Lyst til å starte tidlig? En av våre partnere, Standard Norge, har et gratis frokostmøte 27. oktober: Standard Morgen: Cybersikkerhet og personvern i krisetider – er truslene de samme?
Virtuelt program 2020: I Etterpåklokskapens Lys |
|
| Tidspunkt | Program |
| 27. oktober Online |
|
| 18:00 - 22:00 | Konkurranse "Capture the Flag" |
| 28. oktober Online |
|
| 09:00 - 13:00 | Workshop Whiteboard Hacking aka Hands-on threat Modeling Threat modeling (also known as architecture risk analysis) allows you to consider, identify, and discuss the security implications of user stories in a structured way. Join expert Steven Wierckx to learn how to perform threat modeling through a series of exercises built upon a fictional hotel booking system. Steven guides you through the different stages of a practical threat model based on a migration from a “classical” web application to a combination of AWS-hosted microservices. You’ll use an iterative and incremental threat modeling method that you can integrate in your own development and deployment pipeline, which allows you to consider security issues at your application and component levels. By the end of this workshop, you’ll understand: • Where threat modeling fits in a secure development lifecycle • The benefits of threat modeling; the different stages of threat modeling; the STRIDE model (spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege) • Secure design mitigations • Risk rating And you’ll be able to: • Create and update your own threat models using an incremental technique • Identify design flaws in your software • Use threat modeling as an awareness tool for your team and stakeholders • Get your team on the same page with a shared vision on security Steven Wierckx Security Consultant at Toreon, Threat model (trainer), OWASP Threat Model Project Leader Steven Wierckx is a software and security tester with 15 years of experience in programming, security testing, source code review, test automation, functional and technical analysis, development, and database design, Steven shares his passion for web application security through writing and training on testing software for security problems, secure coding, security awareness, security testing, and threat modeling. He is the project leader for the OWASP Threat Modeling Project and organizes the BruCON student CTF. Steven spoke at Hack in the Box Amsterdam, hosted a workshop at BruCON and delivered threat modeling trainings at OWASP AppSec USA and O’Reilly Security New York.  |
29.oktober |
|
| Online | |
| 09:00 - 09:10 | Velkommen |
| 09:10 - 09:45 | Keynote: Cybersikkerhet og stormaktenes bruk av Cyberspace Stormaktsrivaliseringen har flyttet inn i cyberspace. Militariseringen har kommet for å bli med store implikasjoner for cybersikkerhet. Datainnbruddet på Stortinget illustrerer at dette er en alvorlig trussel som dessverre er høyrelevant også i Norge. Foredraget beskriver det nye og forverrede trusselbildet Norge befinner seg i, med særlig henblikk på det digitale domenets rolle. Stormaktene benytter cyberspace som en etterretnings-testlab med valgpåvirkning via sosiale media som en av de mest potente truslene. Anders Romareim, Forsvarets høgskole (FHS) Anders Romarheim leder Senter for internasjonal sikkerhet ved Institutt for forsvarsstudier, Forsvarets høgskole. Der jobber han blant annet med digital påvirkning og strategisk kommunikasjon, samt USA og terrorisme. Han satt også i sekretariatet for lovutredningen for Lov om nasjonal sikkerhet av 2019. Av utdanning er Romarheim statsviter fra Universitetet i Oslo, og har doktorgrad i War Studies fra King’s College, London.  |
| 09:50 - 10:20 | Automatikk til nytte og besvær – hva som skjedde da uvedkommende fikk tilgang til byggeserveren vår Moderne applikasjonsutvikling benytter seg i økende grad av kontinuerlig integrasjon (CI) og kontinuerlig leveranse (CD) ofte bare omtalt som CI/CD da man som regel har én tjeneste som automatiserer begge deler. Kort oppsummert er dette en tjeneste som bygger, tester og i større grad deployer applikasjoner til sine respektive miljøer. Infrastruktur kan i større grad også "utvikles" med de samme prinsippene som for applikasjoner, og hva kan skjer hvis uvedkommende får tilgang til byggeserveren som automatiserer infrastrukturen? Vi deler vår erfaring fra den gangen byggeserveren vår ble kompromittert. Hans Kristian Flaatten, TietoEVRY Hans Kristian er sjefskonsulent og team lead i TietoEVRY hvor han bygger og drifter DevOps- og Kubernetes-baserte plattformer for noen av TietoEVRY sine største kunder innen bank, finans og offentlig sektor. Han har et brennende engasjement for ny teknologi med lang erfaring fra store open source prosjekter som benyttes av millioner av mennesker verden over.  |
