2019 Program

Lange og komplekse Digitale Verdikjeder” er et begrep som de senere årene har vært allestedsnærværende i debatten om digital sårbarhet. I foredraget vil resultater av arbeid med dette bli presentert.

I september 2010 holde Bjørn Erik Thon sitt første foredrag som direktør i Datatilsynet, på selveste ISF-konferansen. Han har kommet tilbake hvert år, og vil i dette foredraget trekke linjene tilbake til den gang. Hva var de aktuelle sakene for ni år siden?

This talk will provide CISOs a roadmap and real-world examples of how to define, manage and measure their human risk.

This talk will trace the history of software security from its inception 20 years ago to a multi-billion dollar industry that impacts us all daily.

Muligheter og konsekvenser av ID-tyveri på et område ingen vet noe særlig om.

Året 2019 er et milepælsår for Nasjonal sikkerhetsmyndighet på mange områder. Ny statsråd og ny departementstilhørighet, iverksetting av ny sikkerhetslov og etablering av nasjonalt cybersikkerhetssenter. Hva innebærer dette og hva vil det ha å si for norske virksomheter?

Nasjonal strategi for digital sikkerhet nevner kompetanse i informasjonssikkerhet som et av de viktigste satsningsområdene, og det fins flere initiativer for integrering av cybersikkerhet i skole og utdanningen. Vi planlegger et spor med innledere/foredrag og paneldebatt på Sikkerhetsfestivalen 2019 på Lillehammer for å presentere og diskutere disse initiativene.

Hvorfor velger ungdom å ikke følge datasikkerhetsrådene de har fått og hvilke konsekvenser kan det få?

Samme foredrag blir holdt 11:30-13:00

A mini workshop on ethical hacking . Due to the increasing cyber threats around the world ethical hackers are now one of the most sought-after IT specialists. The goal of the workshop is to help participants to start ethical hacking and to encourage them to practice and become active in this field.

NCSC - Beskrivelse av senteret, tjenester som tilbys, samarbeid med eksterne og siste status.

This presentation will demonstrate how OpenC2 can be used practically in coordinated incident response decreasing the human response time to cyber relevant time and also introduce the first Incident Response knowledge base that connects cyber threat intelligence with structured coordinated response actions.

Flytting til skyen kan være både klokt, spennende og skremmende. I mange organisasjoner ser vi et skifte mot skyen, ikke bare med hensyn til kostnader, skalerbarhet og tilgjengelighet, men også for å styrke sikkerheten, gi bedre styring og økt evne til automatisering.

Mennesker blir ofte kalt det "svakeste ledd" eller "den største trusselen" når det gjelder kybersikkerhet. Men er vi det? Hvis jeg blir utsatt for ett ondsinnet angrep, er jeg ikke da ett offer for en kriminell handling på lik linje som hvis noen stjeler lommeboka mi?

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Det snakkes mye om sikkerhetskultur, men hva er det? Har organisasjonen din en felles forståelse for hva det er? Eller hva kan man gjøre for å skape en sikkerhetskultur? Hør noen tanker om temaet i denne presentasjonen.

Mer info om foredraget kommer.

Building a security monitoring and incident response program ccan be hard. There are lots of mistakes to make. This presentation lists a few.

Regjeringen ønsker å gjøre det enklere for offentlige virksomheter å anskaffe skytjenester, og samtidig støtte virksomhetene i å gjøre de nødvendige vurderinger av risiko og sikkerhet. Det vurderes å etablere en markedsplass for skytjenester som kan bidra til økt utbredelse av sikre, lovlige og kostnadseffektive skytjenester. På sikt kan dette gi bedre, mer kostnadseffektiv IT i offentlig sektor i Norge.

Presentasjonen gir en innføring i digitale bedragerier, trusselaktører, vanlige metoder de kriminelle bruker, hva fortjenesten finansierer og flere praktiske eksempler på saker. Videre hvordan de kriminelle tilpasser seg bankens kontroller og hva vi må gjøre for å holde tritt med utviklingen.

Skyen er i stadig utvikling. Fra VM-er til containere og serverless. Har sikkerheten din gjort det samme? Palo Alto Networks vil vise deg hvordan de ser for seg å sikre både SAAS og IAAS-tjenester både nå og i fremtiden.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Måten man jobber med IT på endrer seg. Mobilitet og fleksibilitet er viktig i de fleste stillinger i alle bransjer. Hvordan passer dette med dagens sikkerhetsutfordringer? Hvordan skal man forholde seg til at de klare grensene mellom hva som er interne/eksterne nettverk viskes ut? Du vil få en oversikt over trusselbildet, hva man må tenke på og hva du kan få hjelp med.

