Program 18.10.18

	16. oktober
18:00-22:30	Hackers Pub med Capture the flag

	17. oktober
08:00-15:00	Sertifiseringskurs CCSK Certificate of Cloud Security Knowledge (CCSK) er en individuell sertifisering, som gir deg eller dokumenterer ferdigheter og kunnskaper for å sikre at skyttjenester implementeres og benyttes i organisasjonen din med nødvendige sikkerhetskontroller på plass. Dette inkluderer teknisk rammeverk såvel som rammeverk for ledelse og overordnet styring (governance). • Bekreft din kompetanse oppnådd gjennom erfaring i skyssikkerhet! • Dokumentèr dine tekniske kunnskaper, ferdigheter og evne til å effektivt utvikle et helhetlig sikkerhetsprogram for skytjenester i forhold til globalt aksepterte standarder • Skill deg fra andre kandidater for ansettelse i det raskt voksende sky-sikkerhetsmarkedet • Få tilgang til verdifulle karriere-ressurser, inkludert verktøy, nettverk og idèutveksling med kolleger Kurset består i tillegg til kursdagen av både en omfattende eLærings-del man får tilgang til etter påmelding, samt innlogging til diskusjonsfora og studiegrupper i etterkant for å sikre sertifiseringen.
16:00-18:00	Sikkerhetstoppmøtet i regi av NorSIS Nasjonal Sikkerhetsmyndighet ga tidligere i år ut et temahefte med Sikkerhetsfaglige anbefalinger ved tjenesteutsetting. Sett i lys av et stadig strengere regulatorisk regime (GDPR, ny sikkerhetslov mm.), kombinert med et stadig mer komplekst og sammensatt trusselbilde, er de svært viktig for både kunde og leverandør at man finner frem til de optimale sikringstiltakene — og prioriterer disse riktig.Første innleder er Lars Strand, Seniorrådgiver Strategisk Cybersikkerhet hos NSM, som vil beskrive tankene bak veilederen og hvordan NSM ser på landrisiko i denne konteksten. Deretter vil Oddbjørn Steffensen, Group CISO i EVRY, beskrive hvordan dette kan se ut fra tjenesteleverandørsiden.Det åpnes deretter opp for en åpen diskusjon i salen om hvordan de ulike aktørene best kan samarbeide rundt dette.

