Daily Archives: November 5, 2014

Energinet: Vi er kommet for sent ud af starthullerne

Sikkerheden halter på alle punkter hos den offentlige virksomhed Energinet.dk, som står for den danske el- og gasinfrastruktur. En intern rapport, som Energinet.dk har fået udarbejdet, viser, at organisationen er langt bagefter tilsvarende organisationer i andre lande. Det skal der nu rettes op på.

Hos Energinet.dk forsøger it-direktør Morten Gade Christensen ikke at bortforklare, at organisationen er bagud i forhold til branchens generelle niveau.

»Erkendelsen er, at vi er kommet for sent ud af starthullerne,« siger Morten Gade Christensen til Version2.

Energinet.dk har derfor lagt en plan, som i løbet af de næste tre år skal bringe sikkerhedsniveauet op mindst det samme niveau som resten af branchen og i det hele taget været bedre i stand til at imødegå sikkerhedstrusler.

»Målet er, at vi konstant skal udvikle os, så vores planer skal være på et sådant niveau, at de kan håndtere en ny situation,« siger Morten Gade Christensen.

Ambitionen er således, at Energinet.dk ikke blot i 2017 skal være på et tilfredsstillende niveau set fra 2014-perspektiv, men også være klar til at håndtere, hvad der måtte ligge ud i fremtiden af trusler mod organisationens infrastruktur.

Læs også: Intern rapport afslører utilstrækkelig sikkerhed hos Energinet.dk


Energinet.dk ligger et godt stykke under niveauet for tilsvarende organisationer ifølge rapporten om sikkerheden i Energinet.dk.

PWC, som har udarbejdet rapporten for Energinet.dk, har vurderet sikkerheden hos Energinet.dk i forhold til målepunkter i ISO-27001-standarden, og her opnår Energinet.dk et gennemsnit på 2,0. Det ligger væsentligt under gennemsnittet i branchen, som er mere end 3,0. Det er den tærskel, som Energinet.dk vil op på allerede i 2015, og i 2017 skal niveauet ligge på mindst 4,0. Det teoretiske optimum er 5,0.

Da det er på samtlige punkter, Energinet.dk skal stramme op, så er det også et ambitiøst projekt til trods for en tidshorisont på tre år.

»Vi gør mange ting. Vi har allerede investeret 110 millioner kroner i at udskifte vores SCADA-system til et mere tidssvarende,« siger Morten Gade Christensen.

SCADA-systemer, som bruges til at styre industrielle systemer, kom for alvor i søgelyset i 2010, da Stuxnet-ormen ramte en række virksomheder. Indtil da havde branchen været klar over, at der eksisterede problemer, fordi der især manglede en praksis for løbende sikkerhedsopdatering af SCADA-systemerne, men truslen havde været teoretisk.

Et væsentligt kritikpunkt i PWC-rapporten om Energinet.dk er problemer med adgangsstyringen, hvor der i dag mangler overblik over, hvilke brugere der har hvilke rettigheder til hvilke systemer.

»Det er ikke tilfredsstillende. Det rydder vi op i,« siger Morten Gade Christensen.

En del af forbedringerne vil Energinet.dk dog ikke gå i detaljer med af hensyn til sikkerheden. Derfor vil Morten Gade Christensen eksempelvis ikke uddybe, hvilke løsninger der vil blive anvendt til at få styr på adgangsstyringen.

Til gengæld er der andre aspekter af sikkerheden, som ikke er hemmelige.

»Vi gør en del ud af at træne adfærden hos vores brugere. Ligesom man kan få en phishing-mail, der ser ud til at komme fra Skat, så ser vi mange trusler i samme boldgade, så adfærden er essentiel,« fortæller Morten Gade Christensen.

Rapporten påpeger også, at der i mange kontrakter med leverandørerne ikke er tilstrækkelig beskrevet forholdene vedrørende it-sikkerhed. Det skal der også strammes op på i det omfang, det er muligt for Energinet.dk, som dog ifølge Morten Gade Christensen også bruger en del standardkontrakter for staten, som bruges af eksempelvis SKI.

Risikoen for hackerangreb eller cyberkrigsførelse mod kritisk infrastruktur som elforsyningen har været et varmt emne i sikkerhedskredse gennem flere år, men bortset fra nogle mindre hændelser i USA har der trods kritik af sikkerheden ikke været konstateret angreb.