I dette foredraget vil vi gi et innblikk i hvordan vi jobber når alvorlige cyberhendelser treffer Norge og norske virksomheter.

Effektiv krisehåndtering er viktig for enhver organisasjon. Hver enkelts vurdering og handling spiller en avgjørende rolle når krisen oppstår og utvikles. Alle nivå i en organisasjon må derfor være forberedt og trent på hvordan kriser skal håndteres. Gjennom mental trening, stressmestring, samhandling og effektiv ledelse kan kritiske hendelser håndteres optimalt.

Cloud computing is revolutionising the way businesses consume IT services and provides endless opportunities to strengthen security beyond what was possible in the old data centre. The Government Pension Fund Global (Oljefondet) has just been through a full cloud migration and will share how they have approached cloud and how they take advantage of the new way of implementing security controls.

Gjennom ekte dilemmaer fra en pasients hverdag får vi innblikk i et knippe vanlige dilemmaer knyttet til informasjonssikkerhet og personvern i helse. Det blir skuespill, interaktivitet, gøy og alvor.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

The UiO-CTF team intends to arrange a jeopardy style CTF in the frame of the “Sikkerhetsfestivalen”.

Hvorfor velger ungdom å ikke følge datasikkerhetsrådene de har fått og hvilke konsekvenser kan det få?

Samme foredrag som ble holdt 09:00-10:30

Foredraget vil gi en introduksjon til digital sikkerhet for seniorer, og fokuserer på trygg bruk av digitale tjenester. Foredraget vil også gi en kort introduksjon til den tilrettelagte opplæringen for seniorer som finnes på nettvett.no og det øvrige veiledningsmateriellet som NorSIS har publisert på nett.

Foredraget vil fokusere på NSMs grunnprinsipper for IKT-sikkerhet, versjon 2.0. Spørsmål som vil bli tatt opp er: Hva er nytt i versjon 2.0? Hvordan kan grunnprinsippene bedre sikkerheten i norske virksomheter? Hva er veien videre og hvordan kan norske virksomheter hjelpe med å forbedre grunnprinsippene?

Vi vet ikke om kvantedatamaskiner noen gang vil bli sterke nok til å knekke dagens kryptografi, men vi kan ikke ta sjansen, spesielt ikke med sikkerhetsklarert informasjon. Dette foredraget vil ta for seg et overblikk over dagens og morgendagens kryptografi, den pågående utviklingen av nye standarder og hvordan tidsløpet ser ut for de som etterhvert skal ta dette i bruk.

Cryptojacking er i ferd med å ta over tronen som den største formen for digital vinningskriminalitet. Denne typen angrep stjeler prosessorkraft og minne fra datamaskiner, mobiltelefoner og IoT-dingser for å grave etter kryptovaluta uten at eierne merker noen ting. Smittefaren er også stor, ettersom skadevaren kan hoppe rett inn i nettleseren når man besøker mange av de mest populære nettsidene i verden.

Ronny Klavenes vil fortelle om erfaringer og om metoder for sikker og systematisk tjenesteutsetting til sky. Foredraget vil ta for seg metodikk og tankesett for både ledere og operative ressurser på alle nivåer.

Statlige aktører og etterretningstjenester i enkelte land er svært avanserte og aktive. Når man reiser i disse landene er man på deres hjemmebane, og bør ta forholdsregler når det gjelder oppførsel og bruk av elektronisk utstyr som laptoper, nettbrett og mobiltelefoner. Spesielt gjelder dette personer som er av interesse for disse aktørene, som f.eks. industriledere, profilerte politikere eller statsråder. Foredraget tar for seg hva slik etterretningstjeneste kan føre til dersom man ikke er forberedt på risikoen ved slike reiser.

Eirik Thormodsrud deler erfaringer med design og implementasjon av løsninger, både applikasjoner og infrastruktur, som lar seg forsvare. Hva skal til for å etablere sikre løsninger hvor verifikasjon av ønsket sikkerhetsnivå samt overvåking av sikkerhetshendelser er gjennomførbart og hensiktsmessig.

Pandoras box viser praktiske eksempler på hvilken rolle omkringliggende systemer kan ha på funksjonaliteten til kjernesystemer i industrielle kontrollsystemer.

