1 uke 1 uke

6-8 september ble jeg med Oslo kommunes bedriftidrettslag på fjelltur. Vi var i underkant av 40 stykk fra ulike bydeler og etater. Vi tok bussen opp 11 på fredag, fremme ca 17, og gikk inn ca. 7 km til Glitterheim turisthytte. Lørdag startet vi 0830, rett etter frokost. Glitterheim ligger på 1386 moh, og første stopp var Glittertinden på 2142 moh, ca 750 meter stigning. Vi gikk raskt opp, og så omtrent ingen ting i tåka på toppen. Det var heldigvis vindstille.

Løypen vi gikk, omtrentlig tegnet inn.
Løypen vi gikk, omtrentlig tegnet inn.

Fire av oss gikk videre, sammen med to turgåere utenom vår gruppe. Vi gikk et stykke ned og snublet litt, men holdt oss unna de bratte skrentene ned mot vannet. Glitterrundhøe lå på 2089 moh. Derifra gikk det ganske bratt ned før vi kunne starte på stigningen til Ryggjehøe på 2142 moh. Det var mye sten og vanskelig å forutsi hvor langt vi kom til å tråkke igjennom, og hva som ventet der nede, men ingen nevneverdige skader på noen av oss. Det klarnet opp, og det var ganske god utsikt på toppen av Ryggjehøe. Derifra gikk det greit nedover, da i sporene til andre som hadde gått opp denne veien samme dag. Vi var fremme ved Glitterheim nøyaktig 18.00.

  • På Glitterrundhøe På Glitterrundhøe
  • Mot Glittertinden (fra Ryggjehøe) Mot Glittertinden (fra Ryggjehøe)
  • På toppen av Ryggjehøe På toppen av Ryggjehøe

    På vei ned og opp Ryggjehøe
    På vei ned og opp Ryggjehøe





    Ned fra Ryggjehøe, mot hytten
    Ned fra Ryggjehøe, mot hytten

      Søndag morgen våknet vi til klar himmel, og det ble en liten gåtur før vi busset tilbake til Oslo 11.00.
      Bilder

      Søndag morgen
      Søndag morgen




        2 uker 2 uker

        Mandag 26. til og med onsdag 28.08 var det ISF sikkerhetsfestival i Lillehammer. Det var et omfattende program med både foredrag og sosialt. Her er en rask oppdatering av det jeg fant mest interessant:


        Mandagen - Fellesøkter på Scandic Hotel
        Olav Lysne jobber nå med å lage et rammeverk for å kartlegge de komplekse digitale verdikjedene.

        Bjørn Erik Thon fra Datatilsynet hadde en humoristisk sammenlikning med en av sine første rapporter på personopplysningsvern for snart 10 år siden. Han brakte frem begrepet "eksorbitant", og trakk frem bekymringer rundt misbruk av personopplysninger i valgkamper, samt økende bruk av maskinbaserte algoritmer for å ta avgjørelser. Thon anbefalte boken The Black Box Society: The Secret Algorithms That Control Money and Information og rapporten Det store datakappløpet.

        Lance Spitzner snakket om å håndtere den menneskelige risikoen. For å oppnå sikkerhetseffekt må man søke de tiltak som man klarer å motivere for og som er enkle nok til at de lar seg gjennomføre. Ofte er det lettere å gjøre noe med å forenkle sikkerhetskravene slik at de blir gjennomførbare. Han la også mye vekt på at sikkerhetsteam må alliere seg med kommunikasjonsavdelingen. Både fordi de kan kommunikasjon, men også fordi eksperter ofte har en tendens til å ta [for] mye for gitt.

        Gary McGraw snakket om sikkerhet i programvare. Han snakket om BSIMM, et initiativ for å måle hva ulike selskap faktisk gjør knyttet til sikker programvareutvikling. Han mente man både må ha verktøy for å automatisere code review samt utføre pentesting, men at code review bør være førsteprioritet. Han delte inn sårbarheter i programvare i to kategorier "bugs" og "designflaws" og anbefalte Avoiding the top 10 software security design flaws. I tillegg anbefalte han boken Security Engineering: A Guide to Building Dependable Distributed Systems.

