Ali lahko SOC poskrbi tudi za varstvo osebnih podatkov?

Že na prejšnjih konferencah smo govorili o varnostno operativnih centrih. Ravno tako smo govorili o varovanju osebnih podatkov. Čeprav se morda zdi, da so te teme že izpete, konec koncev o varnostno operativnih centrih govorimo od leta 2015, o Splošni uredbi od leta 2016 (aprila je minila četrta obletnica od objave GDPR), pa vidimo, da organizacije še vedno ne naslavljajo kibernetskih varnostnih tveganj na primeren način, ravno tako pa ne zagotavljajo skladnosti na področju varovanja osebnih podatkov v celoti. Letošnje predavanje je logično nadaljevanje naših prejšnjih, kjer združujemo oba pogleda. Skupaj bomo razmislili, ali imata temi stične točke in ali jih lahko naslovimo z enim konceptom oziroma storitvijo. Ključne prednosti naj bi bile v združevanju virov in znanj. Težko najdemo organizacijo, ki ima učinkovito in uspešno naslovljeni obe zahtevi, hkrati pa se vse organizacije borimo s pomanjkanjem tako tehničnih kot človeških virov. Če združimo zahteve, procese in orodja, dosežemo bolj optimalno izkoriščanje virov in se rešimo podvajanja določenih funkcij. Praktično vse organizacije, ne glede na velikost, lahko veliko pridobijo s tako rešitvijo, saj vse organizacije, ki so izpostavljene proti kibernetskemu prostoru, morajo razmisliti, kako se ustrezno zaščititi.
Če pa že vzpostavimo Varnostno operativne centre, v katerih obdelujemo veliko količino osebnih podatkov, obstaja veliko tveganje kršitve zasebnosti na delovnem mestu in zasebnosti komunikacije. Če pravilno naslovimo ta vprašanja, lahko z malo truda z istimi procesi, orodji in strukturo zagotovimo druge vidike zakonske skladnosti na področju varovanja osebnih podatkov.

Cisco Talos - Comprehensive Security Information Engine

In 2018, a sophisticated threat actor took control of the DNS records for entire countries and top level domains. The attacker succeeded in redirecting a nation state’s ministry of foreign affairs domain records to point to systems under the malicious control. In this presentation learn how Cisco Talos spotted the attack within their telemetry and discovered the expanse of the attacker’s campaign, and how Talos’ expertise can protect your networks.

Cybersecurity Simplified: Security is Nothing Without Control, BestSafe against Cryptovirus

Darktrace - Umetna inteligenca vrača udarec

Zanašamo se na umetno inteligenco (UI), da opravi svoje delo na poti do varnega kibernetskega vsakdana. Je prav tako? Ali še potrebujemo VOC/SOC, če UI svoje delo opravlja učinkovito, hitro in temeljito? Predstavili vam bomo najučinkovitejši "UI organizem" za kibernetsko varnost.

Digital assets and post-mortem privacy – theory, law and technology

Grieving parents of a dead teenager in Germany were denied access to their daughter’s Facebook account, but the German Federal Court of Justice ruled in favour of the parents in July 2018. Similar cases have recently happened in the UK, where Instagram refused to grant access to Molly Russell’s parents, following her unfortunate suicide, or where a court ordered Apple to provide widow access to her late husband's Apple account. There have been many similar cases around the world, but the laws once again have not been able to respond adequately to the issues caused by technology and social media.
In her research, Dr Edina Harbinja argues that the same autonomy and freedom to dispose of one’s physical wealth should extend online and enable individuals to decide what happens to their online “wealth” (mainly their personal data) when they die. One of the most significant vehicles that would enable this control is post-mortem privacy. In short, this refers to the right of a person to preserve and control what becomes of his or her reputation, dignity, integrity, secrets or memory after death.
In her talk, Dr Harbinja will explore post-mortem privacy from a philosophical, legal and technological angle. She will discuss the most recent case law, statutes, and offer ideas for ways forward in legislating the area around the world.

DPIA, obveznost ali priložnost?

Ocena učinka v zvezi z varstvom podatkov (DPIA) je ena od ključnih sestavin novega temeljnega načela Splošne uredbe o varstvu podatkov, načela odgovornosti, ki zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev osebnih podatkov. DPIA se v praksi še vedno obravnava kot zakonsko obveznost, ki jo je treba izpolniti, kadar bomo izvajali določeno vrsto obdelave osebnih podatkov, manj pa kot priložnost, da z oceno tveganj, ki je njen sestavni del, identificiramo in že v fazi načrtovanja in izvedbe rešitev za obdelavo določimo zaščitne in varnostne ukrepe, s katerimi bomo zagotovili zakonsko skladno in varno obdelavo podatkov.

GDPR / ZVOP-2 - Kaj kršimo praktično vsi in kakšna so tveganja?

