IoTSec:IoTSec Styremøte Okt2016

Title	IoTSec Styremøte Y1
Place	GotoMeeting
Date, Time	2016/10/26, 1700-1800
Contact Person	Josef Noll
Participants	Bjarne Tarjei Haugen, Olaf Owe, Otto Andreas Rustand, Stian Løvold, Yan Zhang, Åsmund Skomedal, Sofie Nystrøm, Nils Kalstad Svendsen
related to Project	IoTSec
Keywords

this page was created by Special:FormEdit/Meeting, and can be edited by Special:FormEdit/Meeting/IoTSec:IoTSec Styremøte Okt2016

Category:Meeting

Venue

Gotomeeting og telefon

Agenda & Minutes

Media:Bakgrunnsmaterial_styremøte_IoTSec_comments.pdf - Slideset with decisions

Agenda

Orienteringssaker:

• Kort informasjon om status etter 1. år i prosjektet
• Forberedelse til møte med Forskningsrådet 23Nov2016, kl 1130-1530, særlig: innspill til NFR til fokus på research

Beslutningssaker

• Valg av styrets leder
• Arbeidspakkeledelse og forventete resultater (deliverables,++)
• Behandling av sikkerhetsrelevante informasjon

Minutes - Orienteringssaker

Kort informasjon om status etter 1. år i prosjektet

Summary:

• excellent growth of scientific network,
• good scientific outcome,
• good involvement of students,
• excellent success rate of novel projects

• 2 PhD and 3 PostDoc positions are filled, offer for the final PhD position was accepted
• Consolidated plans for Smart Grid Security Centre are established.
• Extended Collaboration with Groups and Initiatives, grown from 11 to 19 partners
  • UiA joined, and 6 external professors (UiA, UiO/Simula, Chalmers, Univ Copenhagen)
• EU Horizon 2020 project INVADE accepted coordinated by IoTSec partner NCE Smart, with 3 partners from IoTSec
• JU ECSEL project proposal SCOTT submitted as IA, with UiO as Technology Leaders and Norwegian consortium coordinator, 7 Norwegian partners
• Strategic Research Partnership of UiO with the Virtual Vehicle Research Centre (Austria) on security and digital systems
• Dieter Hirdes got awarded by EU Energy Group, Josef by Virtual Vehicle Research Centre in Austria

Scientific outcome

• 4 conference contributions
• 1 anthology
• 4 journal contributions
• 1 special issue co-editor
• Masterstudents
  • 3 ongoing, 1 finished, 9 open topics
• 2 new courses
  • IoT Security (UNIK) and Energy Informatics (Ifi) plus one existing course

Dissemination

• 13 Presentations given, including Smart Grid Conf, Nemko, Sintef, NCE partner forum
• dedicated face to face meetings with other actors like Hafslund, Agder Energi, Eidsiva Energi and Kragerø Energi
• Twitter channels, Web page
• Forberedelse til møte med Forskningsrådet 23Nov2016, kl 1130-1530, særlig: innspill til NFR til fokus på research

Focus of research is more actual than ever, see attack on Dyn in USA. Source: [1]

Scientific challenges

• missing descriptions of distribution grid
  • varying security awareness in industry, often “security by obscurity”
  • different security viewpoint

Collaboration challenges

• Academic versus industrial viewpoint
  • “language missmatch”
  • Academic: long term, open available information, e.g. Smart Home focus
  • Industry: current challenges, e.g. focus on grid

Focus on Smart Grid Security Centre (SGSC)

• Expected contributions
• Academia has focus on science

Recommendations to the Research Council

Recommendations on the overall Research Portfolje

• Access to attack database"'

IoTSec recommendations for future research

High-level recommendations and more detailed research specific challenges as identified by IoTSec (Nov2016)

• Privacy labelling: We have identified privacy labelling as a potential for making privacy work into a commercially viable alternative for companies that put more privacy into their products, apps, services. These can be seen for privacy the same as the energy labels for electronic equipment. - see: IoTSec:Privacy_Label
• Regulations and policies: Pilot-based developments of regulations, allowance to fail, answering the need for quick developments.
  Adoption of ISO 27000 as done in Norwegian Oil and Gass(?)
• User-involvement: Research should be directed more towards the society, towards people. Incorporate citizens in projects, give them power to participate. E.g. high-frequency reading from smart meters
• Early design: Use of fast prototyping and visualisation as a tool for reducing research cost. When ideas are tested in early stage, critical mistakes may be avoided, thus saving resources.

