Sammanfattning

Hej, välkommen till bloggen.

Min förhoppning är att den här sidan kan tjänstgöra som en introduktion till och sammanfattning av bloggen för nya besökare.

Bakgrund

Jag som skriver heter Stefan Pettersson, jag arbetar som säkerhetsspecialist på konsultbolaget High Performance Systems (HPS) i Solna. Bloggen It-säkerhet enligt HPS startade sitt liv i under enkla former på HPS hemsida den 15 januari 2009. Det första inlägget skrev min dåvarande kollega Carl-Johan ”CJ” Bostorp.

Sedan gick det fort, vi flyttade till Blogg.se den 24 november samma år. Under våren 2010 lämnade CJ HPS, och därmed bloggen, för nya erfarenheter på annan plats. CJ kunde dock inte hålla sig från bloggandet länge utan startade den läsvärda bloggen Halkrisk i november 2010.

Stil

Inlägg kommer oregelbundet, jämfört med andra professionella bloggar får man erkänna att den här är low volume. Mitt sätt att skriva är tydligen ganska underligt; en blandning av kanslisvenska och talspråk sade någon. Det tar jag som en komplimang. När du läser, var beredd och uppmärksam på en hel del vardaglig humor, ironi, cynism och sarkasm. Sådan är jag i verkligheten, varför inte också i skrift? Ta det för vad det är.

Du kommer aldrig att hitta inlägg om att Adobe, Microsoft, Oracle o s v har släppt säkerhetspatchar. Vill du ha sådan information finns betydligt bättre bloggar att följa. Jag måste också tyvärr medge att jag sällan är särskilt snabb på bollen, du sällan hitta inlägg om minut-, tim- eller ens dagsaktuella händelser.

Bloggen och jag

Jag skriver för att skriva av mig. Jag skriver för att tvinga mig själv att organisera mina tankar. Jag skriver inte för att jag får betalt för det.

Bloggen är indirekt reklam för High Performance Systems. Med andra ord kommer jag inte att nämna produkter eller tjänster som företaget erbjuder. Jag försöker inte sälja något till dig. Däremot är naturligtvis avsikten att ge en god bild av företaget.

Ställningstaganden

Bloggen har inget speciellt tema eller särskilt ämnesområde men jag har ett par grundläggande uppfattningar om säkerhet som präglar de flesta inläggen:

  1. Säkerhet bygger i stor utsträckning på att ha ordning och reda.
  2. Säkerhet handlar bara delvis om att förhindra intrång, att kunna upptäcka och agera är viktigare. Det är ett exempel på generella åtgärder mot specifika sårbarheter.
  3. Säkerhet för information kräver, precis som nationell säkerhet (läs: militär), övning.
  4. Säkerhet är inte något som kan mätas eller beräknas, analys och resonemang baserad på logik och erfarenhet vinner alltid.
  5. Säkerhet är inte en materialsport; produkter är bara detaljer i säkerhetsarbetet.
  6. Säkerhet blir bättre med öppenhet.
  7. Säkerhet lider vid ogenomtänkta incitament.
  8. Säkerhet ska helst inte bygga på att göra säkerhetsbrister mindre sannolika; säkerhetsbrister ska göras mindre meningsfulla.

Viktiga inlägg

Det obestritt mest populära inlägget någonsin är det inledande inlägget om säkerheten i tunnelbanans spärrar. Naturligtvis har jag sett till att följa upp med ytterligare ett par inlägg, bland annat om säkerheten i SMS-biljetterna samt hur glasspärrarna kan drabba de anställda, lite forensicsactive defense och säkerhetsutbildning.

Jag är rätt förtjust i att skriva om säkerhet utanför it-sfären; till exempel om Postkodlotteriet, bankomaterfejkade märkeskläder och begagnade bilar.

Jag har inte så mycket till övers för gängse riskanalyser. Två inlägg pratar om de generella problemen; riskanalysens mörka hemlighet del 1 och del 2. Ytterligare ett kritiserar hur MSB försöker hjälpa aspirerande riskanalytiker.

Jag är inte helt främmande inställd till idén om software liability, att leverantören av mjukvara kan hållas ansvarig för säkerhetsbrister. Det har väl inte varit mina seriösaste inlägg kanske: generell observation, jämförelse med biltillverkare och förslag till nytt tv-program. Relaterat är också ett inlägg om personuppgiftslagen (PuL) och att man inte kan bli straffad för att bryta mot regeln om lämplig säkerhetsnivå (31 §). Ett uppföljande inlägg ger exempel på lägen då ett straff kan vara lämpligt.

To be continued.

Annonser