Dve leti po uveljavitvi uredbe GDPR in ob prihajajočem ZVOP-2 se vse bolj odpira vprašanje, ali je popolna skladnost z vsemi zahtevami sploh mogoča oziroma realno izvedljiva.  Predavanje bo ponudilo vpogled v tiste zahteve, ki jim upravljavci najtežje oziroma pogosto sploh ne zadostimo, ter poizkusilo poiskati odgovore na to, kako zahteve, kršitve in tveganja vrednotiti v svetu, v katerem ogromne korporacije vse bolj očitno kršijo osnovne temelje zakonite obdelave tajnih in osebnih podatkov.  

Gostja presenečenja

Hackers: United with COVID-19 we stand

In March and April a lot of companies in the EU were forced to quickly come up with solutions for work from home for large number of employees.
This opened new attack vectors were those employees now working from home became primary targets for attackers.
Since the beginning of the pandemics INFIGO IS worked on a dozen of incidents that affected medium and large size companies in the region.
This presentation will go through results of incident responses performed by INFIGO. We will take a look at some of the common and not so common tactics, techniques and procedures used by real-world attackers that were identified in attacks against companies in the region.

Hibridna varnost – od uporabniške tablice do industrijskega robota

Informacijska varnost klasičnih IT okolij se v svojem bistvu ne razlikuje od informacijske varnosti industrijskih, energetskih, zdravstvenih in ostalih ne-IT okolij. V praksi pa je »hudič v podrobnostih«. Še posebej, če se ta okolja prepletajo. Zelo dobro moramo poznati posebnosti ter razlike, če želimo kibernetska tveganja ustrezno nasloviti in zaščititi poslovanje.
V predavanju si bomo ogledali glavne poudarke vzpostavitve nadzora informacijske varnosti v t.i. hibridnih okoljih ter kako jo zagotoviti na tehnično in stroškovno učinkovit način. Pojasnili bomo prednosti vpeljave centraliziranega nadzornega sistema ter konkretna orodja, s katerimi lahko v IT- in OT- okoljih zagotovimo poln vpogled v varnost.

Hijacking an Insulin Pump: From Discovery to Disclosure

Background
Hacking medical devices and cybersecurity in public health is the subject of recent discussions. The Federal Office for Information Security (BSI) aims to improve transparent communication regarding cybersecurity risks of networked medical devices. To this end, the BSI initiated the project ManiMed – Manipulation of Medical Devices to facilitate a trustful communication and cooperation between manufacturers, security researchers, and authorities. This study targets the current cybersecurity state of smart and connected medical devices and illustrates what kind of questions the medical device industry is facing by making their devices smart. This article focuses on security vulnerabilities identified in the DANA Diabecare RS insulin pump to illustrate what kind of questions the medical device industry faces by making their devices smart. The exemplifying vulnerabilities affected the pump's proprietary, Bluetooth Low Energy (BLE)-based communication and affected patient safety.

Methods
The assessment of medical devices is highly specialized and individual in terms of the device's medical use case, present interfaces, used technologies and assumptions to its environment. The device was assessed following a black-box approach. The proprietary communication protocol built on top of Bluetooth Low Energy (BLE) was reverse-engineered using the manufacturer's Android and iOS applications and captures of the communication between the pump and its mobile apps using elementary BLE prototyping hardware. In the scope of the assessment were applied cryptography, Man-in-the-Middle attacks, eavesdropping of the communication, as well as the authentication and pairing process. A coordinated vulnerability disclosure process (CVD) was initiated to keep the smart medical device on the market while ensuring that it no longer poses a threat to patient safety. The disclosure deadline was set with the constraint that measures must not harm the therapeutic purpose of the medical device. The Federal Institute for Drugs and Medical Devices (BfArM), as the national authority for vigilance in Germany, was notified and involved.

Results
During the security assessment, client-side controls, weak generation of encryption keys, improper verification of the pump's identity, missing replay protection, the insecure transmission of cryptographic keys, and an overall weak authentication mechanism were identified. By hijacking the pump, an attacker can administer insulin boluses remotely, causing severe patient harm. The coordinated vulnerability disclosure (CVD) process was extended and lasted several months until a patch was rolled out to patients with a new pump firmware and major mobile application upgrades. The manufacturer released security advisories in the forms of a Field Safety Notice (FSN). A Medical Advisory (ICSMA) as well as CVEs were published by the Cybersecurity and Infrastructure Security Agency (CISA).

Conclusion
This example demonstrates that mature processes for handling cybersecurity vulnerabilities with safety impact on active medical devices are not yet common among all medical device manufacturers, even though recognized procedures based on pervasive community knowledge are in place.

How to create a balance between security and user experience?

The way we work has changed a lot recently: cybersecurity attacks are getting more frequent, remote working is becoming the new normal, while employees are expected to increase their productivity. Our expert will present solutions which help you to maintain robust security without harming the user experience. He will demonstrate how can you protect corporate data even if it is allowed to be accessed from non-managed, private devices, and also present a few quick wins which can be easily implemented to provide a stable baseline security for any organization.

