fbpx

Virtuelt program 2020: I Etterpåklokskapens Lys

TidspunktProgram
27. oktober
Online
18:00 - 22:00Konkurranse "Capture the Flag"
28. oktober
Online
09:00 - 13:00Workshop Whiteboard Hacking aka Hands-on threat Modeling
Threat modeling (also known as architecture risk analysis) allows you to consider, identify, and discuss the security implications of user stories in a structured way.

Join expert Steven Wierckx to learn how to perform threat modeling through a series of exercises built upon a fictional hotel booking system. Steven guides you through the different stages of a practical threat model based on a migration from a “classical” web application to a combination of AWS-hosted microservices. You’ll use an iterative and incremental threat modeling method that you can integrate in your own development and deployment pipeline, which allows you to consider security issues at your application and component levels.

By the end of this workshop, you’ll understand:
• Where threat modeling fits in a secure development lifecycle
• The benefits of threat modeling; the different stages of threat modeling; the STRIDE model (spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege)
• Secure design mitigations
• Risk rating

And you’ll be able to:
• Create and update your own threat models using an incremental technique
• Identify design flaws in your software
• Use threat modeling as an awareness tool for your team and stakeholders
• Get your team on the same page with a shared vision on security

Steven Wierckx
Security Consultant at Toreon, Threat model (trainer), OWASP Threat Model Project Leader
Steven Wierckx is a software and security tester with 15 years of experience in programming, security testing, source code review, test automation, functional and technical analysis, development, and database design, Steven shares his passion for web application security through writing and training on testing software for security problems, secure coding, security awareness, security testing, and threat modeling. He is the project leader for the OWASP Threat Modeling Project and organizes the BruCON student CTF. Steven spoke at Hack in the Box Amsterdam, hosted a workshop at BruCON and delivered threat modeling trainings at OWASP AppSec USA and O’Reilly Security New York.

29.oktober
Dag 1 - Teknisk og Ledelse

Online
09:00 - 09:10Velkommen
09:10 - 09:45Keynote: Kunsten å detektere en snikende krise

Kjetil Hatlebrekke , Associate Professor at The Norwegian Defence Intelligence School and Visiting Senior Research Fellow at The War Studies Department, King’s College, London
Kjetil er Associate Professor på Etterretningstjenestens etterretningsskole. Han underviser også i etterretning på Kings College avdeling for krigsstudier. Han er blant annet forfatter av boken «problemet med hemmelig etterretning». Kjetil har felterfaring fra Bosnia og Midtøsten, blant annet som etterretningsoffiser på operasjon «Enduring freedom» og «operasjon Anakonda. Kjetil har en P.hd og to mastergrader fra Kings Colledge.

09:50 - 10:20Automatikk til nytte og besvær – hva som skjedde da uvedkommende fikk tilgang til byggeserveren vår
Evry/ TG
Moderne applikasjonsutvikling benytter seg i økende grad av kontinuerlig integrasjon (CI) og kontinuerlig leveranse (CD) ofte bare omtalt som CI/CD da man som regel har én tjeneste som automatiserer begge deler. Kort oppsummert er dette en tjeneste som bygger, tester og i større grad deployer applikasjoner til sine respektive miljøer.

Infrastruktur kan i større grad også "utvikles" med de samme prinsippene som for applikasjoner, og hva kan skjer hvis uvedkommende får tilgang til byggeserveren som automatiserer infrastrukturen?

Vi deler vår erfaring fra den gangen byggeserveren vår ble kompromittert.

Hans Kristian Flaatten, TietoEVRY
Hans Kristian er sjefskonsulent og team lead i TietoEVRY hvor han bygger og drifter DevOps- og Kubernetes-baserte plattformer for noen av TietoEVRY sine største kunder innen bank, finans og offentlig sektor. Han har et brennende engasjement for ny teknologi med lang erfaring fra store open source prosjekter som benyttes av millioner av mennesker verden over.

10:25 - 10:55OWASP SAMM 2.0: Your Dynamic Software Security Journey
Building security into the software development and management practices of a company can be a daunting task. There are many elements to the equation: company structure, technology stacks, tools and processes, different stakeholders, competing priorities, etc. Implementing software assurance will have a significant, positive impact on an organization, yet trying to achieve this without a good framework often leads to marginal and unsustainable improvements.

Seba Deleersnyder will explain and demonstrate the latest version of OWASP SAMM, an open source software assurance maturity model. The mission of OWASP SAMM is to be the prime maturity model for software assurance that provides an effective and measurable way for all types of organizations to analyse and improve their software security posture. OWASP SAMM supports the complete software lifecycle, including development and acquisition, and is technology and process agnostic. It is intentionally built to be evolutive and risk-driven in nature. More details on https://owaspsamm.org/.

Sebastien Deleersnyder, CEO Toreon
Seba (https://twitter.com/Sebadele) is co-founder, CEO of Toreon and a proponent of application security as a holistic endeavor. He started the Belgian OWASP chapter, was a member of the OWASP Foundation Board and performed several public presentations on Application Security. Seba also co-organized the yearly security & hacker BruCON conference and trainings in Belgium.

With a background in development and many years of experience in security, he has trained countless developers to create software more securely. He has led OWASP projects such as OWASP SAMM, thereby truly making the world a little bit safer. Now he is adapting application security models to the evolving field of DevOps and is also focused on bringing Threat Modeling to a wider audience.