Research specific challenges

• Complexity due to the concurrency and distributed nature of IoT systems
• Context-centric computation, since the IoT devices, e.g., in the Smart Home, must be aware of the humans. Includes also concepts for privacy-aware cloud computing, e.g. fog/edge computing
• Lack of semantics and modelling framework, since IoT systems would produce large amounts of data, need semantic information in order to become usable.
• Models vs. programs: Analysis and evaluation for agile prototyping based on executable models and semantic-based tools, as and evolution from programming and their low-level tools.
• Semantics for Security and Privacy: Semantic technologies and ontologies are need to establish a unified terminology for fields of privacy and security. This would provide machine-readable data and would allow development of more automated tools.
• Edge and fog computing for privacy
• Measurable security and privacy: A novel concept being in conflict with some purist researchers in security. Though, part of day-to-day business in companies, often entitled as "risk analysis". We see a lack of automated tools and methodologies to help in measuring such important “unmeasurable” aspects like security, privacy, or robustness, which are essential in evaluating smart infrastructures.
• Metrics for translating (functional and non-functional) security into measurable units, e.g. AES 2048 = 85(?) (scale: 0...100)
• Adaptive Cyber-Physical System (CPS) Security to tackle dynamicity, ambiguity, uncertainty, and multiplicity
  The integration of computer networks with the physical environment - Internet of Things (IoT) - raises a whole new class of concerns with regard to security, forensics, safety and privacy.
  The dynamic nature of the threats to IoT requires the ability to anticipate, detect, respond, and predict attacks, and effectively recover from attacks.
  CPS and their associated services, as humans, should therefore possess cognitive capabilities, of which situation awareness is one of the components of these capabilities, the ability to perceive the environment, comprehend the situation, project that comprehension into the near future, and determine the best action to execute.

Security topics from Industry

IoT Mirai attack on Dyn, Liberia and Finland,
please see: Lessons learned and recommendations

AMS måler - HAN Interface
Offentlig tilgjengelig del av AMS måleren som nettselskapet er pålagt å levere. Fra vårt ståsted så er det denne delen av måleren som gjør at den er en IoT device. Resten av måler og kommunikasjonsinterface er pr dags dato rullet ut som et privat nettverk. Dette kan endre seg over tid.

Spesifikasjonen av HAN interface og hvilke data nettselskapet skal kunne tilby er fortsatt uspesifisert, utover at det er et serielt grensesnitt. Det er dermed vanskelig å vurdere dette fra et sikkerhetsperspektiv. Det hadde vært interessant og gjort en kartlegging på leverandører som tenker seg å bruke dette interface og hva da skal bruke dataene til. Først da kan vi se på sikkerhetsutfordringene.

Styring av laster
Nettselskapet har en fremtidig utfordring rundt effektkapasitet i nettet. Det har vært mye diskutert, men få konkrete løsninger. Jeg ser for meg en modell der det kommer inn en strømleverandør eller annet som tilbyr effektfleksibilitet gjennom laststyring til nettselskapet basert på sin kundemasse. Dette gjøres igjen på IoT enheters om kunden stiller tilgjengelig via en IoT tjeneste. Hvordan arkitekturen blir er jeg litt usikker på, men jeg mener at eierskapet til disse IoT enhetene ligger hos sluttkunden. Spørsmålet er hvordan det legges til rette for et interface mellom kunde og nettselskap (enten via strømleverandør eller andre store på hjemmeIoT som Google, Microsoft eller andre). Hvilke utfordringer ser vi med slike nye tjenester?

Lokal produksjon og lagring
Lokal produksjon ute i lavspent nettet med sol, vindkraft eller lokale batterier. Dette er litt av samme case som den over, men i dette tilfellet så kan det (i tillegg til styring eller informasjonsstrøm av data fra kunde til nettselskap) også være viktig å tenkte på personsikkerhet. Ved lokal produksjon får nettselskapet et problem med at nettet blir spenningssatt fra flere retninger. Hvordan håndteres det ved en feil og et nabolag havner i det vi kaller øydrift og en kabel med brudd kan fortsatt være med spenning på . Kan IoT være med på løse denne utfordringen?

