Program

Program 18. januar 2017

Registrering og morgenmad

Velkommen til IT-sikkerhed 2017

v/ Rikke Hvilshøj, direktør, DANSK IT

Dagens ordstyrer: Anders Høeg Nissen, radiovært, P1 Harddisken 

Twentyfive Years, And What Have We Got?

v/ Mikko Hypponen, Chief Research Officer, FSecure

Mikko Hyppönen, F-Secure We have been defending our systems against attacks for decades. But how come we haven't been able to fix these problems? Why do some problems keep coming back, over and over again? Where should we be looking to find permanent answers for our security questions? And what will be happening over the next 25 years? Mikko Hyppönen is a Cyber War Veteran from Finland, and has been hunting hackers for more than 25 years.

Identify, Pursue, Defeat - The FBI's view of, and approach to, the cyber threatscape

v/ Chuck Esposito, Assistant Legal Attaché, FBI

The FBI's view of the priority cyber threats facing our world and its efforts to mitigate the threat. The presentation will provide an overview of the various threat categories (terrorist, criminal, hacktivist, etc), emerging threats and vulnerabilities, and initiatives to counter the threat, with an emphasis on private sector collaboration.

Danmarks Cyber- og Informationsstrategi

v/ Thomas Kristmar, afdelingschef, Center for Cybersikkerhed

Den nationale cyber- og informationssikkerhedsstrategi og NIS-direktivet vil stille krav til informationssikkerheden i Danmark i de kommende år. I dette indlæg fortæller Thomas Kristmar om baggrunden for initiativerne og konsekvenser for virksomheder og myndigheder i Danmark.

Frokost

Hvordan kan virksomheder håndtere industrispionage?

v/ Morten Kähler, informationssikkerhedschef, CERTA Intelligence & Security

Industrispionage er en tiltagende trussel i Danmark, og op mod hver tredje virksomhed udsættes for forsøg på industrispionage. Seneste undersøgelser peger på, at halvdelen af forsøgene lykkes. Alligevel oplever de fleste virksomhedsejere industrispionage som en diffus og svært håndgribelig trussel. Industriens Fond og CERTA Intelligence and Security har derfor udviklet Spionagetesten.dk. Spionagetesten er et onlineværktøj, der hjælper små og mellemstore virksomheder med at sætte industrispionage på dagsordenen og giver konkrete bud til forbedring af informationssikkerheden. Morten Kähler vil i sit oplæg tage afsæt i Spionagetesten og komme omkring emner som industrispionage og informationssikkerhed, der går på tværs af IT, fysiske informationer og menneskelig adfærd.

Informationssikkerhed igennem de sidste 30 år

v/ Carsten Stenstrøm, informationssikkerhedschef, BaneDanmark og Niels O. R. Rasmussen, områdedirektør, IT-sikkerhed, Nykredit

I 2017 er det 30. gang at DANSK IT afholder en konference om it-sikkerhed. Det markerer vi med et indlæg fra to sikkerhedseksperter, som arbejdet med området igennem de sidste 30 år. Hvad er der sket på it-sikkerhedsområdet de sidste 30 år og hvad kan vi lære af det?

How to measure Anything in Cybersecurity Risk: An Introduction to Better Methods

v/ Douglas W. Hubbard, Founder, Hubbard Decision Research

Recent big security breaches have forced business and government to ask: do current risk assessment methods in cybersecurity work? Is there a way to fix them? How can risk even be assessed in cybersecurity?  

Douglas Hubbard, author of  How to Measure Anything in Cybersecurity Risk will reveal whats wrong with current cybersecurity risk assessments and how to tell what works from what doesn’t.  He will explain how even cybersecurity can measurably benefit from quantitative risk assessments even when it appears there isn’t enough data for probabilistic methods.   

Douglas will do his presentation via Skype. 