Inovativne varnostne prakse v sodobni in zanesljivi banki

Med cilje v sodobni in zanesljivi banki se uvrščata konstantna krepitev kibernetske odpornosti in proaktivno sodelovanje z zunanjimi deležniki. Posledično sodobna in zanesljiva banka poudarja razvoj inovativnih varnostnih praks, vključujoč ljudi, procese in tehnologije. S takšnimi inovativnimi varnostnimi praksami se obvladujejo kibernetska tveganja in izboljšuje kibernetska odpornost v širšem ekosistemu banke.

Izkušnje pri kršitvah varstva osebnih podatkov

GDPR je že tako dolgo z nami, da se je nabralo že veliko izkušenj pri obvladovanju varnostnih incidentov. V praksi opažamo, da so mnogi upravljavci skupaj z obdelovalci v resni stiski, ko se pri njih pojavi varnostni incident, ki je povezan s kršitvijo varstva osebnih podatkov. Običajno se začne že z vprašanjem ali sploh gre za kršitev varstva osebnih podatkov in ali je treba o incidentu poročati nadzornemu organu. Po sprejetih osnovnih odločitvah pa se proces obravnave kršitve šele začne. Kaj naj poročamo? Ali je treba poročati še kateremu drugemu organu po drugih predpisih? Je treba obvestiti policijo? Posameznike? Kako to naredimo najbolj učinkovito in uspešno? Posledice in tveganja za posameznike je treba določiti že po predpisih. Kaj pa posledice in tveganja za upravljavca? Strategija pristopa k obvladovanju posledic kršitve? Množica vprašanj, ki zahtevajo odgovore v zelo kratkem času, je v praksi lahko preveč tudi za najbolje pripravljene organizacije. Ali obstaja univerzalen recept?

Izkušnje pri nadzoru informacijske varnosti

Če smo bili do sedaj navajeni, da se je nadzor Informacijskega pooblaščenca osredotočal predvsem na vprašanje zakonitosti obdelave, torej (ne)obstoja pravnih podlag za zbiranje, hrambo in obdelavo osebnih podatkov, zanemarljivo malo pa je bilo spuščanja v "tehnikalije", se utegne to v post-GDPR časih korenito spremeniti. Tako je vsaj mogoče - v odsotnosti ZVOP-2 in posledično neizrekanja glob po Splošni uredbi - sklepati na podlagi primerov nadzora in izrečenih kazni v drugih državah članicah EGP: od testnih baz podatkov, na katere se je po testiranju pozabilo; preko podvojenih podatkov za on-line dostop do lastnih podatkov ali podvojenih računov za dostop do podatkov pacientov v bolnišnici, pa do javne objave osebnih podatkov, ki temu niso bili namenjeni.
V predavanju bomo na podlagi analize tujih primerov pogledali, na kaj morajo biti podjetja na področju informacijske varnosti najbolj pozorna in kje lahko po sprejemu ZVOP-2 pričakujejo največ "radovednosti" s strani Informacijskega pooblaščenca.
Predavanje je namenjeno:
- vodjem IT, DPOjem, direktorjem IT podjetij, zadolženim za informacijsko varnost

Je programska oprema v medicinskih pripomočkih dovolj varna?

Razvoj v medicini se vedno bolj usmerja k preventivni oskrbi, kar pomeni, da postajajo programska oprema in zapleteni algoritmi v medicinskih pripomočkih osnova za zbiranje in analizo zdravstvenih podatkov. Odpirajo se nove priložnosti za daljinsko spremljanje pacientov, nosljive naprave, napredno diagnostiko ter uporabo pametnih telefonov, ki uporabnikom omogočajo dostop do visokokakovostnih medicinskih tehnologij, do katerih lahko dostopajo izven zdravstvenih ustanov. Vendar pa moramo biti ob tem prepričani, da je uporaba takih medicinskih pripomočkov varna in ustrezno zaščitena.

Kaj je pokazal RDS v Korona času?

Pandemija. Čas, ko je večina podjetij omogočila delo od doma. Ampak, se je delo od doma res pravilno izvajalo?
RDP je kritičen protokol, poln lukenj in potrebuje veliko pozornosti pri implementaciji. Načeloma opažamo, da se podjetja tega zavedajo, vendar še vedno obstajajo slabe implementacije, ki brezglavo odprejo svoja vrata tako, da omogočijo vdore v lastna omrežja. Iz izkušenj, ki jih je Elvis Guštin pridobil v tem času, vam lahko pove, da je videl kar nekaj osnovnošolskih napak »hitrih reakcij«. Te napake želi deliti s slušatelji, prediskutirati in osvestiti tiste, ki jih še niso popravili.
Na predavanju si bomo ogledali najpogostejše napake pri postavitvi odprtih RDS povezav in njihovo možnost odprave ali omilitve. Običajno so to napake, na katere administratorji ne pomislijo zaradi hitre implementacije, vendar nam lahko povzročijo veliko nevšečnosti v podjetju. RDS je sistem, preko katerega je mogoče dostopati do ključnih gradnikov našega poslovanja, hkrati pa je varnostno nedodelan. Moramo ga zaščititi!
Predavanje je primerno za vse, ki se upravljate z RDS postavitvami. Za predavanje ni potrebno detajlno poznavanje protokola.

Kako se lotiti izgradnje pametne hiše?