Det er en økende trend at norske offentlige og private virksomheter tjenesteutsetter hele eller deler av sin IKT-portefølje. En viktig driver for tjenesteutsetting er å få tilgang til ekspertkompetanse. Men fritar tjenesteutsetting virksomheten for all IKT-kompetanse? Foredraget skal belyse viktigheten av å ha en annen type kompetanse ved tjenesteutsetting og at en grunnleggende IKT-kompetanse fremdeles er nødvendig.

Cybersikkerhet er et sentralt tema i kontekst av planlegging av smarte distribusjonsnett. SINTEF har gjennom CINELDI utviklet en skreddersydd metode for å analysere cybersikkerhetsrisikoer som kan svekke forsyningssikkerheten for elektrisitet.

Hvordan bruke personas til å forstå eget trusselbilde, NSMs grunnprinsipper til å forstå egen sårbarhet og kombinasjonen til å få kontroll på gapet mellom (risiko-) appetitt og metthetsfølelse.

Det er forventet, etter å ha snakket litt med bransjeaktører allerede, å se at det er stor forskjell på hvorvidt investorer har interesse for dette, enda informasjonssikkerhetsfeil, spesielt cyberangrep, kan tape et selskap opptil 15% i verdi.

Hva kan vi lære fra hendelser i Norge? Hvilke sårbarheter utnytter de kriminelle? Hvordan opererer de? Hvilke konsekvenser har datainnbrudd for virksomhetene, og hvordan blir angrepene håndtert?

Jørgen Rørvik deler sine erfaringer rundt implementering av sikkerhetsovervåking. Sikkerhetsovervåking er ekstremt viktig, og synlighet i egne systemer er på alles lepper. Det er ofte utfordrende å implementere sikkerhetsovervåking og Jørgen vil gi oss råd på veien for en vellykket strategi og implementering.

NTNTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Foredraget vil søke å belyse problemstillingene kvantedatamaskiner reiser, og hvordan en kan forsøke å håndtere den store risikoen kvantedatamaskinene representerer for sikkerheten i all vår digitale kommunikasjon.

Dette foredraget argumenterer for å styrke cybersikkerhet ved å opprette en ICTI (Infrastructure for CTI) som automatiserer innsamlingen, utveksling og analysen av praktisk CTI.

In this talk, I will show you the craziest and possibly terrifying things I have found connected to the internet at one time or another.

While security benefits from stability and risk reduction, innovation is often defined by fast iterations and risk appetite. Although startups depend on both, there are scenarios where security may receive less attention than in more established enterprises. This thesis looks into some key factors influencing security in startups and how startups work with security. And based on relevant frameworks it takes a look at what could potentially be best practices for startups.

Foredragsholder er opptatt av at sikkerhet og personvern faktisk kan være morsomt og til allmenn forlystelse. Han har i en årrekke holdt foredraget «Humor i sikkerhetsarbeidet – morsomt eller bare latterlig?». Dette er en oppdatert versjon som bl.a. også omfatter pussige situasjoner relatert til GDPR og andre sikkerhetsrelaterte områder.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Er det vanskelig å få ledelsens oppmerksomhet rundt informasjonssikkerhet? Kom og få noen idéer om hvorvidt og evt. hvordan du kan bruke en enkel modenhetsmodell for å skape felles forståelse for tilstand, mål og plan.

I løpet av drøye 20 år er IKT tatt i bruk i større eller mindre grad på de aller fleste områder, - skritt for skritt innen den enkelte bedrift/institusjon, - uten at man samtidig har tilstrebet noen samlet oversikt over IKT-avhengighet og samfunnsmessige konsekvenser. Hvorfor?

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

The UiO-CTF team intends to arrange a jeopardy style CTF in the frame of the “Sikkerhetsfestivalen”.

I foredraget vil Jørgen dele noen erfaringer fra penetrasjonstester rundt om i det ganske land. Hvorfor gjør NSM dette, hva ser NSMs pentestere og hvorfor kommer de seg tilsynelatende alltid inn? Dette og mange andre temaer vil vi komme inn på i foredraget.

TG:Hack er Norges største hackekonkurranse av typen "Capture the Flag" (CTF). Konkurransen består av et bredt spekter med sikkerhetsrelaterte oppgaver, hvor målet i hver enkelt oppgave er å finne et flagg. Rushet man får når man løser en oppgave driver oss til å søke ny kunnskap og finne enda flere flagg. Det gjør at deltakere bygger seg bred kompetanse innen informasjonssikkerhet. Marit forteller om CTF, hvordan TG:Hack skiller seg ut som CTF, og nytten av å delta i slike konkurranser for å øke interesse og kompetanse innen programmering, etisk hacking og informasjonssikkerhet.