Det mest omtalte eksempel var Stuxnet, som efter al sandsynlighed var et målrettet angreb mod et iransk uranforarbejdningsanlæg, som tilfældigvis også endte med at inficere andre virksomheder, dog uden at gøre alvorlig skade.

Stuxnet demonstrerede dog, at det var muligt at skade et anlæg gennem et målrettet angreb, også selvom selve de kritiske systemer ikke havde forbindelse til internettet, hvilket ellers havde været ét af argumenterne for, at risikoen ikke var stor.

Posted in computer.

Energinet: Vi er kommet for sent ud af starthullerne

Sikkerheden halter på alle punkter hos den offentlige virksomhed Energinet.dk, som står for den danske el- og gasinfrastruktur. En intern rapport, som Energinet.dk har fået udarbejdet, viser, at organisationen er langt bagefter tilsvarende organisationer i andre lande. Det skal der nu rettes op på.

Hos Energinet.dk forsøger it-direktør Morten Gade Christensen ikke at bortforklare, at organisationen er bagud i forhold til branchens generelle niveau.

»Erkendelsen er, at vi er kommet for sent ud af starthullerne,« siger Morten Gade Christensen til Version2.

Energinet.dk har derfor lagt en plan, som i løbet af de næste tre år skal bringe sikkerhedsniveauet op mindst det samme niveau som resten af branchen og i det hele taget været bedre i stand til at imødegå sikkerhedstrusler.

»Målet er, at vi konstant skal udvikle os, så vores planer skal være på et sådant niveau, at de kan håndtere en ny situation,« siger Morten Gade Christensen.

Ambitionen er således, at Energinet.dk ikke blot i 2017 skal være på et tilfredsstillende niveau set fra 2014-perspektiv, men også være klar til at håndtere, hvad der måtte ligge ud i fremtiden af trusler mod organisationens infrastruktur.

Læs også: Intern rapport afslører utilstrækkelig sikkerhed hos Energinet.dk


Energinet.dk ligger et godt stykke under niveauet for tilsvarende organisationer ifølge rapporten om sikkerheden i Energinet.dk.

PWC, som har udarbejdet rapporten for Energinet.dk, har vurderet sikkerheden hos Energinet.dk i forhold til målepunkter i ISO-27001-standarden, og her opnår Energinet.dk et gennemsnit på 2,0. Det ligger væsentligt under gennemsnittet i branchen, som er mere end 3,0. Det er den tærskel, som Energinet.dk vil op på allerede i 2015, og i 2017 skal niveauet ligge på mindst 4,0. Det teoretiske optimum er 5,0.

Da det er på samtlige punkter, Energinet.dk skal stramme op, så er det også et ambitiøst projekt til trods for en tidshorisont på tre år.

»Vi gør mange ting. Vi har allerede investeret 110 millioner kroner i at udskifte vores SCADA-system til et mere tidssvarende,« siger Morten Gade Christensen.

SCADA-systemer, som bruges til at styre industrielle systemer, kom for alvor i søgelyset i 2010, da Stuxnet-ormen ramte en række virksomheder. Indtil da havde branchen været klar over, at der eksisterede problemer, fordi der især manglede en praksis for løbende sikkerhedsopdatering af SCADA-systemerne, men truslen havde været teoretisk.

Et væsentligt kritikpunkt i PWC-rapporten om Energinet.dk er problemer med adgangsstyringen, hvor der i dag mangler overblik over, hvilke brugere der har hvilke rettigheder til hvilke systemer.

»Det er ikke tilfredsstillende. Det rydder vi op i,« siger Morten Gade Christensen.

En del af forbedringerne vil Energinet.dk dog ikke gå i detaljer med af hensyn til sikkerheden. Derfor vil Morten Gade Christensen eksempelvis ikke uddybe, hvilke løsninger der vil blive anvendt til at få styr på adgangsstyringen.

Til gengæld er der andre aspekter af sikkerheden, som ikke er hemmelige.

»Vi gør en del ud af at træne adfærden hos vores brugere. Ligesom man kan få en phishing-mail, der ser ud til at komme fra Skat, så ser vi mange trusler i samme boldgade, så adfærden er essentiel,« fortæller Morten Gade Christensen.

Rapporten påpeger også, at der i mange kontrakter med leverandørerne ikke er tilstrækkelig beskrevet forholdene vedrørende it-sikkerhed. Det skal der også strammes op på i det omfang, det er muligt for Energinet.dk, som dog ifølge Morten Gade Christensen også bruger en del standardkontrakter for staten, som bruges af eksempelvis SKI.