| 10:25 - 10:55 | OWASP SAMM 2.0: Your Dynamic Software Security Journey Building security into the software development and management practices of a company can be a daunting task. There are many elements to the equation: company structure, technology stacks, tools and processes, different stakeholders, competing priorities, etc. Implementing software assurance will have a significant, positive impact on an organization, yet trying to achieve this without a good framework often leads to marginal and unsustainable improvements. Seba Deleersnyder will explain and demonstrate the latest version of OWASP SAMM, an open source software assurance maturity model. The mission of OWASP SAMM is to be the prime maturity model for software assurance that provides an effective and measurable way for all types of organizations to analyse and improve their software security posture. OWASP SAMM supports the complete software lifecycle, including development and acquisition, and is technology and process agnostic. It is intentionally built to be evolutive and risk-driven in nature. More details on https://owaspsamm.org/. Sebastien Deleersnyder, CEO Toreon Seba (https://twitter.com/Sebadele) is co-founder, CEO of Toreon and a proponent of application security as a holistic endeavor. He started the Belgian OWASP chapter, was a member of the OWASP Foundation Board and performed several public presentations on Application Security. Seba also co-organized the yearly security & hacker BruCON conference and trainings in Belgium. With a background in development and many years of experience in security, he has trained countless developers to create software more securely. He has led OWASP projects such as OWASP SAMM, thereby truly making the world a little bit safer. Now he is adapting application security models to the evolving field of DevOps and is also focused on bringing Threat Modeling to a wider audience.  |
| 11:00 - 11:30 | Helhetlig digitalt risikobilde 2020 – er vi mer eller mindre sikre enn for et år siden I 2019 ble Nasjonalt cybersikkerhetssenter (NCSC) i Nasjonal sikkerhetsmyndighet offisielt åpnet. Her sitter offentlige og private virksomheter sammen hver eneste dag for å samarbeide for ett felles mål – Forbedre den digital sikkerheten. Den samlede kunnskapen hos NCSC gir et unikt bilde av det helhetlige digitale risikobildet i Norge. Lene vil snakke om hvilke angrepstrender som er mest aktuelle, og hvordan de har utviklet seg over tid. En rekke virksomheter har blitt utsatt for hendelser – hvilke erfaringer kan vi ta med oss fra disse for å bidra til økt sikkerhet hos andre virksomheter? Lene Bogen Kaland, underdirektør/NK i Nasjonalt cybersikkerhetssenter, NSM Hun har lang erfaring med cybersikkerhet, analyse, beredskap og strategiske nasjonale utredninger, og jobber nå som nestleder i Nasjonalt cybersikkerhetssenter i NSM. Lene er utdannet som sivilingeniør fra NTNU, og har tidligere erfaring fra Forsvarets forskningsinstitutt og Sopra Steria.  |
| 11:40 - 12:00 | Norges Banks erfaringer rundt cybersikkerhet og beredskap Norges Bank jobber aktivt med å sikre god beredskap for å kunne levere i henhold til sitt samfunnsoppdrag. Foredraget vil synliggjøre Norges Bank sin tilnærming til beredskap og informasjonssikkerhet. Det vil også dekke noe om DSBs øvelse Digital 2020, hvor scenariet vil ramme samfunnet, med særlig vekt på finanssektoren. Arleen Engeset , beredskapssjef, Norges Bank Arleen er beredskapssjef i Norges Bank og er seksjonsleder med ansvar for krisehåndtering og personellsikkerhet. Leder operasjonell krisestab under covid-19 krisen og leder arbeidet med Digital 2020 øvelsen i Norges Bank. Hun har erfaringer fra Digital 2020 foreligger ikke enda, men planfasen er godt i gang og avdekker også en del læring og erfaringer.  Jo Tidemann, konsulent, Proactima Jo har omfattende erfaring med beredskap. Gjennomfører beredskapsøvelser også innenfor håndtering av Cyber-trusler på virksomhetsnivå. Han har nylig hatt dialog med rundt 40 markante virksomheter i Norge i forbindelse med deres Covid-19 håndtering.  |