        Per Thorsheim snakket om ID-tyveri. Begreper som "mobilkapring" - ta over en annens telefonabonnement, samt et horribelt eksempel på en tjeneste hos en teleleverandør som tilbyr å sende kopi av SMS til valgfritt telefonnummer eller e-post, satt opp direkte fra "min side". Ille med tanke på at mange bruker SMS for 2-faktor autentisering (pålogging). Man kan ikke stole på at en SMS i dag faktisk kommer fra det nummeret som står oppgitt på telefonen.

        Til slutt pratet Kjetil Nilsen om det nye sentret NCSC, tidligere NorCERT, og den nye samarbeidsarenaen de nå etablerer på havnelagret i Oslo.


        Tirsdagen og onsdagen - mange spor i sentrum av Lillehammer. Her er de jeg satt mest igjen fra.
        Jeg startet med "Strategier og utfordringer ved flytting til skyen" av Monica Verma. Hun snakket om å finne kraftstenene sine, med referanse til Iron Man. Kraftstenene (fokuspunktene) mente hun burde være: 1) sky er et fellesansvar man må ta sammen med skyleverandør, 2) ha en strategi for privilegerte tilganger, 3) overvåk og mål, 4) hendelseshåndtering (majoriteten av hendelser skyldes feil kunden har gjort og ikke skyleverandøren - oppsett med andre ord samt applikasjonsspesifikt) og 5) automatiser mest mulig.

        Neste ut var "Tre ting du bør vite om informasjonssikkerhet i helsesektoren – og tre ting du kanskje ikke visste fra før?" av Jan Gunnar Broch. Han introduserte begrepet "balansert RoS" (risiko og sårbarhetsvurdering) som en balanse mellom tekniske risikovurderinger (sårbarheter og integrasjoner) og det han kaller funksjonelle risikovurderinger (opplæring, kost..).

        Sopra Steria hadde så et innlegg "Implementering av sikkerhetsovervåking. – Hvordan lykkes?". Jørgen Rørvik la vekt på 1) kjenn din egen IT og dine integrasjoner. 2) Fokuser på Active Directory (brukerkatalog og kilde for tilganger). Sjekk AD-trusts og sørg for at driftspersonell må bruke multifaktorautentisering (MFA) for privilegert tilgang. Hvor lang tid vil din organisasjon trenge på å gjenopprette AD? Ha en plan for hvilke systemer som skal prioriteres gjenopprettet ved en hendelse.

        Audun Jøsang (UiO) pratet om "Digital trusseletterretning", først teoretisk om ulike nivåer av trusselforståelse: fra tekniske indikatorer (IP-adresser, hash av skadevare, domener), via taktisk forståelse (verktøy og metoder), via operasjonell forståelse (kampanjer) til strategisk forståelse (mål og hvem som står bak). Presisjonen er størst på lavest teknisk nivå og tilpasningsevnen er lavest/tregest på toppen/strategisk - De som står bak endrer ikke mål ofte, og kan ikke endre hvem de er. Audun snakket også et forskningsprosjekt han nå søker om midler til.

        Jørgen Botnan hadde så en spennende presentasjon kalt "Digital (inn)brytningstid - Erfaringer fra penetrasjonstesting land og strand rundt". Erfaringer fra de fysiske sidene ved inntrengningforsøk i virksomheter. Kopiering av adgangskort, tukling med videoovervåkingsutstyr, utkledning som heismontør for å nevne noe.

        Ivar Andre Fenstad pratet så om "Hvordan møte innsidetrusselen". Han delte innsidere inn i tre kategorier. De som medfører uønskede hendelser ubevisst. De som bevisst gjør ugang alene og de som er "rekrutterte" (organiserte). NSM har en veileder Sikkerhet ved ansettelsesforhold og en podcast NSM Podcast 50 - Innsidetrusselen. Bakgrunnsjekk/klarering påstås å ha liten reel effekt. Stusset noe over dette da det er et grovt filter som trolig reduserer omfanget, uten at vi egentlig vet hvor mye. Det er viktig å bygge en sunn kultur med et godt arbeidsmiljø, forebygge tegn på ensomhet og depresjon, ha muligheter for å varsle. Ivar viste til slutt klippet It's OK to Say som oppfordrer til å være mistenkelig og observant på andres oppførsel.