SABSA «Sherwood Applied Business Security Architecture» er en rammeverk for forretningsdrevet risiko- og sikkerhetsstyring. Den hjelpe å sikre at virksomheten har den sikkerhet den trenger, ikke mer eller mindre, i forhold til verdiene den forvalter. I tillegg gir den likeverd til «positive» og «negative» risikoer og tilbyr måte å vurdere og ivareta begge to.

Siden datainnbruddet hos Helse Sør-Øst på nyåret 2018 har flere omfattende datainnbrudd mot norske virksomheter blitt kjent i offentligheten. Denne nye virkeligheten med stadig mer avanserte trusselaktører, krever ledelsesmessig fokus og tiltak i alle virksomheter.

Har du opplevd å snakke med venner og bekjente om betydningen av sikkerhet og personvern, og få kommentarer i retur som at “Jeg har jo ikke noe å skjule, så Google må gjerne få tilgang til mine data. Da får jeg også reklame jeg faktisk er interessert i!”?

Vi lever i en integrert verden, hvor tjenester utveksler informasjon mellom seg for å gi oss brukeren en bedre opplevelse. Hvor man før måtte taste inn kort-nr manuelt for å kjøpe noe, kan man nå bare bruke Vipps. Skal man registere en ny bil, så måtte man ned til Trafikkstasjonen å stå i kø, nå kan man signere med BankID på internett. Men når det kommer til nettverk og endepunksikkerhet, så går vi ofte for vidt forskjellige leverandører uten integrasjon. Stikk i strid med hva som er fornuftig. For det som skjer på endepunktet, resulterer alltid i noe på nettverket også. Det er her Cortex XDR kommer inn, som den første løsningen som kan se konteksten fra nettverket, endepunkt og skyen!

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Etter hvert som verden blir mer og mer koblet sammen og IT nettverkene fortsetter å utvikle seg, blir sikring av IT-miljøer stadig mer og mer komplekst. Cyberangrep går nå fra 5. til 6. generasjon, og viser seg å være langt mer sofistikerte enn noensinne, og omgår de konvensjonelle og nisjebeskyttelser som de fleste organisasjoner bruker i dag for mobil, sky, bedriftsnettverk og IoT. I denne sesjonen vil Nils-Ove presentere hvordan du skal takle disse utfordringene og hvordan du forbereder deg for i dag og i fremtiden.

I foredraget «Ny sikkerhetslov – hva og hvordan?” vil Sylvia snakke om hva som er nytt, hva som er tilsynelatende nytt og hva som ikke er nytt i ny sikkerhetslov.

Autentisering til mobile tjenester gjøres i dag i stor grad ved hjelp av passord, men brukere glemmer passord og trenger kundestøtte. Noen tjenester bruker fingeravtrykk, men ulempen er at brukeren må foreta en aktiv handling for å autentisere. I Awesome Possum-prosjektet bruker vi data fra mange ulike sensorer (akselerometer, Bluetooth, Wifi, o.a.) på mobiltelefonen for å passivt autentisere brukere, dvs. uten at brukeren gjøre noe mer enn å bruke selve tjenesten.

RSA er i dag den mest brukte algoritmen for asymmetrisk kryptografi og en nøkkellengde på 2048 bits er gjeldende beste praksis. Men det er ikke lenge før denne bør erstattes av sterkere kryptografi og hvilke alternativer har vi da?

Henrik vil belyse styrets ansvar i forhold til cyberrisiko og se dette opp i mot aksjeloven Kapittel 17, Erstatning.

Peter Druckers kjente frase "Culture eats strategy for breakfast" gjelder også for it-sikkerhet. Man kan lage styringssystemer, gjennomføre opplæring, ha omfattende malsett og krav, men om man ikke har god sikkerhetskultur, ender man fort opp med å slite i motbakke i jobben med sikkerhet.

Cybersecurity is no longer just about technology it is ultimately about organizational change. Organizational change is not only how people think about security but what they prioritize and how they act, from the Board of Directors on down. Learn how to become a far more effective CISO by leveraging the principles of change management and embed security at an organizational level.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Mer info om foredraget kommer.

Foredraget vil gå nærmere inn på hvem innsideren kan være og hvordan NSM ønsker å forebygge innsidetrusselen.

This talk will present the threat picture, example attacks, the vulnerabilities and the crucial steps in protecting cyber assets of industrial installations.