Jan gradi hišo in ker je želel zgraditi pameten dom, je šel skozi postopek testiranja in eksperimentiranja z različnimi IoT napravami, ki komunicirajo po različnih brezžičnih protokolih. Pozornost je posvetil tudi izbiri strojne in odprtokodne programske opreme za avtomatizacijo doma. Poleg procesa povezovanja se pojavljajo tudi pomisleki glede zasebnosti in čas je, da se o teh vprašanjih ustrezno pogovorimo.

Kibernetska varnost 2021 – človek ali stroj I?

Sodobna informacijska okolja so tako zelo hitro spreminjajoča, da je učinkovito obvladovanje tveganj izredno težavno, skorajda nemogoče. Na konferenci Infosek bo premierno v Sloveniji predstavljen nov pristop, ki obeta pravo revolucijo na področju kontinuiranega preverjanja kibernetske varnosti.

Kibernetska varnost 2021 – človek ali stroj II?

Kot nadaljevanje Carbonsec-ove predstavitve v uvodnem delu, bodo podrobneje predstavljene razlike med človeško in strojno izvjanim testiranjem kibernetske varnosti. Izvedeli boste, ali je umetna inteligenca tudi na tem področju že dovolj dozorela za relevantno avtomatizirano testiranje, ki lahko poda še boljše rezultate kot človek.

Kibernetska varnost v sistemih kritične infrastrukture – kako jo zagotoviti in udejanjiti?

Kritična infrastruktura zajema fizične in kibernetske strateške vire, ki so tako bistveni, da bi njihovo izpostavljanje odpovedim ogrozilo delovanje države in življenje ljudi. Kritično infrastrukturo v čedalje večji meri upravljamo z informacijsko tehnologijo, zaradi česar skušajo napadalci usmerjati vektorje vdorov in groženj na takšen način, da lahko prek programske in strojne opreme, komunikacijskih protokolov ter integracij IT-OT vplivajo na delovanje fizičnih naprav. Kibernetska varnost tako postaja osrednji element sistemov kritične infrastrukture, saj je ključnega pomena omejiti, nadzorovati in upravljati kibernetska tveganja. V prispevku opredelimo dejavnike varovanja kritične infrastrukture, pri čemer se še posebej osredotočimo na potrebe energetskega sektorja. Predstavimo procesne, metodološke in tehnološke vidike ter vanje umestimo tudi vlogo varnostnega operativnega centra.

Koronizacija

Koronizacija je besedna skovanka, ki pomeni selitev dela iz pisarn v naše domače okolje, kot posledica koronavirusa. Vsaj tako jo razumemo mi. V predavanju bomo ponovili, kako se je podjetjem povečala površina napada. Spoznali se bomo z ukrepi, s katerimi zmanjšujemo novo nastala tveganja. Kot piko na i pa bomo predstavili sistem preglednih plošč in alarmov, ki omogočajo pregled nad varnostjo delovnih postaj in uporabnikov, ki delo opravljajo iz domačih koronij.

Malware Beyond 2020

Prediction is speculation, lets talk about facts. It was not far away that we saw use of encrypted communication in malware, we saw use of artificial intelligence to outsmart the protection and spread on large scale, we still see that today. From malware developer point of view, this technical lecture will guide the audience trough today facts and deliver a view in the window of malware beyond 2020. I will be revealing new techniques in use, tactic movements and completely new type of malware just to make the window view clear beyond 2020.
As cyber security researcher, my goal is to share enough of my knowledge to alert the users and prepare them for what is coming.

Next generation Managed Security Service Provider (MSSP)

V predavanju bo predstavljeno, kako lahko izkoristimo vaša obstoječa varnostna orodja za obdelavo podatkov, orkestracijo in avtomatizacijo, z namenom doseganja učinkovite zaznave in odziva na varnostni incident.

Obdelave osebnih podatkov v času Korone

V času življenja s Covid-19 je in bo prihajalo do različnih idej (ne)dopustnih obdelav osebnih podatkov - se okuženim sme slediti z aplikacijami, kakšne so ustrezne obdelave osebnih podatkov pri šolanju na daljavo, sme delodajalec spremljati delavčevo delo na domu z IT-programom, kdaj je zaposlenim ali poslovnim strankam dopustno meriti telesno temperaturo ob vstopu v prostor, se zdravstveni osebni podatki lahko posredujejo policiji, so z interventnimi zakoni nastajale nove zbirke osebnih podatkov, ... so le nekatera vprašanja, ki lahko pomenijo hude posege v zasebnost. Ob prav vsaki predvideni obdelavi osebnih podatkov pa se je najprej potrebno vprašati, ali je ta sploh zakonita in sorazmerna.

Odziv na varnostni incident. Kaj se skriva pod tem imenom? Primeri dobre prakse, izkušnje in še kaj

Veliko se govori o različnih storitvah SOC oziroma VOC. V našem predavanju izpostavljamo storitev “odziv na varnostni incident”. Predavanje bo prikazalo vsebino te storitve, izkušnje, primere dobrih in slabih praks ter vloga SOC v odzivu na varnostni incident.

