bilar = ambitionen att rädda liv och undvika skador • fysiska produkter såsom sätesbälten och airbags. Security • skydda verksamheten och produkterna fysiskt • fysiska barriärer och kontroller som skyddar från stöld av fysiska produkter och ritningar var tillräckligt för att skydda verksamheten. ©TranscendentGroupSverigeAB2016
  • 6. En titt framåt • Säkerhetsprodukter utvecklas konstant och framtida säkerhetsprodukter kommer alltmer involvera intelligenta funktioner (mjukvara). • Exempel på intelligenta säkerhetsprodukter: intelligenta bromsar, mörkerseende och radarlösningar. • Utveckling från mestadels fysiska säkerhetsprodukter till mer intelligenta säkerhetsprodukter medför nya risker och hotvektorer. ©TranscendentGroupSverigeAB2016
  • 7. Fysiska vs mjukvarumässiga produktlivscykler • För enbart fysiska produkter kan en garanti ofta ges exempelvis att de förväntas hålla i ett visst antal år. • Kan man idag lämna liknande garantier på intelligenta säkerhetsprodukter? • Vad är den förväntade livslängden av en normal bil och dess säkerhetsprodukter idag? • En intressant jämförelse är att Microsoft sällan stödjer mjukvarusäkerhetsuppdateringar för operativsystemet Windows i mer än 10 år och Google (Android) inte mer än 18 månader. ©TranscendentGroupSverigeAB2016
  • 9. Hacking Varför? • sabotage • stöld av pengar eller information • erkännande Vem? • forskare • före detta anställda • konkurrenter (rent a hacker) • hacktivister Hur? • ökad komplexitet medför ökad risk • användandet av funktioner och gränssnitt på sätt de inte var ämnade ©TranscendentGroupSverigeAB2016
  • 10. Sårbarheter Kända sårbarheter • ”In IT security, a vulnerability is a weakness which allows an attacker to reduce a system's information assurance.” • Forskas kring löpande och priser/belöningar delas ibland ut för uppdagade av sårbarheter. • Har långtgående efterverkningar. Egenutvecklade sårbarheter • Inhemska risker kopplade till olika programmeringsspråk som exempelvis C och SQL. • Lätt att motverka lågt hängande frukt. • Låg tolerans för och går emot god sed-principer. ©TranscendentGroupSverigeAB2016
  • 11. Hur vanliga är sårbarheter? Källa: National vulnerability database via GFI.com 2010 2011 2012 2013 2014 vulnerabilities 4258 3532 4347 4794 7038 2500 3000 3500 4000 4500 5000 5500 6000 6500 7000 7500 ©TranscendentGroupSverigeAB2016
  • 12. Security through obscurity Säkerhet genom obskyritet är inte en bra försvarstaktik. Teorin om särskild kunskap: • ”Ingen vet detta…” • ”Utnyttjande av denna sårbarhet kräver viss kunskap och kompetens” Teorin om fysisk proximitet: • ”Man måste vara i bilen för att göra detta!” • ”Man måste vara inom 10 meter av bilen för att göra detta!” • ”Man måste vara inom 1 kilometer av bilen för att göra detta!” • ”Du måste vara på internet för att göra detta…” ©TranscendentGroupSverigeAB2016
  • 13. Ständigt uppkopplade bilar Drivande faktorer: infotainment (Apple och Google) Mjukvaruuppdateringar Internet of things • “Shodan is the world's first search engine for internet-connected devices.” • Webkameror, skrivare, kylskåp, byggnader, kärnkraftverk, bilar. • Även om Shodan är ett verktyg som används i forskningssyfte så kan dess funktionalitet replikeras för mer ljusskygga aktiviteter. ”Oroa dig inte kära kund, din bil är helt säker! Men den går att fjärrstyras av vem som helst på internet…” - ditt bilföretag ©TranscendentGroupSverigeAB2016
  • 14. IT-säkerhet är lika viktigt som fysisk säkerhet • Gällande intelligenta produkter är dessa två sorters säkerhet två sidor av samma mynt. • Man kan inte ha det ena utan det andra. • Därför måste säkerhet vara en integrerad del av designen och hela vägen fram till produktens livslängd löpt ut. ©TranscendentGroupSverigeAB2016