Bane NOR kjører et av de største digitaliseringsprosjektene i Norge og skal gjennom dette digitalisere jernbanen gjennom bruk av teknologien ERTMS. Dette vil sette toglederne i stand til å styre togene via heldigitale løsninger og ikke delvis manuelle som i dag, og signalene langs jernbaneskinnene skal gå fra å være rele-baserte til å være IP-baserte.

En gjennomgang av cyberangrep som vi har sett, og som selskaper blir utsatt for. Hva kan gjøres? Hvilke spørsmål bør styremedlemmer stille til selskapet? Hvilke tiltak bør en påse at selskapet gjennomfører for å redusere risikoen.

Kai og Espen vil diskutere de erfaringer de har med måling av sikkerhetskultur, hvordan målinger påvirker arbeidet med sikkerhet i en virksomhet. Gjennom dialog og spørsmål vil de jobbe igjennom de erfaring de har gjort i løpet av et 3-års måleprosjekt hos Abax.

Securing your infrastructure, your customer interactions and protecting your data are critical to preserving your reputation and your bottom line. Many cyber attacks remain undetected for up to eight months1and can cost an organization an average of 11 million USD.Today’s cyber actors are becoming more sophisticated, agile and capable of getting past any network security...

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Innhold utviklet for barne- og foreldremøter rundt omkring på landets grunnskoler, med faglig innhold og historier fra virkeligheten.

Christer skal i sitt innlegg snakke om grunnleggende nasjonale funksjoner, et begrep som ble introdusert med den nye sikkerhetsloven. Innlegget vil fokusere på formålet med innføringen av begrepet, og roller og ansvar i arbeidet med å identifisere grunnleggende nasjonale funksjoner og skjermingsverdige verdier.

Et erfaringsbasert innblikk i de vanligste forutsetningene som kreves for å sikre et godt resultat og noen av de risikoene som følger når man ikke gjør det.

Er vi på vei tilbake til forskjellige eIDer for hver enkelt tjeneste, men nå innebygget i appene og med biometri i stedet for passord? Hvordan skal i tilfelle disse eIDene utstedes på en sikker måte?

Evnen til å overbevise handler like mye om vitenskap, som talent og øving. Med utgangspunkt i seks prinsipper gir foredraget en innføring i overtalelsens kunst, og hvordan dette kan utnyttes til både gode og onde formål. Som digitaliseringsleder er man nemlig avhengig av å få med seg andre. Samtidig ser vi også hvordan svindlere og hackere bruker de nøyaktig samme prinsippene i samband med sosial manipulering, og hvordan kunnskap om dette kan hjelpe folk til å beskytte både seg selv og andre.

Securing your infrastructure, your customer interactions and protecting your data are critical to preserving your reputation and your bottom line. Many cyber attacks remain undetected for up to eight months1and can cost an organization an average of 11 million USD.Today’s cyber actors are becoming more sophisticated, agile and capable of getting past any network security...

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Deltagerne vil få bruke sine evner til kreativitet, improvisasjon og “thinking on your feet”, og gjennom dialog og samarbeid sette fokus på beredskapsforberedende tiltak i egen virksomhet.

Refleksjonssamtale fra ulike perspektiver

I dag kommuniserer pilot og flygeleder for det meste muntlig. Men flyene har også muligheten til å bruke en VHF datalink til å utveksle enkle instruksjoner og informasjon via tekst. Nå jobbes det for fullt rundt om i Europa for at luftfarten skal få større digital kapasitet ved bruk av satellitt-tjenester. Men digitalisering er ikke risikofritt – større anvendelse av datalink til flyenes styringssystemer øker angrepsflaten og åpner opp for nye typer av trusler som luftfartsbransjen ikke er vant med å håndtere.

In this talk we will share the experiences of teams that are working on Security Activities in self-managed Teams in VISMA. The overall goal is to help teams to be self-managed on software security activities. Still as a large organization, there is some need of control/governance.

Where we started and what we have done, how it is and what we will do for information security in Orkla. We share what has been good, bad and ugly in the last 2,5 years and how we plan to have it as good as possible in the future.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Helse- og omsorgstjenesten blir ofte berørt i kriser av nasjonal karakter. I slike tilfeller vil Helse- og omsorgsdepartementet (HOD) ha et sentralt ansvar og delegerer gjerne til Helsedirektoratet å koordinere den nasjonale helseberedskapen, som skal sikre at vår sektor løser samfunnsansvaret også under kriser.