Operativni center kibernetske varnosti po meri vsakega podjetja

V predstavitvenem predavanju smo omenili, da v Operativnem centru kibernetske varnosti Telekoma Slovenije pravočasno prepoznavamo in odpravljamo kibernetske napade. Z željo po razvoju najsodobnejšega SOC-a smo šli skozi tri evolucijske faze in v treh letih delovanja implementirali kognitivno generacijo kibernetske varnosti, ki združuje: Security Monitoring, Security Events Detection, Deep Analysis & Investigation in Alert & Incident Response.
Naša kognitivna kibernetska varnost uporablja tehnologije, ki poskušajo predvideti napadalčeve miselne procese in odkrivajo grožnje ter ščitijo informacijske sisteme.
Tako kot druge aplikacije za kognitivno računalništvo tudi varnostni sistemi za učenje uporabljajo podatkovno rudarjenje, prepoznavanje vzorcev in obdelavo podatkov, da predvidijo možne vektorje napadov. Takšni avtomatizirani varnostni sistemi so zasnovani za reševanje težav na način, da bi olajšali delo analitikov in inženirjev kibernetske varnosti.
S pomočjo napredne analitike omogočamo sistemom nenehno pridobivanje podatkov in znanja. Z nenehnim izpopolnjevanjem metod in procesov se sistemi naučijo predvidevati grožnje in ustvarjati proaktivne rešitve. Sposobnost obdelave in analize ogromne količine strukturiranih in nestrukturiranih podatkov pomeni, da lahko kognitivni varnostni sistemi prepoznajo povezave med podatkovnimi točkami in trendi, ki jih človek ne bi mogel zaznati.
Na letošnjem INFOSEK-u bomo s praktičnim prikazom pokazali zaznavo kompleksnega kibernetskega napada in pravočasno zaščito informacijskega sistema.

Phishing!? Kaj pa zdaj?

Največ poskusov vdorov v informacijske sisteme se zgodi preko elektronske pošte, zato moramo na ta vektor napada biti še posebej pozorni.
Kaj storiti in kako ravnati ob prejemu phishing sporočila, nam bosta na praktičnih primerih predstavila in prikazala Boris Vardjan in Tadej Trep iz Nove KBM d.d.

Preventivni ukrepi v zvezi z napadom »ransomware«

Proaktivna zaščita uporabnikov v pisarni in pri delu od doma na primeru dobre prakse Splošne bolnišnice Celje

V predavanju se bo Damjan Rajh osredotočil na izzive, s katerimi so se in se še vedno soočajo organizacije pri vzpostavitvi varnosti v pisarni, tako pri komunikaciji proti internetu kot tudi pri zaščiti komunikacije v lokalnem omrežju. Drugi vidik, ki ga bo osvetlil, pa je zaščita uporabnikov pri delu od doma – vidik, ki je trenutno zelo pomemben, ko govorimo o varnosti. Poleg zaščite dostopa je obenem potrebno zagotoviti tudi skladnost. Teorijo bo podkrepil s primerom dobre prakse Splošne bolnišnice Celje, kjer so poskrbeli za zaščito informacijskega sistema v pisarni (z ločevanjem požarnih pregrad in zaščitili komunikacijo S/J in V/Z) ter vzpostavili varen oddaljen dostop z različnimi nivoji dostopa in dvofaktorsko avtentikacijo (2FA).

Risk analysis - where is the trap?

Cybersecurity is no longer an IT problem to solve. Today, it’s a top priority for most business leaders, while customers expect companies to keep their information secure, and regulatory mandates increasingly add pressure to tighten controls. And with a massive shortage or cybersecurity talent, organizations need everyone to take responsibility for cybersecurity. We must think and act securely, bake security into designs, and become responsible stewards of risk, ensuring that cybersecurity solutions are value-driven benefits to business partners and customers. In this session, the presenter who is the co-author of the IIBA Cybersecurity Business Analysis Certification and exam writer will take you on a journey on risk analysis that will expand your horizon into security risk analysis – where is the trap?

Secure your PL/SQL database code

Pete will explore the common security issues that afflict most PL/SQL Oracle database code. This will be by demonstration of some of the common attacks such as SQL Injection, code abuse, resource and privilege abuse and also Pete will focus on how to detect bad PL/SQL database code and what to do to develop a policy or standards and also how to fix the issues.

Sedanjost in prihodnost samo-upravljanih in decentraliziranih digitalnih identitet ter preverljivih poverilnic

Dejstvo, da je internet zasnovan brez varnostnega in identitetnega sloja, je večini IT strokovnjakov danes že trivialno, širši populaciji pa nepomembno, oziroma za določene tudi zaželeno, saj je ravno anonimnost na internetu tista, ki je velikokrat smatrana kot pozitivna. Kljub temu smatramo to kot pomanjkljivost takrat, ko bi s klikom želeli urediti kakšno birokratsko zadevo in nam pri tem federativen način upravljanja digitalnih identitet ne pomaga ter smo prisiljeni posegati po, ne ravno uporabniško prijaznih, kvalificiranih digitalnih potrdilih. V nasprotju s temi pristopi določni znanstveniki in strokovnjaki že nekaj let snujejo in razvijajo inovativne načine upravljanja digitalnih identitet, ki bi temeljili na konceptu decentralizacije oz. samoupravljanja (ang. self-sovereign identity - SSI). Cij samoupravljalnega pristopa je v tem, da se uporabniku preda nadzor in upravljanje z lastno identiteto, kakor tudi z njegovimi preverljivimi poverilnicami (ang. verifiable credentials - VC). Skupaj si bomo pogledali stanje na tem področju, analizirali možnosti uporabe ter predstavili, kako se področje prepleta s trenutno regulacijo (npr. eIDAS) in projekti, kot so EBSI, ESSIF, itn.