  • 15. Vad står på spel? • VD sedan 2007 avgick. • Volkswagen måste eventuellt återkalla 11 miljoner bilar. • Aktien föll 40 % på en vecka. • Kreditmätningsbyrån Fitch, har uttryckt att denna skandal är en “vändpunkt” för hela globala bilindustrin och kommer ha “omfattande och långtgående efterverkningar”. ©TranscendentGroupSverigeAB2016
  • 16. Designing success: inkorporera säkerhet i existerande processer ©TranscendentGroupSverigeAB2016
  • 17. Designa er egen framgång • Strukturerat arbete från A till Z, succé är inte en slump. • Holistisk och riskbaserad approach: säker mjukvaruutveckling, hotintelligens och sårbarhetshantering, incident och forensiska processer. ©TranscendentGroupSverigeAB2016
  • 18. Riskanalys • Förstå era produkter: Vilka hotvektorer finns? Vilken säkerhetsnivå bör finnas? • Förstå er omgivning: Vad händer i er värld? Finns det kända sårbarheter i era produkter? • Förstå era processer: Vem gör vad och när? ©TranscendentGroupSverigeAB2016
  • 19. Det procedurella angreppsättet Definition av process: • Vem gör vad och när? • Vem tillser att vad blir gjort och när samt att vad är rätt sak att göra? Process Substantiv pro·cess ˈprå-ˌses, ˈprō-, -səs :a En serie händelser som producerar något som leder till ett förväntat resultat ©TranscendentGroupSverigeAB2016
  • 20. Processer: antiproduktivitet i förklädnad? Några citat: • ”Processer innebär bara massa byråkrati!” • ”Tid är pengar!” • ”Och när skall vi jobba på riktigt då?” Henry Ford, löpande bandet: • specialisering • effektivisering • högre kvalitet • billigare • säkrare ©TranscendentGroupSverigeAB2016
  • 21. Processer för att motverka sårbarheter (mjukvarulivscyckelhantering) Strukturerad utveckling och designprocess: • motverkar uppkomsten av skadlig kod • genomtänkt ur produkthänsyn och robusthet • nutida och framtida hotlandskap för koden analyserat. Det behövs även process för övervakning av uppkomsten av nya sårbarheter: • interagerar med redan produktionssatt kod • ställer krav på framställan av kod. ©TranscendentGroupSverigeAB2016
  • 22. Utmaningar med säker kod • Vad som är säker kod är inte lika intuitivt att avgöra som exempelvis kompakt kod eller snabb kod. • Kräver särskild kompetens och fortsatt träning. • Vad som är säkert idag är inte nödvändigt säkert imorgon. Heartbleed, Shellshock, Poodle, SSL/TLS. ©TranscendentGroupSverigeAB2016
  • 23. Några extrema exempel NASA • Ett års arbete och kvalitetskontroller för att ändra tre rader kod i en Mars Rover. • En bluescreen per 15 år. Angry Birds • Från sekunder till minuter mellan releases. Hur mycket fokus lägger bilföretagen på säker kod idag? ©TranscendentGroupSverigeAB2016
  • 24. Best practice gällande säker kodning • löpande riskanalyser • segregation of duties • dualitet • procedurell kvalitet och säkerhetstestning • verktygsstödda processer: OWASP, Debuggers • processen uppdateras i takt med omgivningen. Testkriterier: • snabb? • kompakt? • säker? ©TranscendentGroupSverigeAB2016
  • 25. Incidentprocess Upptäcka nya hot: • strukturerad hotintelligens • vetskap om din produkt och dess hotvektorer samt hotlandskap. Incidentprocess: • sårbarhetshantering • forensics • lärande processer. ©TranscendentGroupSverigeAB2016
  • 26. Hitta balansen • Hur är balansen mellan säkerhet och produktutveckling? • För lågt fokus på risk innebär risk för långtgående negativa effekter. • Med för högt fokus blir processerna onödigt långsamma och kostsamma vilket kan få negativ effekt på vinstmarginaler. ©TranscendentGroupSverigeAB2016
  • 27. Tre saker att komma ihåg • Safety och security är nu samma sak. • Mjukvarulivscykeln är sannolikt lika lång som den fysiska produktens förmodade livslängd. • Framgång är inte en slump. ©TranscendentGroupSverigeAB2016