	18. oktober – Sikkerhetssymposiet
09:00	Velkommen
09:10	Keynote: Hvordan opprettholde Digitaliseringfarten etter den nye personvernsforordningen? Veronica Jarnskjold Buer fra Datatilsynet tar utgangpunktet i reelle caser der farten på digitalisering stoppet opp fordi virksomheter ikke ivaretok de registrertes personvern. Videre presenterer hun Datatilsynets nye veileder for vurdering av personvernkonsekvenser som ble publisert nylig. Veronica Buer, Datatilsynet Se presentasjon her
09:45	Keynote: Økt digitalisering! Hvordan endrer det risikobildet og hvordan håndteres dette av nasjonale sikkerhetsmyndigheter? Nasjonal sikkerhetsmyndighet har de siste tre årene gitt ut rapporten Helhetlig IKT-risikobilde. Denne skal bidra til å øke bevissthet og motivere for bedre IKT-sikkerhet i offentlige og private virksomheter.Årets rapport tar for seg et utvalgt tema: Risikobildet med tanke på digitaliseringen som pågår i det norske samfunnet. UnderSikkerhetssymposiet i Bergen er årets versjon akkurat utgitt, og ferske fakta herfra blir presentert. Ernst Unsgaard, NSMSe presentasjon her
10:20	Pause og omrigging
	Spor 1: Teknisk – for deg som utfører	Spor 2: Ledelse – for deg som styrer
10:40	Ett år og 20 sikkerhetshull senere… Roy Solberg har det siste året avdekket en rekke sikkerhetshull i norske tjenester og nettsider. Han tar oss gjennom motivasjonen ved å gå offentlig ut og publisere detaljer rundt sikkerhetshullene og hvordan hele reisen har vært. Vi får mer detaljer om noen utvalgte sikkerhetshull – og kanskje også et hittil upublisert. I tillegg får du høre mer om hva som er de oftest observerte svakhetene – slik at du selv kan unngå å bli en sak på bloggen hans. Roy Solberg, NorApps AS Ingen presentasjon tilgjengelig	Risikostyring av informasjonssikkerhet Samfunnet er i kontinuerlig endring og endringstakten akselererer. Det er økte krav til tilgjengelighet og fleksibilitet, samtidig som det er stadig sterkere fokus på kostnader. Digitalisering og økt eller ny bruk av teknologi er sentrale tema, noe som igjen bidrar til endringer i risikobildet og økt usikkerhet.For å gå framtiden i møte på en sikker og god måte må virksomhetene ha kontroll på hvilke verdier som skal beskyttes. Ledergrupper som inkluderer informasjonssikkerhet i øvrig risikostyring har bedre kontroll på virksomhetens kostnader og er bedre forberedt dersom uønskede hendelser oppstår. Presentasjonen viser hvordan risikostyring av informasjonssikkerhet passer inn i øvrig virksomhetsstyring, og hvorfor det er viktig. Randi Gjerde, ATEA Se presentasjon her
11:20	Pause
11:30	Oslo Analytics: Cybersikkerhetsforskning ved UiO Oslo Analytics er et forskningsprosjekt innen cybersikkerhet ved Universitetet i Oslo. Prosjektet som er finansiert av Forskningsrådfet tar sikte på å utvikle ny teknologi for automatisert deteksjon, prediksjon og forebygging av cyberangrep, kombinert med kunstig intelligens for situasjonsforståelse under cyberangrep. Gitt at cyberangrep stadig er i endring og i økende grad er skult og villedende, må verktøy for cybersikkerhet være fleksible og kunne ta ibruk nye avanserte metoder for å følge utviklingen. Maskinlæring, etterretningsanalyse og tillitsberegning er eksempler på metoder som tas ibruk. Oslo Analytics er et samarbeid mellom UiO, mnemonic og Norsk Regnesentral. Gjennom samarbeidet skapes et sterkt fellesskap for fremragende forskning i cybersikkerhet og etteretningsanalyse ved Universitetet i Oslo. Audun Jøsang, UiO/mnemonic Se presentasjon her	Gamification i sikkerhetsarbeidet Ansatte er i ulik grad motivert til å lære seg mer om sikkerhet, eller praktisere hva man har lært. På samme måte har også vi sikkerhetsfolk noe å lære fra andre fagområder, inkludert fra spillbransjen. Gamification er basert på kunnskap om menneskelig atferd og motivasjon, og omfatter en rekke teknikker som kan øke både engasjement og læringseffekt. Foredraget viser hvordan gamification kan brukes i en profesjonell sammenheng, for å styrke virksomhetens sikkerhetskultur. Erlend Andreas Gjære, Secure Practice Se videopresentasjon her
12:10	Lunsj
13:10	Sikrere e-post – en selvfølgelighet Foredraget tar utgangspunkt i NSMs anbefaling for grunnleggende sikring ifm. overføring av e-post mellom e-posttjenere. I forbindelse med utviklingen av ny nasjonal strategi for IKT-sikkerhet er det bestemt at det skal utvikles en egen handlingsplan som legger opp til en bredere inkludering enn i tidligere år. Med dette menes det at den også vil være rettet mot privat sektor, for å bidra til å øke deres evne til å forebygge og håndtere uønskede IKT-hendelser. En viktig del av både forebyggende sikkerhet og virksomhetens egenevne rundt IKT-sikkerhet er e-post-sikkerhet. Det store flertallet av alle alvorlige registrerte IKT-hendelser rettet mot nasjonal kritisk IKT-infrastruktur startet med en forfalsket e-post som lurer bruker til å åpne et vedlegg med ondsinnet programvare eller klikke på en link som fører til infeksjon av maskinen. Trusselaktørens mål er å få kontroll over din maskin, eller å lure mottaker til å avgi verdifull informasjon. Løsepengevirus («ransomware»), som NSM har registrert en kraftig økning av de siste årene, spres også i stor grad gjennom e-post. Ernst Unsgaard, NSM Se presentasjon her	Internkontroll v3 Når man setter ut drift og forvaltning av forretningskritiske systemer er det helt avgjørende å ha kontroll/føre tilsyn med sine leverandører. En gang i tiden var leverandørens ISO27001 sertifisering ansett som tilstrekkelig. Slik er det ikke lenger. I dette foredraget ser vi nærmere på hvordan kundenes tilsyn og kontroll med tjenesteleverandører oppleves sett fra en leverandørs perspektiv, og hva denne foredragsholderen mener vil være en win-win situasjon for begge parter. Esten Hoel, Basefarm Se presentasjon her
13:50	Pause
14:00	Security by design with DevOps Contrary to popular belief, security is an natural part of the DevOps lifesycle, from design, built, test, release, maintenance, and beyond. This type of «baked-in» security is often refered to DevSecOps and is a part of the shift-left movement where security, as well as operational concerns, isn’t an afterthough and is instead improved on through the entire DevOps workflow. One of the core pillars of DevOps is automation and this is how security is implemeted as well – through security as code.Hans Kristian Flaatten, EVRY	Grunnprinsipper for IKT-sikkerhet I en verden som stadig er i utvikling, vil en helt klar innovasjon være relatert til digitalisering. Nye ting vil naturlig være digitale. Tradisjonelle løsninger blir mer og mer digitalisert. Dette skaper nye utfordringer på flere områder, spesielt på sikkerhet. NSM har utarbeidet Grunnprinsipper for IKT-Sikkerhet. Dette er ment som et hjelpemiddel til alle kunder for å få en bedre oversikt og kontroll med sikkerhetssituasjonen. Dette er ikke ment å skulle erstatte standarder eller rutiner. Vi vil snakke om hendelser som har skjedd, for deretter å se disse opp imot grunnprinsippene. Vi vil se på forskjellen på typer hendelser, og hva som gjør dem forskjellige. Vi vil se på verktøy som kan fungere som KPI’er for ledelsen, sett opp imot sikkerhetstiltak i lys av grunnprinsippene. Vi vil også se på et helhetlig bilde av en komplett sikkerhetsplattform basert på funksjonalitet som adresserer grunnprinsippene Gøran Tømte, DataEquipment Se presentasjon her
14:40	Pause og omrigging
15:00	Practise like you mean it! Angrep fra avanserte aktører (APT) øker, og jobben for digitale forsvarere blir stadig vanskeligere. For at vi skal kunne forsvare våre verdier, må vi øve på realistiske scenario. Dette er utgangspunktet til Telenor sin årlige cyber security-øvelse «Øvelse Bukkesprang». Over 3 dager får Norges fremste miljø for hendelseshåndtering utfordret seg i et stort simulert miljø, komplett med ansatte og verdikjeder, samt en ledelse man skal rapporterer til. Øvelse Bukkesprang 2018 hadde 40 deltagere og gikk over 3 dager. I tillegg var det en betydelig spillstab som bl.a. inneholdt et aktivt Red Team som spilte APT gjennom hele øvelsen.Frode og Lars Erik fra Telenor CERT forteller om hvordan de gikk fra konsept til suksess, og hvilke erfaringer deltakerne fikk med seg hjem. Frode Hommedal og Lars Erik Bråtveit, Telenor
15:45	Kahoot, og takk for i dag