Smart Cities for Smart Society: Why Do We Need 5G for Tech Revolution

Sprejemanje (strateško) pomembnih odločitev s pomočjo korporativne obveščevalne dejavnosti

V sodobnem poslovnem okolju je (tudi zaradi trenutne gospodarske situacije) težko sprejemati dobre poslovne odločitve le na osnovi lahko dostopnih javnih podatkov, kot so bonitetne ocene, bilance stanja in drugih (spletnih) medijev, ki se vsakodnevno uporabljajo v poslovnem svetu. Nepogrešljive postajajo informacije, ki so sicer javno dostopne, zahtevajo pa visoko izobražen oziroma usposobljen kader, ki jih zna pridobiti in tudi interpretirati na način, da v poslovnem okolju postanejo uporabne.
Govorili bomo o detektivski dejavnosti, korporativni obveščevalni dejavnosti, OSINT in drugih orodjih, ki se jih lahko uporabi, da ste korak pred vašo konkurenco.

Spreminjajoče se varnostno okolje in izzivi varstva podatkov, tudi osebnih

V zadnjih letih se svet spreminja z veliko hitrostjo, ki je naši predniki niso zaznali v več desetletjih ali stoletjih. Vrstijo se spremembe v globalnem svetu in lokalno. Premiki mej in prenosi podatkov (tudi zanimivosti prepovedi HUAWEI tehnologij) v Združenih državah Amerike in Veliki Britaniji zaradi potencialnega ali realnega vohunjenja in zbiranja podatkov s strani vse bolj močne Kitajske, nas ne morejo pustiti ravnodušne. Evropa in s tem Evropska unija se bo morala odločiti, na kakšen način bo varovala svoje informacije, čeprav je z GDPR-om zasledovala varstvo osebnih podatkov, to še zdaleč ne bo dovolj.

State of Least Privilege Container Footprinting

There are many publications on the security of container runtimes and their isolation capabilities, many of which cover capabilities by the executed containers. In this talk, I will describe existing approaches to footprint containers to determine the capabilities they actually require to successfully run. The resulting insights can be used to integrate tooling into your CI systems to determine required capabilities during building and testing and then restricting containers during runtime to that exact set.

The importance of context in Infosec detection and response

The constant changes in IT environments require organizations to rethink and strengthen fundamental Cyber security capabilities in terms of visibility, effectiveness in detection, and context for given device to enable a comprehensive response.
In this session we’ll show how Qualys collects and combines multi-vector context to prioritize remediation of the most vulnerable surface, wherever it is.

Unprotect Project: The Malware Evasion Techniques Database

Malware evasion techniques or (Defense Evasion) are used to go undetected and make their analysis difficult during the infection process and at the time of the attack. There is a wide spectrum of techniques that allow malware to bypass existing security. Nowadays evasion mechanisms are very common and almost all malware in the wild use one of these mechanisms. There is a real need to bring a classification matrix to help the community understand how it works and how they can be detected. The Unprotect project is an open-source project that aims to provide a comprehensive classification of evasion techniques.
In this talk, we'll go over recent evasion mechanisms and show how the Unprotect database can be used to bolster your security.

Uporaba fuzzinga za odkrivanje ranljivosti

Fuzzing in njegova vloga pri odkrivanju novih varnostnih ranljivosti. Pregled osnovnih konceptov in tem, kot so generiranje in mutiranje korpusa, s pokritostjo vodeno testiranje ter fuzzing s poznavanjem strukture vhodnih podatkov. Demonstrirane bodo tehnike fuzzinga na testnih programih, sprehodili pa se bomo tudi skozi praktičen primer odkrivanja novih varnostnih ranljivosti v pravih tarčah.

