| Tirsdag 8. mai | ||
|---|---|---|
| kl.09.00 | Registrering og morgenbuffet | |
| kl.10.10 | Velkommen Espen Fossen, leder av programkomitéen for Sikkerhet og Sårbarhet |
|
| kl.10.10 | Trusler, sårbarheter og muligheter Hans Christian Pretorius, Avdelingsdirektør, NSM |
|
| kl.10.45 | Personvernforordningen er her nå! Martha Eike, Senioringeniør, Datatilsynet Det er kort tid igjen til personvernforordningen trer i kraft som en del av ny personopplysningslov. Det betyr ikke at man nå skal «legge siste hånden på verket» – det er nå jobben begynner for alvor! Datatilsynet informerer om status og hvordan livet kan gå videre. |
|
| kl.11.30 | Kaffepause | |
| kl.11.45 | A hacker’s adventures in Cyber Insurance Éireann Leverett, Cyber-risk specialist at Concinnity Risks and Senior Risk Researcher at University of Cambridge Can you differentiate cyber risk, and what is the logistical burden of a cyber campaign? Éireann Leverett is a hacker that once found 10,000 vulnerable industrial systems on the internet. He was also a part of a multidisciplinary team that built the first cyber risk models for insurance. In this talk he will tell us about his adventures in the cyber insurance world, including work he has done on stress tests, statistical models for rDDoS, and differential pricing in ransomware. |
|
| kl.12.30 | Lunsj | |
| Tema | Strategi/Hendelsesdata | Teknisk/Arkitektur |
| kl.13.30 | Sourcingstrategi på 1-2-3 Bjørn Villa, It-sjef, Trondheim Kommune En sourcingstrategi kan være fornuftig å ha når det dukker opp nye IKT-oppgaver eller endring i organisasjonen. For offentlige virksomheter er det etter Stortingsmelding 27 påkrevd. Hvor vanskelig kan det da være å lage en enkel sourcingmodell for en over gjennomsnittet stor organisasjon? Bjørn Villa presentere oss med noen tanker og erfaringer rundt å lage en enkel sourcingstrategi på 1-2-3. | Eksempler på innebygd personvern Erlend Andreas Gjære, Spesialist på sikkerhet og folk, Secure Practice GDPR stiller krav til innebygd personvern, som utfordrer hele tankesettet når vi lager programvare. Foredraget gir eksempler på hvordan innebygd personvern har blitt praktisert i flere prosjekter og sammenhenger. I tillegg presenteres en teknikk hentet fra brukersentrert utvikling, som kan hjelpe oss til å gjøre gode personvernvalg på våre brukeres vegne, i praksis. |
| kl.14.00 | Powel og vårt forhold til GDPR både internt i selskapet og eksternt mot våre kunder Brynjar Larssen Aas, IT Operations Manager og Espen Breivik, Project and Solution Manager, Powel Hvordan Powel selv har jobbet internt og opp mot kundene for å være klare til innføringen av GDPR. | Hva betyr eIDAS for PSD2 og GDPR? Mads Henriksveen, Fagansvarlig CA/eID, Buypass eIDAS er, på samme måte som GDPR og PSD2, et nytt EU-regelverk som vil kunne være en viktig byggekloss for å realisere intensjonene med GDPR og PSD2. eIDAS gir Europa et felles regelverk som skal legge til rette for sikker og sømløs elektronisk samhandling mellom næringsliv, borgere og offentlig sektor på tvers av landegrenser. Presentasjonen gir en introduksjon til eIDAS og med tanke på PSD2 og GDPR, inkludert eID for å sikre sterk autentisering og bruk av kvalifiserte sertifikater for å sikre kommunikasjon i hht PSD2. |
| kl.14.30 | Kaffepause | |
| kl.14.45 | Risikovurdering basert på hendelsesdata Gaute Wangen, Rådgiver, NTNU Seksjon for Digital Sikkerhet Mye av faglitteraturen rundt informasjonssikkerhetsrisikoanalyser omtaler kvantitative risikovurderinger og historiske data, men det mangler ofte hvordan en gjennomfører disse og hvilke data som trengs. Dette foredraget dreier seg om hvordan NTNU seksjon for digital sikkerhet har arbeidet med å benytte data fra sikkerhetshendelser i arbeidet med sikkerhetsrisiko. | OpenID Connect for å løse GDPR på en brukerfokusert måte Jens Erik Torgersen, Sjefskonsulent, Kantega AS Ved å legge alle personopplysninger bak en OAuth2 adgangskontroll vil man oppnå at bruker kan gi samtykke til hvilke opplysninger som systemet kan få. Her kan man legge inn funksjonalitet som retting av personopplysninger og sletting av disse basert på brukerens valg etter at han/hun har autentisert seg. Foredraget gjennomgår et arkitekturforslag som bygger på Oauth2 standarden og bruk av OpenID Connect for å løse dette. |
| kl.15.15 | Dynamisk biometri for å adressere kravene til autentisering fra PSD2 John Erik Setsaas, Identity Architect i Signicat AS PSD2 øker kravene til at sluttbruker må gjennom en sterk-autentisering (SCA). Dette er for å øke sikkerheten, og vil stille krav til at dette blir så enkelt som mulig for sluttbruker. Presentasjonen vil se på data-drevet autentisering og dynamisk biometri som en løsning på dette | Digital tvilling - Hvordan få kontroll på din digitale kropp? Fredrik Øvergård, CEO, Råd AS og Smarthelp, Styremedlem foreningen Digitalt Personvern Teknologi har forlenget vår hjerne og vår kropp. GDPR er enden på begynnelsen i kampen for å få tilbake kontrollen. Fortellinger ifra en reise med å bygge personvernøkende teknologi. |