        Det var en interessant paneldebatt (refleksjonsamtale) arrangert av Datatilsynet kalt "Muligheter og utfordringer med kunstig intelligens". Algoritmer kan være optimalisert for treffsikkerhet eller forklarbarhet. I et personvernperspektiv legger Thon vekt på forklarbarheten, da knyttet til avgjørelser som skal skje automatisk. Algoritmer brukt for å optimalisere/tilpasse seg individet (youtube-anbefalinger og nyheter vist på facebook wall som eksempel) kan være selvforsterkende ved at de viser bruker mer av det samme og ofte med økende ekstremitet. Skaper situasjoner der man i mindre grad blir utsatt for alternative syn. Det ble også dratt frem at dagens algoritmer er avhengig av gode treningsdata/eksempler å lære fra. Vi har flere eksempler på algoritmer som har blitt "rasistiske" eller på annen måte legger vekt på egenskaper som vi mennesker naturlig ser er irrelevante.

        Torstein Gimnes Are fortalte om cyberangrepet mot Hydro. Et meget spennende foredrag. Han la særlig vekt på at en slik hendelse er en virksomhetskrise, ikke en IT-krise. Det var stor interesse og masse spørsmål i etterkant. Imponerende hvor åpen han/Hydroledelsen er om hendelsen og forløpet.

        Stein Ove Røv snakket om "Social Engineering i det 21. århundret, teknikker og psykologien bak". Han anbefalte noen bøker som kan være interessante:

        Vegard Kjerstad snakket om å lede et Incident Response Team. De brukte ELK (programvare for logging og overvåking) da med X-pack og bruk av dens innebygde anomalideteksjon/maskinlæring for å støtte oppdagelse av unormale hendelser. The prince, 48 Laws of Power, Rationality and Power: Democracy in Practice og han nevnte eksperimentet five monkeys.

        Fikk også anbefalt boken The Phoenix Project - A Novel about IT DevOps and Helping Your Business Win og Personvern og GDPR i praksis.

        1 måned 1 måned

        Etter begravelsen til farfar og helgen i dyreparken tok jeg en tur til Tyskland. Tyskland er kjent for sin badstukultur med "aufguss" der de heller på vann, ofte tilsatt eteriske oljer, samt vifter varm luft rundt med håndklær. Reiste onsdag 7. august med fly til München, og dro tilbake fredag 16. august, da fra Berlin da det var gode tilbud fra Norwegian disse datoene. Reisen fra München gikk via Stuttgart og Karlsruhe, da med tog før jeg kom til Berlin.

        • Therme Erding Therme Erding
        • München München
        • München München
        • München - Leser første Witcher-boken München - Leser første Witcher-boken
        • München München
        • Schwaben Quellen Schwaben Quellen
        • Stuttgart Stuttgart
        • Mineralbad Cannstatt Mineralbad Cannstatt

          På byferie liker jeg godt å gå i parker, og det er stort sett alltid store fine parker å gå langs i de store byene. Ellers besøkte jeg følgende bad:

          • Therme Erding var absolutt det største, og ganske kommersielt. I tillegg til sauna-området hadde de en stor vannskliepark. Utenfor dampbadet var det mulig å hente salt for skrubbing av hud selv, noe som var ganske smart. Ofte må man møte opp til faste tider hvor slik blir delt ut. Det var også et stort basseng med bølger.
          • Phönix-bad Ottobrunn var vesentlig mindre - et lokalt bad, men var litt mer koselig. Det var også et ordentlig 25m basseng for svømming, noe jeg ikke så på Therme Erding.
          • Mineralbad Cannstatt Først lurte jeg på om jeg hadde kommet til et gamlehjem. Alle utenom meg virket å være 70+, men det var trolig grunnet at jeg kom ganske tidlig på dagen, rundt kl. 14. Dette badet hadde som navnet tilsier vann med høyt mineralinnhold. i 1.eg var det store bad der man kunne svømme i vann med høyt kullsyreinnhold. Ganske spesielt, og det svidde litt i øynene etter å ha dukket under og svømt under vann. Oppe var det vanlige badstuer og et soltak. Alt i alt et rolig og koselig sted. De lånte ikke ut håndklær her, så her måtte jeg kjøpe et badstuhåndkle å sitte på.
          • Schwaben Quellen Var det mest forseggjorte badstustedet på turen etter min mening. Veldig mange badstuer, et mineralvann litt inne hvor man kunne svømme ut, store boblebad, stort avslappingsrom og mye program.
          • Therme Vierordtbad ligger sentralt i Karlsruhe og har som Phönix-bad et mer lokalt preg. Ekstremt varme aufgusser.
          • Europabad Karlsruhe er noe større, og har en stor vannpark i tillegg til saunaområdet. Jeg likte særlig godt excalibur og og druiden-områdene. Begge i middelalderstil.