Stor utbredelse av lokal produksjon kan i enkelte scenario kanskje også påvirke balansen i nettet. Kan en IoT arkitektur mellom prosumenter (produksjon og forbruk) og nettleverandør være med på å bidra i disse scenarioene.

Information modelling
Security and privacy

Minutes Beslutningssaker

Valg av styrets leder

Hver partner i prosjektet har et styremedlem. Deltagelse i styremøte kan delegeres til både representanter fra egen bedrift eller andre representanter i styret, hvis styremedlem er forhindret. I så fall, gjerne send en epost med navn til hvem som representere dere til prosjekteier: Stian Løvold stian@unik.no og prosjektleder: Josef Noll, josef@jnoll.net

Bjarne Haugen er valgt som leder av styret

Styrerepresentanter:

UiO: Olaf Owe

UNIK: Stian Løvold

NTNU: Nils Kalstad Svendsen(?), Sofie Nystrøm(?)

NR: Åsmund Skomedal

Simula: Yan Zhang(?)

NCE Smart: Dieter Hirdes

eSmart Systems: Davide Roverso(?), Erik Åsberg(?)

Glitre Energi Nett: Otto Andreas Rustand

Fredrikstad Energi Nett: Vidar Kristoffersen

Movation:Bjarne Haugen

Prosjektleder:

Josef Noll

Christian Johansen, COO, sekretær i styret

Arbeidspakkeledelse og forventete resultater

Bakgrunn

• Prosjektet ble etablert som forskerprosjekt
• Fokus i søknaden er rettet mot å etablere et Smart Grid Security Centre
• Oppgavefordeling for enhver partner ble beskrevet på Wiki, men prosjektlederen mangler i noen tilfelde en proaktiv tilnærmelse

Styrebeslutning:

• Et sentralt mål til IoTSec prosjektet er å etablere et Smart Grid Security Centre. Alle partner bes om å bidra aktiv til at forskningen blir tilpasset sikkerhetssenteret.
• Prosjektlederen er bedt til å informere styre om evtl avvik fra planen

Behandling av sikkerhetsrelevante informasjon

Bakgrunn

• Prosjektet arbeider etter “open world assumption”, dvs. all informasjon er offentlig hvis den er ikke betegnet som konfidensiell eller sikkerhetskritisk
• Prosjektet har etablert en åpen Wiki IoTSec.no og en konfidensiell Wiki admin.IoTSec.no
• Rutiner på behandling av konfidensiell og sikkerhetskritisk informasjon er etablert på: IoTSec:Secure_and_Confidential_information

Styrebeslutning:

• Styret støtter initielle retningslinjer om bruk av konfidensiell og sikkerhetskritisk informasjon (dokumentert 26Okt2016). Styret bes prosjektet til å jobbe videre med saken.

Add-on: Otto Andreas Rustand har sagt seg villig til å bli IoTSecs Security Officer

Confidential and secure information

The steering board has decided on the Steering board meeting 27Oct2016 to adapt the following guidelines and continues work on these topics.

Confidential information

• Documents which are given to the project being confidential to the project shall be watermarked by IoTSec confidential, shall not be distributed outside of the project without consent"
• Deliverables being confidential shall be stored on the project server, e.g. owncloud.unik.no

Security-critical information

Each project participant is asked to not publish security-critical information. If a participant regards information as potentially security-critical, he shall ask IoTSec's security officer for advice.

We have to follow the rules from NVE, outlining the rules and regulations, see Action Item to address NVE rules and regulations. The rules include a.o. a non-disclosure agreement for certain information.

Security critical information shall be watermarked "security-critical - do not distribute", and shall only be given to project partners on request. The distribution shall be noted to our COO (Christian Johansen), who keeps a list of the documents and whom they have been distributed to.

The IoTSec security officer is Otto Andreas Rustand, ask him for advice.

AOB

• next meeting will be decided by the leader of the steering board