Risikoen for hackerangreb eller cyberkrigsførelse mod kritisk infrastruktur som elforsyningen har været et varmt emne i sikkerhedskredse gennem flere år, men bortset fra nogle mindre hændelser i USA har der trods kritik af sikkerheden ikke været konstateret angreb.

Det mest omtalte eksempel var Stuxnet, som efter al sandsynlighed var et målrettet angreb mod et iransk uranforarbejdningsanlæg, som tilfældigvis også endte med at inficere andre virksomheder, dog uden at gøre alvorlig skade.

Stuxnet demonstrerede dog, at det var muligt at skade et anlæg gennem et målrettet angreb, også selvom selve de kritiske systemer ikke havde forbindelse til internettet, hvilket ellers havde været ét af argumenterne for, at risikoen ikke var stor.

Posted in computer.

Erhvervsstyrelsen undersøger teleselskabers nummerpraksis nærmere

Erhvervsstyrelsen, som teleregulering hører under, vil have afklaret TDC, Telias og Telenors praksis med automatisk at videresende også hemmelige mobilnumre til det, teleselskaberne har beskrevet som udvalgte samarbejdspartnere.

I går, tirsdag 4. november, kunne direktør i teleselskabernes branchesamarbejde Jakob Willer meddelelse, at praksissen med automatisk at medsende mobilnumre ville høre inde senest i løbet af i dag onsdag, 5. november. Og den melding glæder kontorchef i Erhvervsstyrelsen Brian Wessel:

Læs også: Nu lukker teleselskaber for automatisk overførsel af mobilnumre til hjemmesider

»Vi har været i dialog med Jakob Willer om problemstillingen. Og vi er glade for, at branchen har kigget på det,« siger han.

Men når det er sagt, så kan Brian Wessel ikke på nuværende tidspunkt sige, om selskabernes praksis med at medsende numre til samarbejdspartnere, herunder hemmelige numre, har været ulovlig.

»Det er for tidligt at sige. Nu skal vi følge op på, om de stopper med at medsende numrene, og så skal vi have afklaret, hvad der præcist er foregået,« siger han.

Posted in computer.

Erhvervsstyrelsen undersøger teleselskabers nummerpraksis nærmere

Erhvervsstyrelsen, som teleregulering hører under, vil have afklaret TDC, Telias og Telenors praksis med automatisk at videresende også hemmelige mobilnumre til det, teleselskaberne har beskrevet som udvalgte samarbejdspartnere.

I går, tirsdag 4. november, kunne direktør i teleselskabernes branchesamarbejde Jakob Willer meddelelse, at praksissen med automatisk at medsende mobilnumre ville høre inde senest i løbet af i dag onsdag, 5. november. Og den melding glæder kontorchef i Erhvervsstyrelsen Brian Wessel:

Læs også: Nu lukker teleselskaber for automatisk overførsel af mobilnumre til hjemmesider

»Vi har været i dialog med Jakob Willer om problemstillingen. Og vi er glade for, at branchen har kigget på det,« siger han.

Men når det er sagt, så kan Brian Wessel ikke på nuværende tidspunkt sige, om selskabernes praksis med at medsende numre til samarbejdspartnere, herunder hemmelige numre, har været ulovlig.

»Det er for tidligt at sige. Nu skal vi følge op på, om de stopper med at medsende numrene, og så skal vi have afklaret, hvad der præcist er foregået,« siger han.

Posted in computer.

It-bøvl flere steder ved amerikansk valg

I forbindelse med det amerikanske midtvejsvalg, der fandt sted tirsdag, har flere valgkredse meldt om it-relaterede problemer. Det skriver Ars Technica.

IT-problemerne tirsdag inkluderede 11 stemmemaskiner ved stemmestederne Virginia Beach og Newport News i delstaten Virginia. I en udtalelse fra Virginia Department of Elections fremgår det, at maskiner af typen AccuVote TSX Touch Screen ændrede stemmerne til noget andet end det, vælgeren havde i sinde.

I meddelelsen står der også, at de berørte stemmesteder har haft tilstrækkeligt med maskiner i reserve til at de tekniske problemer ikke har påvirket valghandlingen.

Læs også: Analyse: Hvad kan vi lære af e-valgsdebatten?