| kl.15.45 | Ettermiddagsbuffet | |
| kl.16.15 | Destruktiv programmering: security awareness for utviklere Håkon Olsen, Sikkerhetsingeniør, Sportradar AG Opplæring skal være morsomt og lærerikt. I Sportradar har vi en sikker utviklingsmetodikk som er beskrevet i interne policyer og guidelines. For å gjøre opplæringen i sikker utvikling bedre og mer engasjerende har vi utviklet et program hvor utviklerne selv får se verden fra «the dark side» – fra rekognosering, identifisering av sårbarheter til å skrive egne exploits mot en sårbar webapplikasjon som er tilpasset formålet. Denne presentasjonen gir smakebiter fra opplæringsprogrammet og refleksjoner rundt denne typen opplæring. |
|
| kl.16:45 | Hjelp vi flyr! Karin Bernsmed, Seniorforsker, SINTEF Digital SINTEF deltar for tiden Europeiske Iris prosjektet, der hensikten er å tilby en datalink for styring av luftfart over satellitt. SINTEF har jobbet med å levere en løsning for to-veis autentisering av fly og bakkestasjon som skal brukes ved oppsett av en VPN tunnel over satellitt. En tidlig prototype har allerede blitt testet ut under prøveflyvninger med vellykket resultat og vi har nå gått inn i produksjonsfasen av prosjektet. Foredraget presentereren rekke spennende erfaringer fra dette prosjektet som vil gi forbedret sikkerhet i luften. |
|
| kl.17.15 | Servering i utstillerområdet | |
| kl.18.50 | Felles avgang til Rockheim | |
| kl.19.00 | Middag | |
| ONSDAG 9. MAI | |
|---|---|
| kl.09.00 | Smartklokker for barn Gro Mette Moen, Politisk rådgiver, Forbrukerrådet og Tor Bjørstad, Fagansvarlig Applikasjonssikkerhet, Mnemonic Forbrukerrådet har i samarbeid med Mnemonic testet flere GPS-klokker for barn, og resultatene er alarmerende. Det er avdekket alvorlige sikkerhetshull, upålitelige trygghetsfunksjoner og manglende forbrukervern. |
| kl.09.45 | Morgenbuffet |
| kl.10.15 | Sikkerhet og usikkerhet i en industriell setting Lillian Røstad, Avdelingsleder Informasjonssikkerhet, Sopra Steria og Førsteamanuensis NTNU I en industriell setting snakker vi tradisjonelt ikke om IT, men om OT – Operations Technology. Begrepet industri 4.0 brukes for å beskrive den pågående digitaliseringen og automatiseringen av industrien. Hva betyr det for sikkerheten når IT og OT smelter sammen på denne måten? Hvilke nye utfordringer oppstår når man introduserer stadig mer avansert sensorteknologi? I dette foredraget vil vi se på sikkerhet i en industriell setting, hvilke sikkerhetsutfordringer som oppstår og hva som er beste praksis for å sikre et slikt miljø. |
| kl.11.00 | The Dark Economy of Ransomware Per Håkon Meland, Seniorforsker, SINTEF og Yara Bayoumy, Student, NTNU The development and distribution of ransomware is stimulated by social networks active in the Dark Net. From the cyber criminal perspective, this is an ideal platform to participate in a business ecosystem, either as an author, vendor or distributor of ransomware. Studying the activities taking place within the Dark Net sites can improve our situational awareness on upcoming threats and how we can defend against them. |
| kl.11.30 | Lunsj |
| kl.12:30 | Sikkerhet i Sbanken – utvalgte suksesskriterier Erlend Dyrnes, Informasjonssikkerhetsansvarlig, Sbanken Sbanken er en norsk nettbank med høy oppetid og svært fornøyde kunder. Metodisk arbeid med informasjonssikkerhet bidrar til bankens gode resultater. Hva er de viktigste suksesskriteriene i bankens arbeid med informasjonssikkerhet? |
| kl.13.00 | Hvordan bruke trusseletterretning til å identifisere og følge trusselaktører Martin Eian, Forskningssjef, Mnemonic I teorien er det klare fordeler med attribusjon. Hvis du kjenner motstanderen din, er du bedre utrustet til å forstå motivene og kapabiliteten deres, som igjen gjør deg i bedre stand til å forsvare deg mot dem. Men hvordan fungerer teori i praksis? Og hva skjer hvis du tar feil, og motstanderen din ikke er den du tror den er? Denne presentasjonen utforsker de praktiske verdiene av attribusjon, vanlige fallgruver og konsekvensene av feilaktig attribusjon. Vi vil også vise eksempler på hvordan trusseletterretning kan brukes for å forbedre attribusjonsprosessen og hvordan det kan brukes i det daglige sikkerhetsarbeidet. |
| kl.13.45 | Avslutning av konferansen Espen Fossen, leder av programkomitéen for Sikkerhet og Sårbarhet |
| kl.14.00 | Slutt |