          Av naturlige årsaker tar man ikke bilder inne i anleggene, men det er stort sett bilder på websidene til stedene som viser hvordan det ser ut og hvilke badstuer de har.

          • Stuttgart Stuttgart
          • Middag på hotellet i Stuttgart Middag på hotellet i Stuttgart
          • Handlet litt i Karlsruhe Handlet litt i Karlsruhe
          • Karlsruhe Karlsruhe
          • Karlsruhe Karlsruhe
          • Karlsruhe - Arbeider utenfor hotellet - mye støy om morgenen Karlsruhe - Arbeider utenfor hotellet - mye støy om morgenen
          • Karlsruhe - Dyrepark midt i byen Karlsruhe - Dyrepark midt i byen
          • HBF i Berlin HBF i Berlin

            Hotellene jeg bodde på:

            • Leonardo Hotel & Residenz München. Helt greit hotell, god frokost og fikk sjekke inn tidlig.
            • Parkhotel Stuttgart Messe-Airport. Høy standard, god frokost, lite område med treningsapparater.
            • Centro Hotel Blankenburg. Litt lavere standard, byggearbeider utenfor, men god beliggenhet. Luktet litt fra gulvtepper i gangene, frokosten var håpløs og treningsområdet var slitent.
            • Centrovital SPA & Sports. Nydelig hotell. God frokost. Enormt treningsanlegg med moderne utstyr og et stort badstuområde på størrelse med dedikerte senter. Dette inkludert i overnattingen. De hadde til og med et kulderom med is. Det ser man ikke ofte. Schwaben Quellen hadde et tilsvarende. Som å gå inn i et fryselager.

            • Brandenburger Tor Brandenburger Tor
            • Berlin Berlin
            • Berlin Berlin
            • Berlin - gjennom en park Berlin - gjennom en park
            • Informasjonsbrosjyren på en tablet på Centrovital SPA & Sports Informasjonsbrosjyren på en tablet på Centrovital SPA & Sports
            • Middag på Centrovital SPA & Sports Middag på Centrovital SPA & Sports
            • Hotellet i Berlin Hotellet i Berlin
            • Det ble en del billetter til kollektivt på turen Det ble en del billetter til kollektivt på turen

              Google maps tar vare på hvor du har reist, dersom du ikke slår dette eksplisitt av. Ganske kjekt i ettertid for å se hvor man har gått.

              • U7 igjennom Berlin fra hotellet til flyplassen. Hele veien. U7 igjennom Berlin fra hotellet til flyplassen. Hele veien.
              • München München
              • Stuttgart Stuttgart
              • Berlin Berlin

                1 måned 1 måned

                To dager i dyreparken, lørdag til søndag (3. til 4. oktober) med Gøran og Katrine og barna. Vi så Kaptein Sabeltann og fikk være med på sjørøvertokt i skuta hans. Vi så dyrene i Hakkebakkeskogen fra et tog som gikk rundt mens dyrene spilte og sang. Vi var i Kardemommeby og så Tobias i tårnet, tante Sofie, trikkeføreren og politimester Sebastian. På Ku-toppen danset kuene for å lage milkshake. Det ble også noen turer i berg- og dalbaner og masse is :D

                • Her gav de fra seg smokkene sist gang. Mon tro hvor de er nå? Her gav de fra seg smokkene sist gang. Mon tro hvor de er nå?
                • Når man pepperkaker baker.. Når man pepperkaker baker..
                • Her kan man ta ferge til Danmark Her kan man ta ferge til Danmark
                • Selveste Kaptein Sabeltann Selveste Kaptein Sabeltann