 Afrunding ved Anders Høeg Nissen, radiovært, P1 Harddisken

Registrering og morgenmad

Velkommen til dag 2 - opsamling på dag 1

Dagens ordstyrer: Christian Ehlers Mikkelsen, Management Consultant, Implement Consulting Group og facilitator for DANSK IT's netværk for informationssikkerhed

9 takeaways from SAP cyber threat report 2016

v/ Alexander Polyakov, CTO, ERPScan


Nowadays, SAP cybersecurity is in the public eye. Nonetheless, this topic attracted researchers’ attention almost 10 years ago. SAP Security experts delivered numerous presentations on SAP cybersecurity covering a wide range of subjects, from various attacks on ERP systems, SAP HANA, SAP Mobile solutions to specific issues related to Oil and Gas or Manufacturing industries. However, when it comes to securing a real SAP environment, nobody is in charge of the security of the most critical system elements. The annual report provides a high-level overview of the topic. As SAP Security is complex in itself, so the research takes into account different perspective, namely SAP Product Security, SAP Implementation Security, and SAP Security Awareness.

Påvirkningsoperationer
v/ Thorsten Foldager Johnsen, chef for Trusselsvurderingssektionen, Center for Cybersikkerhed

De amerikanske efterretningstjenester har i en offentlig rapport fra december 2016 sagt, at Rusland påvirkede det amerikanske valg. I denne session orienterer Center for Cybersikkerhed om, hvad påvirkningsoperationer er og hvordan de virker.

Pause

Læring fra en praktisk tilgang til etablering af sikkerheds­overvågning (SOC) og incident response team i DONG Energy

v/ Peter Aarhus, IT Security Consultant, DONG Energy

Hør om de betragtninger der blev gjort da kursen for DONG Energys fremtidige SOC skulle udtænkes, og hvilke mål der blev sat, samt hvordan SOC’en blev organiseret således den havde en chance for at overholde de stramme deadlines. Peter Aarhus gennemgår de overordnede tanker i forhold til valg af understøttende teknologier og produkter, og om de levede op til forventningerne. Hvad har de lært i DONG Energy, og hvilke anbefalinger og faldgruber kan andre drage nytte af. 

Sådan skaber tilsyn i Skatteministeriet værdi

v/ Elisabeth Helene Rothmar, informationssikkerhedskonsulent, Skatteministeriet og Jesper B. Hansen, senior konsulent, Siscon

I kraft af ”National strategi for cyber- og informationssikkerhed” skal ministerierne føre tilsyn med informationssikkerheden på ministerområdet. Skatteministeriet & Siscon præsenterer i dette oplæg tanker og overvejelser om tilsynet og deler koncept og erfaringer fra ministeriets gennemførte tilsyn i efteråret 2016, herunder hvordan tilsynet skaber værdi. Oplægget byder også på en case om opbygning og design af et godt kontrolmiljø med fokus på dokumentation af sikkerhedsniveau i en privat virksomhed både internt og mod evt. IT-revision. 

Transit

Sikkerheds­­mæssige og etiske aspekter af kunstig intelligens

v/ Thomas Bolander, lektor, DTU Compute

Kunstig intelligens har et kæmpe anvendelses­mæssigt potentiale inden for transport, sundhed, finans, uddannelse m.m., men støder også på sikkerheds­mæssige og etiske udfordringer. Den del af kunstig intelligens som umiddelbart har det største potentiale, selvlærende systemer, er også den der har de største sikkerheds­­mæssige udfordringer, idet man ikke kan give nogen garantier for hvordan den slags systemer vil opføre sig, og de vil aldrig være 100% forudsigelige. Det skaber udfordringer for sådan noget som eksempelvis førerløse biler, hvor en dødsulykke i 2016 i en selvkørende Tesla har været med til at skabe fokus på dette problem. Et andet problem er privacy, idet selvlærende systemer helst skal have så meget data som muligt til at dygtiggøre sig på, men er vi villige til at give disse systemer adgang til al vores data? Foredraget vil introducere de forskellige paradigmer indenfor kunstig intelligens og snakke om de sikkerheds­mæssige og etiske udfordringer de hver især leder til.