»Touch screen-stemmemaskine vælgere har mulighed for at gennemse deres valg og lave endelige rettelser på en opsummeringsskærm inden deres stemme bliver afgivet. Hvis en maskine ikke afspejler vælgerens valg, så bør vælgeren gør en valgtilforordnet opmærksom på det inden stemmen bliver afgivet,« står der blandt andet i udtalelsen ifølge Ars Technica.

Flere andre problemer har ramt midtvejsvalget. Et andet eksempel er fra Connecticut, hvor guvernør Dan Malloy har forlænget flere valgsteders åbningstider som følge af ikke nærmere specificerede it-problemer. Og North Carolina var der eksempler på, at de forkerte lister med stemmeberettigede var blevet læst ind på USB-nøgler.

Ifølge Ars Technica, så er elektronisk stemmeafgivelse i USA på retur, fordi vælgere og valgtilforordnede har dalende tillid til de elektroniske stemmesystemer.

Posted in computer.

It-bøvl flere steder ved amerikansk valg

I forbindelse med det amerikanske midtvejsvalg, der fandt sted tirsdag, har flere valgkredse meldt om it-relaterede problemer. Det skriver Ars Technica.

IT-problemerne tirsdag inkluderede 11 stemmemaskiner ved stemmestederne Virginia Beach og Newport News i delstaten Virginia. I en udtalelse fra Virginia Department of Elections fremgår det, at maskiner af typen AccuVote TSX Touch Screen ændrede stemmerne til noget andet end det, vælgeren havde i sinde.

I meddelelsen står der også, at de berørte stemmesteder har haft tilstrækkeligt med maskiner i reserve til at de tekniske problemer ikke har påvirket valghandlingen.

Læs også: Analyse: Hvad kan vi lære af e-valgsdebatten?

»Touch screen-stemmemaskine vælgere har mulighed for at gennemse deres valg og lave endelige rettelser på en opsummeringsskærm inden deres stemme bliver afgivet. Hvis en maskine ikke afspejler vælgerens valg, så bør vælgeren gør en valgtilforordnet opmærksom på det inden stemmen bliver afgivet,« står der blandt andet i udtalelsen ifølge Ars Technica.

Flere andre problemer har ramt midtvejsvalget. Et andet eksempel er fra Connecticut, hvor guvernør Dan Malloy har forlænget flere valgsteders åbningstider som følge af ikke nærmere specificerede it-problemer. Og North Carolina var der eksempler på, at de forkerte lister med stemmeberettigede var blevet læst ind på USB-nøgler.

Ifølge Ars Technica, så er elektronisk stemmeafgivelse i USA på retur, fordi vælgere og valgtilforordnede har dalende tillid til de elektroniske stemmesystemer.

Posted in computer.

Sikkerhedsfrygt hos it-chefer blokerer for mobility

Austin, USA: Det er ofte sikkerhedsfrygt, der afholder it-chefer fra at køre virksomheden i retning af mere mobility og cloud-teknologi. Det viser en ny international undersøgelse lavet af Dell.

Undersøgelsen blev i går fremlagt på it-konferencen Dell World, der lige nu udspiller sig i it-gigantens hjemby Austin, Texas. 2000 it-chefer fra mellemstore virksomheder fordelt over hele verden blev adspurgt. Sikkerhed endte som den hyppigst angivne grund til, at virksomheder undlader at investere i cloud-teknologi og øget mobilitet.

Læs også Version2s Insight magasin om IT-sikkerhed og Bring Your Own Device.

Prasad Thrikutam er teknologichef for Dell Services, og han forstår godt bekymringen for at gøre virksomhedernes medarbejdere mere mobile.

»Sikkerhed er det største problem ved mobilitet. Mange adopterer ikke mobile teknologier af frygt for at tabe data. Vi har lært at sikre desktoppen. Men det er mobile har helt andre aspekter. Alene det at forstå, hvor sårbarhederne kan være, er blevet mere komplekst,« forklarer han.

Prasad Thrikutam understreger, at det langt fra kun er i brugernes hænder, der kan ske sikkerhedsbrud, når firmaplatformen bliver tilgængelig på smartphone og tablet. Dell-chefen nævner som eksempel et firma, der sikrede sig på brugersiden blandt andet med to-faktor verifikation, for efterfølgende at blive angrebet gennem ’back end’-systemet.

Mangler information for at håndtere sikkerhedsbrud

Langt størstedelen af It-cheferne angiver i undersøgelsen, at de mangler den tilstrækkelige information til at tage beslutninger om sikkerhedsrisici. Under en tredjedel mener, at de har den rette information til at tage risikobaserede beslutninger.