I dette foredraget vil vi gi en høynivå oversikt over denne smartmålerløsningen, og vi vil drøfte relevante trusler og sikkerhetskrav, samt skissere metode og verktøy brukt i analysen. Analysen er basert på en detaljert modell av sikkerhetsløsningen som vi etablerte i samarbeid med Fredrikstad Energi.

Vi oppdaget en kritisk feil i et sikkerhetsbibliotek fordi vi har automatiserte tester også for de “trivielle” tingene. Det kostet mye tid og krefter å overbevise leverandøren av biblioteket om at dette faktisk var en sikkerhetsfeil. Hvordan skaper man en teamkultur hos utviklere for å skrive slike tester? Hva slags kompetanse kreves for å finne og følge opp slike feil? Kan vi egentlig stole på leverandørene våre?

Det er mange gode argumenter for å implementere et styringssystem for informasjonssikkerhet, men å forstå hvordan man kommer dit og hvordan man får det til å fungere over tid er kanskje ikke alltid så tydelig. Dette er et erfaringsforedrag fra et prosjekt som har etablert og implementert ISMS hos Storebrand hvor vi deler erfaringer fra prosjektet, diskuterer hvilke fordeler man har oppnådd og utfordringer prosjektet har møtt underveis.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Direktoratet for e-helse har foretatt en innbyggerundersøkelse der vi blant annet har spurt om innbyggernes tillit til sektorens behandling av deres helsedata. Det er også gjennomført et arbeid med indikatorer for informasjonssikkerhet i sektoren. Kan disse arbeidene si noe om hvordan det står til med sikkerhet og personvern i helsesektoren?

Om Microdata.no ved SSB og NSD

I 2019 kom NVE med revidert forskrift. Foredraget gir en innføring i arbeidet med å sikre norsk kraftforsyning mot cybertrusler.

I Statkraft har vi valgt å organisere informasjonssikkerhetsarbeidet på en litt ny måte – vi har f.eks. ingen tradisjonell CISO rolle.

Kunnskapsdepartementet og Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning - innfører en ny styringsmodell for informasjonssikkerhet med utgangspunkt i den foreløpig lite omtalte standarden ISO/IEC 27014:2013. Modellen omfatter departementets og direktoratets styring av informasjonssikkerhet i en av landets største samfunnssektorer og setter denne i system innenfor en helhetlig 'corporate governance'-ramme. Foredraget presenterer bakgrunnen for styringsmodellen og hvilke gevinster denne skal gi i etats- og eierstyringen.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Helsesektoren har hatt en bransjenorm for informasjonssikkerhet og personvern i 13 år. Gjennom Normen har sektoren selv tatt grep for å sikre god informasjonssikkerhet, godt personvern og god "digital pasientsikkerhet". Sektoren er avhengig av tillit fra innbyggerne og balansen mellom K, I og T kan i ytterste konsekvens være et spørsmål om liv og død. Hvordan bidrar en atferdsnorm til å ivareta denne tilliten og balansen? Og vil den nye versjonen av Normen (v6.0) bli et enda bedre verktøy for dette?

Refleksjonssamtale med ulike perspektiver.

Foredraget vil kort presentere EOS-utvalget, stortingets kontrollutvalg for de hemmelige tjenester. Deretter vil det bli en generell gjennomgang av hvordan EOS-utvalget kontrollerer IT-systemer hos de hemmelige tjenestene i Norge, og til slutt en mer detaljert forklaring om hvordan man ser for seg å kontrollere et eventuelt «Digitalt GrenseForsvar», eller «Tilrettelagt Innhenting» som det heter i høringsforslaget.

Social Engineering is for most people a prince in a different part of the world offering them 50 billion dollars for an upfront fee of 5K. What can go wrong. But hacking the human is more than that. Niall will show you some serious mind hacks, scams and various forms of social engineering in this engaging talk. Expect to learn some underhanded techniques to get your way at work.

A review of information security governance in Oracle Corporation. Target audience are managers and security staff interested in real-life examples of managing security in a large multi-national corporation. This is a case study, not a sales presentation. The focus is on the organizational aspects of security.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

De siste årene har det vært en rekke alvorlige IKT-hendelser i helse- og omsorgssektoren både i Norge og internasjonalt. Dataangrepet mot Helse Sør-Øst som ble kjent i 2018 er et eksempel på dette. På bakgrunn av trusselbildet, funn fra hendelser og øvelser og allerede foreslåtte tiltak beskrevet i tidligere rapporter og utredninger, foreslår Direktoratet for e-helse nå flere tiltak som vil kunne løfte sikkerhetsnivået i helse- og omsorgssektoren på kort- og mellomlang sikt.

