Innhold om Sikkerhet

Deling av persondata via tredjepart, som for eksempel dataplattformleverandør på allmenn sky, uten å gjøre tredjepart til databehandler

Risiko- og sårbarhetsanalyser blir ofte tunge og lite engasjerende. Her kan du lese om en mer kreativ og samarbeidsbasert måte å jobbe med risiko på.

Datamaskinen kommuniserer hele tiden med omverdenen. Noe er forventet, som oppdateringer og skylagring. Annen trafikk skjer uten at vi er klar over det.

Noen ganger lager vi nye domener og subdomener for funksjonalitet som enda ikke er lansert, eller selskaper som snart skal annonseres. Da kan det være greit å vite at det finnes noen mekanismer som sladrer på oss - og at sikkerhet er en av de viktigste grunnene til det!

Dagens lille sikkerhetstips – En introduksjon til kanskje den nyttigste av OWASPs sine lister: OWASP Top 10 Proactive Controls

I jakten på raskere innovasjon ønsker noen å avfeie personvern som unødvendig byråkrati. Men kan vi virkelig kalle noe innovativt hvis det overser grunnleggende ansvar for brukernes data? Personvern er ikke en hindring; det er en hygienefaktor – like viktig for programvare som sikkerhet er for biler. På samme måte som Volvo revolusjonerte bilsikkerhet, bør vi som utviklere og produktledere bygge applikasjoner med innebygget personvern fra starten. For produkter uten personvern har rett og slett ikke livets rett.

Når og hvorfor bør jeg bruke Row-Level Security? Ikke fengende nok? Hva med: "Sjekk ut julemetaforen ChatGPT lagde for å forklare RLS!"

Smidighet og sikkerhet kan ofte føles som to motsetninger. Så hvordan går vi frem for å sørge for å inkludere sikkerhet i den smidige utviklingsprosessen?

Katastrofen har skjedd! Du har funnet en alvorlig bug i koden din, du har slettet produksjonsdata, eller kanskje du trykket på den lenken i en epost du nå skjønner helt klart var phishing. Refleksen er kanskje å gjemme deg under pulten, skru av mobilen og lukke øynene. Du har i alle fall ikke lyst til å fortelle noen hva som har skjedd. Tenk om du får kjeft. Eller noen aktiverer krisestaben. Eller du får sparken. Eller verden går under! I stedet holder du alt for deg selv. Eller kanskje du prøver å fikse problemet. Alene og i stillhet. Hvis du bare får fikset alt trenger du sikkert ikke si ifra til noen - og da kommer alt til å gå bra.

Hvis sikkerhetstiltakene går på tvers av brukeropplevelsen blir systemene våre motarbeidet. Da kan mindre sikring gi bedre sikkerhet!

Post-quantum cryptography (PQC) er et uttrykk du kommer til å høre mer om fremover. Idag er ikke kvantedatamaskinene kraftige nok til å utgjøre en trussel mot dagens kryptografi, men det spås å endre seg mot slutten av tiåret. Tiltak vi gjør idag kan gi oss smidighet og kunnskap for å møte det som kommer. Hvordan gjør vi oss klare for PQC?

The role as software security developer is a relatively new role, and has its origins from Bekk’s security initiative. But how does a software security developer differ from a “regular” software developer?

I started my career as a developer in 2011. Soon I came upon the problem of a user proving who they are, and what they’re allowed to do. Seemed hard, but I reasoned I would get the hang of it quickly. That didn’t really happen. Authentication is hard. Authorization is harder. But. New tools and services make things easier. And today I will share a tiny crazy Kotlin tidbit that made my day a bit easier.

Det meldes jevnlig om nye sikkerhetshendelser, og det er ingen tvil om at sikkerhet har fått fast plass på dagsorden. Likevel kan det være utfordrende å få prioritert sikkerhet i hverdagen. Som et steg i riktig retning, må vi begynne å bevege oss bort fra at sikkerhet ses på som en "av-og-til"-aktivitet og mot at det jobbes med kontinuerlig.

DMARC er eit av dei beste våpena me har mot spoofing. Det viser seg at norske aktørar må skjerpe seg. Sjå kor gode dei er på dmarcstatus.no.