30. oktober |
|
| 09:00 - 09:05 | Velkommen |
| 09:05 - 09:35 | Overvåkningsøkonomi Overvåkingsøkonomi er en betegnelse på det store og voksende økosystemet av selskap som profitterer på kjøp og salg av personopplysninger på internett. Selv om fenomenet ikke er nytt har det de siste årene fått stadig mer oppmerksomhet, delvis som følge av Cambridge Analytica saken. Overvåkingsøkonomi ble ytterligere satt under lupen da Harvard-professor Shoshana Zuboff publiserte boken The Age of Surveillance Capitalism. Foredraget vil ta utgangspunkt i denne boken, Datatilsynets arbeid med dette feltet og noen utvalgte, pågående saker. Dag Grytli, rådgiver, Datatilsynet Dag Grytli jobber som rådgiver i Datatilsynets seksjon for utredning, analyse og politikk, hvor han jobber med å identifisere og analysere teknologi og samfunnstrender som kan få betydning for personvernet. Den siste tiden har Dag jobbet mye med samspillet mellom politikk og teknologi, spesielt mikromålretting av politiske budskap, og utarbeidet før sommeren en rapport om dette. Han har en mastergrad i medievitenskap fra UiO som omhandlet personvern på internett. Før Dag kom til Datatilsynet jobbet han som medieanalytiker i Retriever og vitenskapelig assistent ved Institutt for medier og kommunikasjon ved UiO og forskernettverket EU Kids Online.  |
| 09:45 - 10:15 | Mobilapper, datameglere, og persondata på avveie Forbrukerrådet og mnemonic har avslørt hvordan posisjonsdata og andre personopplysninger deles ukontrollert av mobilapper, og spres via store og uoversiktlige reklamenettverk. Foredragsholderne vil vise hvordan dette foregår, illustrere mulige konsekvenser for både den enkelte og for samfunnet, og drøfte mulige løsninger. Finn Myrstad, fagdirektør for digitale tjenester og strøm, Forbrukerrådet Finn sitter i den nyopprettede Personvernkommisjonen og hans TED-foredrag har vært sett nær to millioner ganger.  Tor E. Bjørstad, fagansvarlig for applikasjonssikkerhet, mnemonic Tor leder deres arbeid med sikkerhet og personvern på web og mobil. Han har doktorgrad i kryptografi fra Universitetet i Bergen.  |
| 10:25 - 10:45 | Avslørt av mobilen For 30.000 kroner kunne NRK kjøpe data til å kartlegge og identifisere norske offiserer, politikere, og helt vanlige privatpersoner. Informasjonen gjorde det mulig å følge 140.000 mobilers posisjoner i deler av 2019, noen over flere måneder. Bli med bak kulissene til industrien som lever av våre data og hva de sier om oss. Martin Gundersen, NRKbeta Martin Gundersen er journalist i NRKbeta. Der skriver han om personvern, IT-sikkerhet, og sosiale medier. Han fullførte en mastergrad innen produktutvikling ved NTNU i 2017.  |
| 10:50 - 11:20 | COVID-19 har gjort personvern viktigere enn noensinne Covid-19 har satt i gang en ekstrem-digitalisering av norske arbeidsplasser og av sektorer som skole og helsevesen. Vil hjemmekontor bli den nye standardmodellen i norsk arbeidsliv? Det vil i så fall reise et vell av personvernspørsmål knyttet til informasjonssikkerhet i kommunikasjonsløsninger og grensene for arbeidsgivers rett til å kontrollere sine ansattes arbeidsdag. Vil norske skoler ta et steg tilbake og analysere og risikovurdere alle appene som ble tatt i bruk da skolene stengte? Kan vi lage smittesporingsløsninger som er effektive men som samtidig ivaretar borgernes grunnleggende rettigheter? I en tid hvor corona-pandemien dominerer folks bevissthet har personvern aldri vært mer aktuelt. Catharina Nes, avdelingsdirektør for Avdeling for teknologi, sikkerhet og analyse, Datatilsynet. Hun har gjennom flere har hatt ansvar for å identifisere og analysere sentrale teknologitrender og deres betydning for personvernet. Nes har de siste årene særlig arbeidet med problemstillinger knyttet til stordatanalyse og kunstig intelligens.  |
| 11:25 - 11:45 | Avslutning |