Offentlige myndigheter vil nå kunne stille strengere krav til private virksomheter ved at det offentlige kan treffe vedtak om at utpekte virksomheter skal bli direkte underlagt sikkerhetsloven. Dette kan gjelde et stort antall virksomheter.

Foredraget tar ett lite dypdykk innen Social Engineering, en av det største truslene vi har innen informasjonssikkerhet.

Vi gir fagsiden og ledelsen det de er ute etter og vi svarer ut lovkrav, retningslinjer og styrende dokumenter.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Digitale trender, trusselbildet og cyberangrep i helsesektoren - en oppdatering på situasjonsbildet i helsesektoren fra HelseCERT. Hvilke tiltak gjøres i sektoren og anbefalinger fra HelseCERT.

Kunstig intelligens-algoritmer er veldig kompliserte. Kan vi forstå hvordan algoritmene egentlig tenker?

Bruk av klokker for innsamling av bevegelsesdata fra pasienter har vært vanskelig å få på en sikker nok på måte på norske sykehus. Høsten 2019 utstyrte vi 300 pasienter med klokker koblet til en app vi selv hadde utviklet og klarte å samle inn helsedata data fra pasienter på en sikker måte. På dette foredraget forteller vi hvordan vi klarte dette.

Most safety barriers on large complex assets like oil & gas installations, ships, process industry and safety critical installations are monitored and managed by computer components. These components are commonly connected via networks to achieve transparency and oversight. How vulnerable are these safety barriers for cyber incidents, and how does this effect the overall safety situation?

Som ung og naiv opplevde jeg bli utsatt for en såkalt stalker. I senere år har jeg forstått at det finnes et begrep for slikt: trusselutsatt. Jeg var utsatt for en blanding av kjærlighetserklæringer og drapstrusler. Jeg måtte finne løsning på problemet selv, for politiet kunne ikke hjelpe. I dag er jeg glad det skjedde før Internett. Trusselen er fortsatt tilstede, men nå i langt mindre grad. Dette er situasjoner som rammer tilfeldig. Plutselig kan man være utsatt for en som retter all sin energi mot en.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

(Hvordan) kan vi ta i bruk skytjenester i helsesektoren? Helseopplysninger oppfattes som noe av det mest sensitive vi mennesker deler om oss selv, og behandlingen av slike data er underlagt et strengt regime av lover og forskrifter. Samtidig vet vi at sårt tiltrengt utvikling av nye tjenester gjerne involverer bruk av skytjenester. Gjennom foredraget vil Norsk Helsenett gi innblikk i en av sine første reiser ut i skyen, og erfaringene vi har gjort oss i ettertid.

Foredraget vil gi en oversikt over erfaringene med å jobbe i organisasjoner som har ansvaret for nasjonal kritisk infrastruktur med en helhetlig tilnærming til risikostyring for på best mulig måte beskytte bedriftens og samfunnets verdier.

As workloads are moving to the cloud, your CI/CD pipeline is becoming one of your most critical assets, holding the keys to your castle. An important but often forgotten part about moving to the cloud is how to maintain your security controls while still allowing DevOps to naturally transform throughout the organization. This workshop will start by covering the fundamentals of a CI/CD pipeline while rapidly moving into more hands-on oriented labs where you will learn how to deploy and secure your own CI/CD Pipeline.

Snakker om hvordan Difi i 2018 utredet behovet for autentisering av ansatte i offentlig sektor, og vurderte hvordan ulike løsninger kan gi enklere og sikrere autentisering av ansatte.

Lagring av store mengder logger over en lengre periode er ikke lenger et problem da lagringsprisene er rekordlave. Men hvordan skal du analysere alle disse dataene, og hvordan kan du bruke de til å bli mer compliant med reguleringer som GDPR? Ved å kombinere maskinlæring med en menneskelig operatørs evne til å gjennomføre Threat Hunting, kan vi finne hackeren i høystakken.

I en konsert med tusenvis av sluttbrukere med privilegerte tilganger, er det nødvendig med tiltak for å beskytte seg mot de som skal beskytte IT systemene. Hva slags praksis og rutiner bør en driftsorganisasjoner etablere for å øke sikkerheten for data de forvalter, ved å begrense tilganger til privilegerte brukere. Er «Just-in-Time» privileger et levedyktig modell og fremtidig kultur i en driftsorganisasjon?

In this talk we will consider (in)security as an economic externality. We will compare and contrast the rise of pollution during the industrial age with the rise of digital insecurity during the information age.