Den manglende information betyder også, at mange virksomheder ikke er klar til at reagere på et cyberangreb, lyder det fra Dell. Blot en ud af fire virksomheder har planer for at håndtere alle former for sikkerhedsbrud.

Men den viden er til stede, hvis it-cheferne leder det rigtig sted, mener Prasad Thrikutam. Han anbefaler, at man som it-chef danner sig et overblik over, hvilke kendte, relevante svagheder, der eksisterer. Derefter kan man lave en analyse af, hvordan svaghederne gør sig gældende for virksomheden.

Dells undersøgelse viser desuden, at tilliden til sikkerhedsbeslutninger er betydeligt højere i virksomheder, hvor ledelsen involverer sig i problemstillingen. I de fleste tilfælde er ledelsen dog fraværende, når det kommer til sikkerhed i selskabet.

Versions2’s rejseomkostninger i forbindelse med Dell World er betalt af Dell.

Posted in computer.

Sikkerhedsfrygt hos it-chefer blokerer for mobility

Austin, USA: Det er ofte sikkerhedsfrygt, der afholder it-chefer fra at køre virksomheden i retning af mere mobility og cloud-teknologi. Det viser en ny international undersøgelse lavet af Dell.

Undersøgelsen blev i går fremlagt på it-konferencen Dell World, der lige nu udspiller sig i it-gigantens hjemby Austin, Texas. 2000 it-chefer fra mellemstore virksomheder fordelt over hele verden blev adspurgt. Sikkerhed endte som den hyppigst angivne grund til, at virksomheder undlader at investere i cloud-teknologi og øget mobilitet.

Læs også Version2s Insight magasin om IT-sikkerhed og Bring Your Own Device.

Prasad Thrikutam er teknologichef for Dell Services, og han forstår godt bekymringen for at gøre virksomhedernes medarbejdere mere mobile.

»Sikkerhed er det største problem ved mobilitet. Mange adopterer ikke mobile teknologier af frygt for at tabe data. Vi har lært at sikre desktoppen. Men det er mobile har helt andre aspekter. Alene det at forstå, hvor sårbarhederne kan være, er blevet mere komplekst,« forklarer han.

Prasad Thrikutam understreger, at det langt fra kun er i brugernes hænder, der kan ske sikkerhedsbrud, når firmaplatformen bliver tilgængelig på smartphone og tablet. Dell-chefen nævner som eksempel et firma, der sikrede sig på brugersiden blandt andet med to-faktor verifikation, for efterfølgende at blive angrebet gennem ’back end’-systemet.

Mangler information for at håndtere sikkerhedsbrud

Langt størstedelen af It-cheferne angiver i undersøgelsen, at de mangler den tilstrækkelige information til at tage beslutninger om sikkerhedsrisici. Under en tredjedel mener, at de har den rette information til at tage risikobaserede beslutninger.

Den manglende information betyder også, at mange virksomheder ikke er klar til at reagere på et cyberangreb, lyder det fra Dell. Blot en ud af fire virksomheder har planer for at håndtere alle former for sikkerhedsbrud.

Men den viden er til stede, hvis it-cheferne leder det rigtig sted, mener Prasad Thrikutam. Han anbefaler, at man som it-chef danner sig et overblik over, hvilke kendte, relevante svagheder, der eksisterer. Derefter kan man lave en analyse af, hvordan svaghederne gør sig gældende for virksomheden.

Dells undersøgelse viser desuden, at tilliden til sikkerhedsbeslutninger er betydeligt højere i virksomheder, hvor ledelsen involverer sig i problemstillingen. I de fleste tilfælde er ledelsen dog fraværende, når det kommer til sikkerhed i selskabet.

Versions2’s rejseomkostninger i forbindelse med Dell World er betalt af Dell.

Posted in computer.

Dansk it-forsker vinder it-sikkerhedspris for banebrydende analysesoftware

Forestil dig, at du skal købe ny bil. Forestil dig, at du skal vælge, om du vil have den med eller uden automatgear. Med eller uden aircondition. Med eller uden soltag. Alene med disse tre valgmuligheder kan du lave otte forskellige variationer af bilen. Havde du 33 valgmuligheder, ville antallet af mulige variationer overstige antallet af mennesker på Jorden.