Varnost in zasebnost v IT rešitvah

Varnost in zasebnost skozi vidik uporabnika in poslovne vrednosti
Digitalizacija poslovnih procesov je bila desetletja omejena zgolj na zamenjavo načina zapisa in obdelavo podatkov, nadgradnjo medijev za shranjevanje, pohitritev mehanizmov za prenos in obdelavo. Pri tem se je velikokrat pozabilo na možnosti optimizacije procesov in enostavnost uporabe. V tem tisočletju sta se ti dve »kvaliteti« pomaknili v ospredje. S hitrim tempom prehoda iz namiznih rešitev v hibridne, ki vključujejo obdelavo preko svetovnega spleta, se je problem varnosti in zasebnosti pomaknil v ospredje.
Šele zadnja leta se vodilni v organizacijah zavedajo, da varnost in zasebnost nista le še en tehnološki problem, ampak je potreben celosten pristop tako za zaščito lastnega IT ekosistema kot tudi za razvoj in vzdrževanje IT rešitev za trg.
V tem predavanju bo predstavljena zgodba transformacije kulture, adopcije standardov in zagotavljanja skladnosti z regulativo, kar je omogočilo, da sta informacijska varnost in varnost rešitev za e-zdravje privzeto varna. Vse to pa brez tega, da bi zanemarili uporabnost in poslovno vrednost.

Varnost v LoRaWAN omrežjih

LoRaWAN, ena mlajših tehnologij Interneta stvari, ima komaj 5 let. Protokol, ki je namenjen komunikaciji med cenenimi in dolgoživimi senzorskimi napravami (5 in več let avtonomije) na velike razdalje (3+ kilometrov v urbanem okolju in več deset na podeželju) je že v začetku bil zasnovan okrog zanesljivih varnostnih algoritmov. Po kratki predstavitvi sestavnih delov infrastrukture si bomo ogledali praktične primere uporabe in varnostna tveganja.

Varnost(ni) hec

Le kdo ne pozna komika Gašperja Berganta, ki se na odru velikokrat prav neusmiljeno loti svojih žrtev. Tokrat se bo spravil na informatiko, informatike in dogodke, povezane z informacijsko varnostjo posameznikov in podjetij. Ugotovil bo, da varnost ni hec. Skupaj bomo skušali odgovoriti in najti rešitve za informacijsko-varnostne izzive, s katerimi se bo srečal.

Varnostna ranljivost v programski opremi Mercedes Benz

Primož Cigoj, raziskovalec na inštitutu Jožefa Stefana, je odkril ranljivost v programski opremi mercedesa, ki bi lahko napadalcu omogočila dostop do osebnih podatkov lastnika avtomobila in spreminjanje nekaterih nastavitev, tudi voznih lastnosti avtomobila. Ni jasno, koliko vozil je bilo prizadetih in ali so vsem kupcem namestili varnostno posodobitev, saj proizvajalec tega ne razkriva.
Več si lahko preberete tukaj: https://www.ostro.si/si/zgodbe/slovenski-raziskovalec-odkril-moznost-vdora-v-mercedesov-avtomobilski-racunalnik
Podrobnosti pa bodo premierno predstavljene na INFOSEK konferenci.

Veliki: koliko jim lahko zaupamo?

Vertiv Solutions For Fast Digitalization

Vloga in pomen APIjev ter zagotavljanje njihove varnosti v API ekonomiji

API-ji oz. programski vmesniki postajajo temelj sodobne digitalne ekonomije. V prispevku bomo pregledali vlogo in pomen API-jev, razložili, kaj je potrebno upoštevati pri načrtovanju in razvoju API-jev, ki bodo namenjeni B2B integracijam. Posvetili se bomo vlogi upravljanja z API-ji. Posebno pozornost pa bomo namenili zagotalvjanju varnosti. Poleg danes standardnih mehanizmov, kot sta OAuth2 in OpenID Connect, bomo pogledali tudi določene profile, kot npr. UMA. Ob koncu pa bomo pogledali tudi v nove trende in tehnologije razvoja API-jev.

Vzpostavitev sodobne arhitekture za varnostno analitiko

Obseg kibernetskih napadov se še naprej povečuje, povprečno podjetje ima več kot 130 varnostnih kršitev vsako leto. Velike družbe in čedalje več srednje velikih družb se pri varovanju pred kibernetskimi napdi naslanja na SIEM sisteme za upravljanje in spremljanje dnevnikov. Sistemi za zbiranje in spremljanje dnevnikov vsako sekundo obdelajo milijone novih zapisov. Razvoj tehnologij umetne inteligence in velikih podatkov je omogočil pridobivanje kvalitetnih vpogledov v kibernetske dogodke iz dnevniških podatkov. Čedalje večje količine podatkov zato zahtevajo vzpostavitev sodobne arhitekture za varnostno analitiko, ki temelji na naprednih tehnologijah, kot je razvoj sistemov za obdelave velikih količin podatkov, vzpostavitev učinkovitega sistema za odziv in spremljanje kibernetskih incidentov, varnostni analitiki podatkov, obrambi pred napadi in lovu na kibernetske grožnje, ki temeljijo na umetni inteligenci.

Vodje IT in varnostni inženirji podjetij se danes srečujejo z naslednjimi izzivi:
• Prepoznavanje varnostnih tveganj ni jasno;
• Omejeni človeški viri na področju kibernetske analize;
• Upravljanje velike množice različnih orodij in starejših sistemov/aplikacij;
• Razkorak med kulturo varovanja in potrebami poslovnih procesov.

Če želijo obdržati korak s časom, vodje IT in varnostni inženirji podjetij potrebujejo pomoč pri izgradnji svojih notranjih zmogljivosti in kompetenc odkrivanja in odzivanja na kibernetska tveganja na temeljih naprednih tehnologij.

