IEC 62443 serien er en vigtig set af sikkerhedsspecifikationer, som tit refereres. Den er der henad. Det er en god vejledning i hvad der skal indgå i en produktstandard, men det er ikke en protokolstandard med detaljeret beskrivelse af protokollen. IEC 62351-4 er et eksempel på en produktstandar...

Hej Rune, Tak for dit indlæg. Det virker som om, at jeg ikke har gjort mit synspunkt helt klart . Lad os antage, at en person skal købe en IoT dims, som opfylder visse funktionskarv, men ingen af de enheder, som findes på markedet, lever op til kravene i ETSI EN 303 645. Med overvejende stor san...

Inden dbatten om Kongeskibet afsporende debatten (en skibsmotor har ikke meget med consumer IoT at gøre), håbede jeg på nogle reaktioner på mit indlæg nummer 2. Erik Andersen

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige. Hvo...

To tredjedele lever I en uvidende drømmetilstand. Måske fordi CFCS har bildt folk ind, at hvis du overholder ISO/IEC 27001, så er den hellige grav velforvaret.

Der var engang hvor den diskussion var interessant. Det er den ikke længere. Der er bunker af gode algoritmer derude og der er i praksis ingen grund til ikke at vælge en der er sikker. Det er korrekt at der er sikre algoritmer derude, men det er ikke det samme, som de bliver anvendte. Vores infr...

Tja, briternes (og før dem polakkernes) brud på den tyske transmissionssikkerhed var jo ikke-invasiv Netop, men meget skadeligt alligevel. Med nogen synlighed har fremmede magter monitoreret vore kritiske infrastrukturer og ved, hvor svaghederne er. Vi ved godt hvad tyskerne (og japanerne) skull...

Det er velkendt, at tyskerne under 2. verdenskrig benyttede en kodningsmaskine kaldet Enigma til at sende kodede meddelelser mellem de enkelte militære enheder. Det er også kendt, at englænderne lykkedes med at bryde koden, hvilket skadede den tyske krigsførelse væsentligt og dermed forkortede kr...

Det er ikke nok, hvis man udskifter med lignende udstyr. Det bliver bare angrebet igen. Vi ligger, som vi har redt. CFCS har groft svigtet sit ansvar. Ligeledes har Erhvervsstyrelsen og Energistyrelsen. Noget tyder på, at problemet skyldes programmer baseret på standarder med manglende eller sva...

SNMP, syslog, DNS m.fl er gamle ukrypterede UDP-protokoller, der i dag som udgangspunkt er sårbare. Vi har med meget stor sandsynlighed en stor sump af ubeskyttede systemer også i vores kritiske infrastrukturer og sikkert ikke kun pga. af de standarder, som Rune nævner. Ved brug af en af tidens ...

Den må du meget gerne uddybe - hvor kommer SNMP ind i billedet? Se fx https://energycentral.com/c/iu/solarwinds-hack-can-directly-affect-contr... og https://www.alphaguardian.net/the-solarwinds-hack-is-only-the-beginning/

Det er min forståelse, det er manglende sikkerhed i Simple Network Management Protocol (SNMP). Den nyeste er version 3 og er mere end 20 år gammel og derfor ikke sikker. Det lyder som et angreb, som ikke kan imødegås af den danske strategi for cybersikkerhed.

Nu må vi bare håbe, at angriberne ikke ikke river el-nettet ned, så de etiske hackere ikke kommer til at side i belravende mørke med slukkede PC'er og wifi ude af funktion.

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige. Jeg ...

De forbundende enher må antages at kommunikere over internettet. Skal disse have en sikker kommunikation (autensitet, integritet og muligvis hemmeligholdes) så kræver det international cyber sikkerhedsstandarder, som i stor udstæktning ikke findes eller er for dårlige. Danske myndigheder ignorer...

Hvad ville du foreslå i stedet? ASN.1? Protobuf? XDR? Flatbuffers? Jeg ved min kommentar var provokerende. Jeg ved også, at det ikke er emne for artiklen. Jeg reagerede bare imod at de, som har opfundet XML har gjort menneskeheden en tjeneste, For at svare kort, så foreslår jeg ASN.1. Certifik...

En med-opfinder af XML skulle have fyret for længst. Tænk sig at der i moderne tid er opfundet en syntaks, der ikke kan transportere binære data uden en eller anden form for gimmick.

Ud over at virke skræmmende så afslører det en brutal virkelig. Tro r digitalstyrrelsen virkelig at bare ISO/IEC 27001 overholdes, så er sikkerheden i år?

Jeg har læst vejledningen. Det tog ikke mange minutter. Vejledningen undgår behændigt at omtale, at den potentiel største anvender af SCADA er det danske elnet. Så havde man nok ikke klaret det med en vejledning på brutto 14 sider og netto 11 sider med brede marginer. Nogle af vejningerne er for...

Der er nok ikke sket den store skade. De, som ud over balademagere kunne tænke sig at skade politikere eller Danmark, har allerede disse oplysninger og meget mere. Der er intet i National strategi for cyber- og informationssikkerhed, der forhindre en organisation med tilstrækkelige ressoucer at...