2 uker 2 uker

Mandag 26. til og med onsdag 28.08 var det ISF sikkerhetsfestival i Lillehammer. Det var et omfattende program med både foredrag og sosialt. Her er en rask oppdatering av det jeg fant mest interessant:


Mandagen - Fellesøkter på Scandic Hotel
Olav Lysne jobber nå med å lage et rammeverk for å kartlegge de komplekse digitale verdikjedene.

Bjørn Erik Thon fra Datatilsynet hadde en humoristisk sammenlikning med en av sine første rapporter på personopplysningsvern for snart 10 år siden. Han brakte frem begrepet "eksorbitant", og trakk frem bekymringer rundt misbruk av personopplysninger i valgkamper, samt økende bruk av maskinbaserte algoritmer for å ta avgjørelser. Thon anbefalte boken The Black Box Society: The Secret Algorithms That Control Money and Information og rapporten Det store datakappløpet.

Lance Spitzner snakket om å håndtere den menneskelige risikoen. For å oppnå sikkerhetseffekt må man søke de tiltak som man klarer å motivere for og som er enkle nok til at de lar seg gjennomføre. Ofte er det lettere å gjøre noe med å forenkle sikkerhetskravene slik at de blir gjennomførbare. Han la også mye vekt på at sikkerhetsteam må alliere seg med kommunikasjonsavdelingen. Både fordi de kan kommunikasjon, men også fordi eksperter ofte har en tendens til å ta [for] mye for gitt.

Gary McGraw snakket om sikkerhet i programvare. Han snakket om BSIMM, et initiativ for å måle hva ulike selskap faktisk gjør knyttet til sikker programvareutvikling. Han mente man både må ha verktøy for å automatisere code review samt utføre pentesting, men at code review bør være førsteprioritet. Han delte inn sårbarheter i programvare i to kategorier "bugs" og "designflaws" og anbefalte Avoiding the top 10 software security design flaws. I tillegg anbefalte han boken Security Engineering: A Guide to Building Dependable Distributed Systems.

Per Thorsheim snakket om ID-tyveri. Begreper som "mobilkapring" - ta over en annens telefonabonnement, samt et horribelt eksempel på en tjeneste hos en teleleverandør som tilbyr å sende kopi av SMS til valgfritt telefonnummer eller e-post, satt opp direkte fra "min side". Ille med tanke på at mange bruker SMS for 2-faktor autentisering (pålogging). Man kan ikke stole på at en SMS i dag faktisk kommer fra det nummeret som står oppgitt på telefonen.

Til slutt pratet Kjetil Nilsen om det nye sentret NCSC, tidligere NorCERT, og den nye samarbeidsarenaen de nå etablerer på havnelagret i Oslo.


Tirsdagen og onsdagen - mange spor i sentrum av Lillehammer. Her er de jeg satt mest igjen fra.
Jeg startet med "Strategier og utfordringer ved flytting til skyen" av Monica Verma. Hun snakket om å finne kraftstenene sine, med referanse til Iron Man. Kraftstenene (fokuspunktene) mente hun burde være: 1) sky er et fellesansvar man må ta sammen med skyleverandør, 2) ha en strategi for privilegerte tilganger, 3) overvåk og mål, 4) hendelseshåndtering (majoriteten av hendelser skyldes feil kunden har gjort og ikke skyleverandøren - oppsett med andre ord samt applikasjonsspesifikt) og 5) automatiser mest mulig.

Neste ut var "Tre ting du bør vite om informasjonssikkerhet i helsesektoren – og tre ting du kanskje ikke visste fra før?" av Jan Gunnar Broch. Han introduserte begrepet "balansert RoS" (risiko og sårbarhetsvurdering) som en balanse mellom tekniske risikovurderinger (sårbarheter og integrasjoner) og det han kaller funksjonelle risikovurderinger (opplæring, kost..).