You've just been hacked! Now what?

It's a time when assuming your systems and applications are "unhackable" is one of the biggest mistakes you could do. While most people still think that prevention and maintenance remain a top priority in protecting yourself, building a clear process around how you will respond to attacks and data breaches during and after their occurrence is something often overlooked, or simply ignored.
The past few years have brought along new vulnerabilities, exploits, and attack methods, as well as new data privacy requirements such as the GDPR. While all of these things require significant changes to any existing processes and tools, they mostly require a different approach when catering to people's IT security awareness.
Do you know how exposed you are when you're connecting to the hotel/restaurant/airport WiFi? Are you aware how fast clicking on a link can become a nightmare? Come down for a quick overview and live demos of some of the current cyber threats, especially as they pertain to social engineering vectors.
This session intends to bring the assume breach security posture into the spotlight. We'll be discussing recent trends in cybersecurity attacks (credential reuse, password spraying, insider attacks, 2FA-bypass, etc.) and look at the best ways to build your data breach incident response policy. Demos included.

COVID – priložnost za hitre spremembe

Digitalizacija v analognem okolju

OKROGLA MIZA: Kako lahko CIO in ponudniki IT storitev še izboljšajo sodelovanje?

• Katere poslovne procese je potrebno “outsoursati", katere zadržati v hiši?
• Kako preveriti ustreznost ponudnika IT storitev (certifikati, standardi, izkušnje…)?
• Kakšne so pozitivne izkušnje oz. dobri primeri iz prakse, kakšne so negativne izkušnje z zunanjimi ponudniki?
• Kako lahko CIO zmanjša stroške v IT oddelku in hkrati uspešno zaključi razvojne projekte?
• Kako digitalizacija vpliva na zahteve po zunanjih izvajalcih IT storitev?
• Biometrija, brezkontaktno poslovanje, delo od doma in drugi aktualni izzivi za CIO?

Udeleženci okrogle mize: 

Adam Flis, CIO, Engrotuš d.o.o.
Boštjan Ključevšek, CIO, Agencija RS za kmetijske trge in razvoj podeželja
Rok Grdina, CIO, Luka Koper d.d.
Grega Merela, CIO, Nektar natura d.o.o.
Tadej Nared, predsednik uprave Fundacije SICEH
Marko Milotič, direktor družbe UNISTAR LC d.o.o.
Rajko Novak, direktor podjetja SMART COM d.o.o.
Matjaž Kosem, direktor podjetja CARBONSEC d.o.o.
Matjaž Beričič, član uprave TELEKOM SLOVENIJE d.d.
Marko Praprotnik, direktor storitev SMARTIS d.o.o.
Klemen Štular, tehnični direktor NIL d.o.o.  
Grega Mestek, direktor izvedbe, S&T Slovenija d.d.

OKROGLA MIZA: Kako reševati trenutne izzive pri vodenju informatike?

• Kako pomagati pri okrevanju organizacije po COVID-19 pandemiji?
• Digitalizacija - kako ugotoviti, kje smo in kako pripraviti plan digitalizacije?
• Kako se pripraviti na nove oblike dela od doma?
• Kako ob zmanjšanju stroškov v IT oddelkih peljati uspešno nove projekte?
• Kako lahko CIO prispeva k zmanjšanju novih informacijsko-varnostnih tveganj?
• Kateri so drugi aktualni izzivi za CIO?

Udeleženci okrogle mize: 

Matej Detič, CIO, AMZS d.d.
Danilo Pungertnik, CIO, IBE d.d.
Tadej Glavič, CIO, INTRA LIGHTING d.o.o.
Alenka Klemenčič, CIO, MERCATOR d.d.
Martin Gornjec, CIO, BSH HIŠNI APARATI d.o.o.
Pavel Snoj, CIO, DELO d.o.o.
Tone Kavčič, CIO, ISKRATEL d.o.o.
Sašo Savič, CIO, TELEKOM SLOVENIJE d.d.
Mitja Masten, CIO, POZAVAROVALNICA TRIGLAV RE, d.d.
Gordan Sket, CIO, AKRAPOVIČ d.d.

Strategic Cost Optimization

5 korakov do miselne naravnanosti zmagovalcev

Digitalni coaching (priložnost v času Koronavirusa)

Finančna pismenost pomeni varnost poslovanja podjetja

Kako lahko vodja uporablja coaching za motiviranje sodelavcev

Kako s pravim (miselnim) pristopom zmanjšati fizične bolečine in konflikte ter hkrati povečati storilnost na delovnem mestu

Kako z minimalnim vložkom začeti posel?

Ključ za motivacijo ekipe znotraj podjetja

Moč opolnomočenja ženske energije v poslovnem svetu

Premaknite se naprej - vaš čas je omejen

Samozavest serijsko

Skrb za sodelavce = skrb za stranke

Upravljanje stresa na delovnem mestu

You can’t be a great leader if you’re not a great coach

Zakaj svoj hobi ali svojo poslovno idejo spremeniti v svoj posel?