11:00 - 11:30Helhetlig digitalt risikobilde 2020 – er vi mer eller mindre sikre enn for et år siden
I 2019 ble Nasjonalt cybersikkerhetssenter (NCSC) i Nasjonal sikkerhetsmyndighet offisielt åpnet. Her sitter offentlige og private virksomheter sammen hver eneste dag for å samarbeide for ett felles mål – Forbedre den digital sikkerheten. Den samlede kunnskapen hos NCSC gir et unikt bilde av det helhetlige digitale risikobildet i Norge. Lene vil snakke om hvilke angrepstrender som er mest aktuelle, og hvordan de har utviklet seg over tid. En rekke virksomheter har blitt utsatt for hendelser – hvilke erfaringer kan vi ta med oss fra disse for å bidra til økt sikkerhet hos andre virksomheter?

Lene Bogen Kaland, underdirektør/NK i Nasjonalt cybersikkerhetssenter, NSM
Hun har lang erfaring med cybersikkerhet, analyse, beredskap og strategiske nasjonale utredninger, og jobber nå som nestleder i Nasjonalt cybersikkerhetssenter i NSM. Lene er utdannet som sivilingeniør fra NTNU, og har tidligere erfaring fra Forsvarets forskningsinstitutt og Sopra Steria.

11:40 - 12:00Erfaringsforedrag

30. oktober
Dag 2 - Personvern

09:00 - 09:05Velkommen
09:05 - 09:35Overvåkningsøkonomi
Overvåkingsøkonomi er en betegnelse på det store og voksende økosystemet av selskap som profitterer på kjøp og salg av personopplysninger på internett. Selv om fenomenet ikke er nytt har det de siste årene fått stadig mer oppmerksomhet, delvis som følge av Cambridge Analytica saken. Overvåkingsøkonomi ble ytterligere satt under lupen da Harvard-professor Shoshana Zuboff publiserte boken The Age of Surveillance Capitalism. Foredraget vil ta utgangspunkt i denne boken, Datatilsynets arbeid med dette feltet og noen utvalgte, pågående saker.

Dag Grytli, rådgiver, Datatilsynet
Dag Grytli jobber som rådgiver i Datatilsynets seksjon for utredning, analyse og politikk, hvor han jobber med å identifisere og analysere teknologi og samfunnstrender som kan få betydning for personvernet. Den siste tiden har Dag jobbet mye med samspillet mellom politikk og teknologi, spesielt mikromålretting av politiske budskap, og utarbeidet før sommeren en rapport om dette. Han har en mastergrad i medievitenskap fra UiO som omhandlet personvern på internett. Før Dag kom til Datatilsynet jobbet han som medieanalytiker i Retriever og vitenskapelig assistent ved Institutt for medier og kommunikasjon ved UiO og forskernettverket EU Kids Online.

09:45 - 10:15Mobilapper, datameglere, og persondata på avveie
Forbrukerrådet og mnemonic har avslørt hvordan posisjonsdata og andre personopplysninger deles ukontrollert av mobilapper, og spres via store og uoversiktlige reklamenettverk. Foredragsholderne vil vise hvordan dette foregår, illustrere mulige konsekvenser for både den enkelte og for samfunnet, og drøfte mulige løsninger.

Finn Myrstad, fagdirektør for digitale tjenester og strøm, Forbrukerrådet
Finn sitter i den nyopprettede Personvernkommisjonen og hans TED-foredrag har vært sett nær to millioner ganger.
Foto: Forbrukerrådet



Tor E. Bjørstad, fagansvarlig for applikasjonssikkerhet, mnemonic
Tor leder deres arbeid med sikkerhet og personvern på web og mobil. Han har doktorgrad i kryptografi fra Universitetet i Bergen.
10:25 - 10:45Avslørt av mobilen
For 30.000 kroner kunne NRK kjøpe data til å kartlegge og identifisere norske offiserer, politikere, og helt vanlige privatpersoner. Informasjonen gjorde det mulig å følge 140.000 mobilers posisjoner i deler av 2019, noen over flere måneder. Bli med bak kulissene til industrien som lever av våre data og hva de sier om oss.

Martin Gundersen, NRKbeta
Martin Gundersen er journalist i NRKbeta. Der skriver han om personvern, IT-sikkerhet, og sosiale medier. Han fullførte en mastergrad innen produktutvikling ved NTNU i 2017.

10:50 - 11:20COVID-19 har gjort personvern viktigere enn noensinne
Covid-19 har satt i gang en ekstrem-digitalisering av norske arbeidsplasser og av sektorer som skole og helsevesen. Vil hjemmekontor bli den nye standardmodellen i norsk arbeidsliv? Det vil i så fall reise et vell av personvernspørsmål knyttet til informasjonssikkerhet i kommunikasjonsløsninger og grensene for arbeidsgivers rett til å kontrollere sine ansattes arbeidsdag. Vil norske skoler ta et steg tilbake og analysere og risikovurdere alle appene som ble tatt i bruk da skolene stengte? Kan vi lage smittesporingsløsninger som er effektive men som samtidig ivaretar borgernes grunnleggende rettigheter? I en tid hvor corona-pandemien dominerer folks bevissthet har personvern aldri vært mer aktuelt.

Catharina Nes, avdelingsdirektør for Avdeling for teknologi, sikkerhet og analyse, Datatilsynet.
Hun har gjennom flere har hatt ansvar for å identifisere og analysere sentrale teknologitrender og deres betydning for personvernet. Nes har de siste årene særlig arbeidet med problemstillinger knyttet til stordatanalyse og kunstig intelligens.

11:25 - 11:45Avslutning