Sopra Steria hadde så et innlegg "Implementering av sikkerhetsovervåking. – Hvordan lykkes?". Jørgen Rørvik la vekt på 1) kjenn din egen IT og dine integrasjoner. 2) Fokuser på Active Directory (brukerkatalog og kilde for tilganger). Sjekk AD-trusts og sørg for at driftspersonell må bruke multifaktorautentisering (MFA) for privilegert tilgang. Hvor lang tid vil din organisasjon trenge på å gjenopprette AD? Ha en plan for hvilke systemer som skal prioriteres gjenopprettet ved en hendelse.

Audun Jøsang (UiO) pratet om "Digital trusseletterretning", først teoretisk om ulike nivåer av trusselforståelse: fra tekniske indikatorer (IP-adresser, hash av skadevare, domener), via taktisk forståelse (verktøy og metoder), via operasjonell forståelse (kampanjer) til strategisk forståelse (mål og hvem som står bak). Presisjonen er størst på lavest teknisk nivå og tilpasningsevnen er lavest/tregest på toppen/strategisk - De som står bak endrer ikke mål ofte, og kan ikke endre hvem de er. Audun snakket også et forskningsprosjekt han nå søker om midler til.

Jørgen Botnan hadde så en spennende presentasjon kalt "Digital (inn)brytningstid - Erfaringer fra penetrasjonstesting land og strand rundt". Erfaringer fra de fysiske sidene ved inntrengningforsøk i virksomheter. Kopiering av adgangskort, tukling med videoovervåkingsutstyr, utkledning som heismontør for å nevne noe.

Ivar Andre Fenstad pratet så om "Hvordan møte innsidetrusselen". Han delte innsidere inn i tre kategorier. De som medfører uønskede hendelser ubevisst. De som bevisst gjør ugang alene og de som er "rekrutterte" (organiserte). NSM har en veileder Sikkerhet ved ansettelsesforhold og en podcast NSM Podcast 50 - Innsidetrusselen. Bakgrunnsjekk/klarering påstås å ha liten reel effekt. Stusset noe over dette da det er et grovt filter som trolig reduserer omfanget, uten at vi egentlig vet hvor mye. Det er viktig å bygge en sunn kultur med et godt arbeidsmiljø, forebygge tegn på ensomhet og depresjon, ha muligheter for å varsle. Ivar viste til slutt klippet It's OK to Say som oppfordrer til å være mistenkelig og observant på andres oppførsel.

Det var en interessant paneldebatt (refleksjonsamtale) arrangert av Datatilsynet kalt "Muligheter og utfordringer med kunstig intelligens". Algoritmer kan være optimalisert for treffsikkerhet eller forklarbarhet. I et personvernperspektiv legger Thon vekt på forklarbarheten, da knyttet til avgjørelser som skal skje automatisk. Algoritmer brukt for å optimalisere/tilpasse seg individet (youtube-anbefalinger og nyheter vist på facebook wall som eksempel) kan være selvforsterkende ved at de viser bruker mer av det samme og ofte med økende ekstremitet. Skaper situasjoner der man i mindre grad blir utsatt for alternative syn. Det ble også dratt frem at dagens algoritmer er avhengig av gode treningsdata/eksempler å lære fra. Vi har flere eksempler på algoritmer som har blitt "rasistiske" eller på annen måte legger vekt på egenskaper som vi mennesker naturlig ser er irrelevante.

Torstein Gimnes Are fortalte om cyberangrepet mot Hydro. Et meget spennende foredrag. Han la særlig vekt på at en slik hendelse er en virksomhetskrise, ikke en IT-krise. Det var stor interesse og masse spørsmål i etterkant. Imponerende hvor åpen han/Hydroledelsen er om hendelsen og forløpet.

Stein Ove Røv snakket om "Social Engineering i det 21. århundret, teknikker og psykologien bak". Han anbefalte noen bøker som kan være interessante:

Vegard Kjerstad snakket om å lede et Incident Response Team. De brukte ELK (programvare for logging og overvåking) da med X-pack og bruk av dens innebygde anomalideteksjon/maskinlæring for å støtte oppdagelse av unormale hendelser. The prince, 48 Laws of Power, Rationality and Power: Democracy in Practice og han nevnte eksperimentet five monkeys.

Fikk også anbefalt boken The Phoenix Project - A Novel about IT DevOps and Helping Your Business Win og Personvern og GDPR i praksis.