Foredraget fokuserer på hvilke sikkerhets– og personvernutfordringer som bruk av ny programvare i kommunen kan innebære.

Stadig større grupper av den norske befolkning får tilgang til digitale helsetjenester fra både fastleger, kommunehelsetjeneste og sykehus. De eneste som ikke får bruke slike tjenester er de mest digitalt aktive av oss alle, nemlig unge mellom 12 og 16. Hvorfor er det slik, og hva kan gjøres med det?

Digital identitet og IAM er begreper mange har hørt om - men planer for digitalisering ser ut til å stort sett igangsettes uten noe klart begrep om hvilke identiteter som egentlig skal ligge til grunn for tjenestene. Hva trenger vi å forstå om digital identitet i digitaliseringsinitiativer, og hvilke spørsmål bør vi stille for å finne ut om fundamentet er på plass, eller for å få det på plass i tide? Dette er et foredrag om viktigheten av identitet i digital forvaltning, fra erfaringer hos større norske telekomfirmaer og andre store organisasjoner.

I 2015 startet Vegard opp satsningen på IRT-tjenester. Med 4 års erfaring som hendelseshåndterer, deler Vegard sine erfaringer fra oppbygning av teamet, kompetansekrav, markedets etterspørsel og gevinsten av en implementert beredskapsplan og et tett samarbeid med spesialister. I 2018 ble de også godkjent som hendelseshåndterere under NSM sin kvalitetsordning som setter høye krav til prosess, kompetanse og kvalitet.

Snakker om NAV-IT sine erfaringer med hvilke utfordringer en implementasjon av en ny skybasert IDM-løsning innebærer.

Mer info om foredraget kommer.

Innlegget tar for seg behov og barrierer virksomheter i helse- og omsorgstjenesten har knyttet til ytelse av helsehjelp på avstand ved bruk av teknologi.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Mange virksomheter har utviklet metoder for hvordan vurdere personvernkonsekvenser etter personopplysningsloven. Det gjelder også NAV, og dette foredrag Foredraget vil være et erfaringsforedrag, og vil ta for seg både innholdet i NAVs metode for personvernkonsekvensvurderinger, prosessen for håndtering av disse, arbeidsmåten og «lessons learned» fra arbeidet.

UIO har bygd en løsning som håndterer over 100 TB loggdata fra nær 20000 enheter ved hjelp av ELK ( Elasticsearch Logstash og Kibana ), samt en rekke opensource komponenter og egenutviklet kode. Denne løsningen blir beskrevet med erfaringer.

Zero Trust er en sikkerhetsstrategi. NSM Grunnprinsipper for IKT-Sikkerhet er anbefalinger. CIS CSC er måleparameterne som kan benyttes for kontroll. CIS benchmarks benyttes for kvalitetskontroll på installasjon. Disse komponentene kan settes sammen i et system, og danne underlaget for en god helhetlig sikkerhetsløsning. Zero Trust vil mappes mot NSM Grunnprinsipper. NSM Grunnprinsipper vil mappes mot CIS CIS.

Men så er det selve begrepet risiko, da. Av og til blir ordet brukt som synonym for en trussel. Av og til ser vi at noen oppfatter et manglende tiltak som en risiko. Noen sier at den består av tre komponenter, noen sier det er to faktorer. Og skal risikoen vurderes? Skal den kanskje analyseres? Eller skal den bare være en del av en ROS?

Sosiale medier og Facebook har totalt har endret reglene i politikk og samfunnsliv.

Foredraget vil basere seg på en masteroppgave som ble skrevet i tidsrommet vi gikk fra gammel personopplysningslov til ny personopplysningslov (GDPR), og ivaretakelse av personvern i forhold til krav i den nye personopplysningsloven og hvordan denne nye loven ville stille seg i forhold til særlovgivning var derfor en stor del av oppgaven.

NTNU CCIS har sammen med sine partnere laget et parallelt, åpent og gratis programspor som fokuserer cyber og digital sikkerhet rettet mot allmenheten, studenter, skoleelever, fagfolk og media.

Hvilke hybride trusler står kritisk infrastruktur og IKT i Norge overfor i dag? Forsvaret og andre statlige institusjoner vil i framtiden være nødt til å samarbeide tettere med både akademia og privat næringsliv for å håndtere trusler innenfor cyberdomenet. Hva kan akademia og næringslivet tilby statlige institusjoner for å styrke vår digitale forsvarsevne, og hva kan de få i retur?