Praktiske erfaringer og udfordringer i arbejdet med Persondataforordningen i Danfoss

v/ Thorsten Kranz, Data Privacy Manager, Danfoss


I dette indlæg kan du høre om hvordan de har arbejdet med Persondataforeningen i Danfoss, og hvordan de har håndteret de udfordringer, de er stødt på. Thorsten Kranz vil komme ind på den praktiske tilgang og arbejdet med implementeringen af Binding Corporate Rules og tilpasningen til den nye forordning i en global vækstorienteret virksomhed, der har fokus på compliance.  

Frokost

Nye kryptologiske veje

v/ Gert Læssøe Mikkelsen, Head of Security Lab, Alexandra Instituttet

Kryptologi drejer sig ikke længere kun om kryptering og dekryptering af data, men også en omkring mere avancerede kryptografiske værktøjer, som efterhånden er klar til markedet. Dette er både privatlivs­­beskyttende tiltag, som er blevet relevante i forbindelse med den kommende EU forordning, men også tiltag som kan sikre virksomheders forretnings­­kritiske data, men stadig bringe disse data til anvendelse, hvilket er vigtigt i mange big data sammenhænge. Eksempler er værktøjer, som kan give bruger­­autentifikation uden identifikation, avanceret anonymisering af data, beregninger på krypterede data, sikre databaseopslag og mange andre. I dette foredrag vil vi kigge på et udvalg af disse nye kryptografiske værktøjer, med fokus på den funktionalitet og sikkerhed de giver. 

Transit

Exfiltrering af data

v/ Jens Christian Høy Monrad, Senior Intelligence Account Analyst, FireEye

Trusselsbilledet har aldrig været mere dynamisk end det vi oplever i disse år. Angrebsfladen, er i gennem de sidste år, med introduktion af BYOD, Internet of Things, samt en stigende efterspørgelse på mobilitet, blevet kraftigt ekspanderet og dette har introduceret nye metoder, flere og mere organiserede cyber kriminelle. I denne præsentation vil Jens Monrad, gennemgå nogle af de typer af angreb, samt eksempler på exfiltrering af data, som FireEye har observeret gennem deres efterforsknings­opgaver. Jens Monrad vil også gennemgå nogle af de nyeste trends og fortælle om, hvordan virksomheder, myndigheder og private personer, har medvirket til at det IT kriminelle økosystem, aldrig har været større og på global skala nu er en milliard­forretning for cyber kriminelle.

eIDAS – En fælleseuropæisk sikkerhedsinfrastruktur

v/ Peter Lind Damkjær, eID Specialist, eIDAS & Asbjørn Petersen, fuldmægtig, Digitaliseringsstyrelsen

I sommeren 2016 trådte en ny forordning om elektronisk identifikation og elektroniske tillidstjenester i kraft. Forordningen erstatter for 1999-direktivet om elektroniske signaturer. Indlægget fokuserer på de konsekvenser forordningen og de understøttende standarder kan få for danske myndigheder og virksomheder. Hvor langt er vi egentlig fra, at have en fælleseuropæisk infrastruktur til elektronisk identifikation og signering og hvad gør Danmark.

Pause

IT-sikkerhed i det post-faktuelle samfund?

v/ Jess Pilegaard, IT-chef, Udenrigsministeriet

Udenrigsministeriet er ofte udsat for cyberangreb og bruger mange ressourcer på det forebyggende arbejde. Åbenhed, erfaringsudveksling og fælles læring er afgørende for ministeriets cyberforsvar, men åbenheden er ikke uproblematisk, for hvordan sikrer man en kvalificeret, faglig dialog om et emne, som alle taler om, men kun få rigtig forstår?

LIGHTWEIGHT PROTOCOL! SERIOUS EQUIPMENT! CRITICAL IMPLICATIONS!

v/ Lucas Lundgren, Senior Security Consultant, FortConsult

IoT has exploded with a plethora of devices and protocols. Lucas will show you some problems with the popular MQTT protocol. This protocol exposes thousands of devices, everything from ATM, Medical and Vehicle tracking, to Prisons and Pressure sensors. Not only can attacks read the data, they can write to it as well which puts this problem in a different light. 

Afrunding og tak for i år