Forestil dig nu en produktfamilie som for eksempel Apples iPhones og iPads. Eller Android-styresystemet. Antallet af mulige variationer nærmer sig det uendelige, og en reel analyse af dem alle har ifølge IT-Universitetet i København (ITU) været umulig. Indtil nu. For det er her, Claus Brabrand og resten af teamet, ledet af Eric Bodden fra TU Darmstadt, har hævet barren med deres analysesoftware, SPL-lift.

Sådan skriver IT-Universitetet i København i en pressemeddelelse.

»Hidtil har man genereret alle kombinationsmuligheder inden for et stykke software og analyseret dem enkeltvis, hvis det har været muligt. Men der skal ikke være ret mange kombinationsmuligheder, før det bliver praktisk umuligt, og derfor har man groft sagt genereret et repræsentativt udsnit af varianterne i stedet og er så gået ud fra, at resten ville opføre sig i virkeligheden som i teorien,« siger Claus Brabrand.

Dette efterlader naturligvis producenten – og i sidste ende forbrugeren – med en risiko for, at der kan være fejl eller sikkerhedshuller et eller andet sted i koden, som ikke opdages i stikprøven. Huller, der i værste tilfælde kan føre til for eksempel læk af information.

»De huller kan opdages med SPL-lift, for nu er det blevet muligt at analysere hele familier af programmer på én gang. Og vi kan gøre det på minutter i stedet for år,« fortæller Claus Brabrand, der udgjorde den danske del af det internationale forskerteam med tyskerne Eric Bodden og Mira Mezini og brasilianerne Márcio Ribeiro, Társis Tolêdo og Paulo Borba.

Deutscher IT-Sicherheitspreis uddeles hvert andet år af Horst Görtz Fonden. I år blev der sat rekord med 66 kandidater, hvoraf 11 blev nominerede. Priserne gives for innovation inden for blandt andet it-sikkerhed, kryptografi og forsvar mod cyberangreb samt projekternes markedsrelevans, og med en samlet præmiesum på 200.000 euro er den en af de største privatfinansierede videnskabspriser.

Posted in computer.

Dansk it-forsker vinder it-sikkerhedspris for banebrydende analysesoftware

Forestil dig, at du skal købe ny bil. Forestil dig, at du skal vælge, om du vil have den med eller uden automatgear. Med eller uden aircondition. Med eller uden soltag. Alene med disse tre valgmuligheder kan du lave otte forskellige variationer af bilen. Havde du 33 valgmuligheder, ville antallet af mulige variationer overstige antallet af mennesker på Jorden.

Forestil dig nu en produktfamilie som for eksempel Apples iPhones og iPads. Eller Android-styresystemet. Antallet af mulige variationer nærmer sig det uendelige, og en reel analyse af dem alle har ifølge IT-Universitetet i København (ITU) været umulig. Indtil nu. For det er her, Claus Brabrand og resten af teamet, ledet af Eric Bodden fra TU Darmstadt, har hævet barren med deres analysesoftware, SPL-lift.

Sådan skriver IT-Universitetet i København i en pressemeddelelse.

»Hidtil har man genereret alle kombinationsmuligheder inden for et stykke software og analyseret dem enkeltvis, hvis det har været muligt. Men der skal ikke være ret mange kombinationsmuligheder, før det bliver praktisk umuligt, og derfor har man groft sagt genereret et repræsentativt udsnit af varianterne i stedet og er så gået ud fra, at resten ville opføre sig i virkeligheden som i teorien,« siger Claus Brabrand.

Dette efterlader naturligvis producenten – og i sidste ende forbrugeren – med en risiko for, at der kan være fejl eller sikkerhedshuller et eller andet sted i koden, som ikke opdages i stikprøven. Huller, der i værste tilfælde kan føre til for eksempel læk af information.

»De huller kan opdages med SPL-lift, for nu er det blevet muligt at analysere hele familier af programmer på én gang. Og vi kan gøre det på minutter i stedet for år,« fortæller Claus Brabrand, der udgjorde den danske del af det internationale forskerteam med tyskerne Eric Bodden og Mira Mezini og brasilianerne Márcio Ribeiro, Társis Tolêdo og Paulo Borba.

Deutscher IT-Sicherheitspreis uddeles hvert andet år af Horst Görtz Fonden. I år blev der sat rekord med 66 kandidater, hvoraf 11 blev nominerede. Priserne gives for innovation inden for blandt andet it-sikkerhed, kryptografi og forsvar mod cyberangreb samt projekternes markedsrelevans, og med en samlet præmiesum på 200.000 euro er den en af de største privatfinansierede videnskabspriser.

Posted in computer.