Opis predavanj

Arms race, Mikko Hyppönen, F-SECURE
The world of computer security keeps changing. To understand and to fight the attacks, we need to understand what’s happening. Mikko Hyppönen will look at the latest big hacking cases and reveal what really went on. What are the threats? Who are behind the attacks? How can they be fought?

Praksa Informacijskega pooblaščenca v času GDPR brez ZVOP-2, Mojca Prelesnik, Informacijski pooblaščenec Republike Slovenije
Datum 25.5.2018 je pomenil prelomnico za vse upravljavce zbirk osebnih podatkov in vse nadzorne organe za varstvo osebnih podatkov v Evropski uniji. Leto in pol že torej vsi neposredno uporabljamo evropsko uredbo o varstvu osebnih podatkov (GDPR). V tem času smo vsi skupaj oblikovali prakso in to brez našega nacionalnega zakona (ZVOP-2). Srečevali smo se s številnimi odprtimi vprašanji, kot npr. kaj je ustrezna pravna podlaga za obdelavo osebnih podatkov, kaj je pogodbena obdelava in kaj ni ter kdo je pogodbeni obdelovalec in kdo ni, kdaj je digitalna hramba podatkov pogodbena obdelava, katere pravice imamo kot posamezniki, kakšno je ustrezno obvestilo o kršitvi varstva osebnih podatkov, kako se lahko seznanimo z lastnimi osebnimi podatki pri upravljavcu, kdo vse mora imeti svoj pravilnik o postopkih in ukrepih za varstvo podatkov in številna druga. Gre torej za vprašanja, ki so ključna za poslovanje upravljavcev zbirk osebnih podatkov in za inšpekcijske postopke Informacijskega pooblaščenca kot državnega nadzornega organa, vpetega v enoten sistem vseh evropskih državnih nadzornih organov.

Pentesting DevOps Environments, Matthias Luft, Salesforce-Heroku
Container, their orchestration platforms, and a variety of other tools from the DevOps ecosystem enable engineers to develop, deploy, and operate applications at great speed and flexibility. In this presentation, I will give a short buzzword-less introduction to the technologies with a security practitioner audience in mind and will then focus on common security issues of those. We will cover container, container orchestration platforms, and network technologies.

Internet stvari (IoT), ki temelji na arhitekturi spletnih vmesnikov pametnega doma ali podjetja, Žiga Podgoršek, Inštitut za korporativne varnostne študije
V predavanju bodo predstavljeni vidiki etičnega hekerja na tehnologijo implementirano v pametnih hišah in podjetjih, ki temelji na IoT napravah. Predavatelj, Žiga Podgoršek, bo uporabil nekaj primerov iz lastnih izkušenj in poskušal prikazati, kako je v praksi implementirana omenjena tehnologija in kjer so njene največje šibkosti ter kako jih regulirati. Spoznali bomo, da se kar nekaj ranljivosti povzroči zgolj z nepravilno implementacijo in z nezadostnim poznavanjem mrežnega segmenta s strani implementacijskih ekip. Prikazane bodo največje napake, ki se v praksi pogosto dogajajo, kako se veliko nepravilno implementiranih naprav prosto pojavlja v spletu, kjer čakajo, da jih zlonamerneži tako ali drugače izkoristijo.

How to Secure OpenShift Environments and What Happens If You Don’t, Jan Harrie, ERNW
OpenShift by Red Hat is one of the major Platform as a Service (PaaS) solutions on the market. It is used to automatically deploy Kubernetes clusters and provides useful extensions for cluster management mixed with some magic under the hood.
Instantiating a Kubernetes cluster is often a crucial step in setting up a modern application stack. But be aware – a lot of configuration parameters are awaiting you. And here several misconfigurations may occur that can lead up to a compromise of the cluster. Privileged containers, tainting of masters and executing workloads on them, missing role-based access controls, and misconfigured Service Accounts are part of the problem.
In this talk, Jan will explain which configuration parameters of an OpenShift environment are critical to ensure the overall security of the deployed Kubernetes clusters. Implications of misconfigurations will be demonstrated during live demos. Finally, recommendations for a secure configuration are provided.

Kaj pa če … imamo svojo informacijsko opremo na varnem?, Andrej Kranjc, Pošta Slovenije d.o.o.
Na predavanju se bomo dotaknili teme, kaj morajo imeti sodobni podatkovni centri, da lahko zagotovijo varno ter brezprekinitveno delovanje.

The story behind of my favorite ATM (Arbitrary Taking Money), Balazs Hambalko, Balasec
Do you want to build (and maybe sell) a branch level ATM? Or are you about to buy one into your office?
Then it is worth to come and check this lecture.
Balazs Hambalko will show you several possibilities how could an arbitrary colleague abuse this ATM controller system, and “hopefully” bypass the log and audit related mechanisms, as well.
Based on a true story.
If you want to see in his video how the ATM abbreviation becomes “Arbitrary Taking Money” without bothering ourselves with such a dirty word like Authentication, then we definitely should meet.

Security compliance and security planning tips related to SWIFT CSCF version 2020, Nebojša Bulatović, Euridica d.o.o.
From July 2020, all SWIFT users will be obligated to carry out an independent assessment when self-attesting. SWIFT Customer Security Controls Framework (CSCF) in version 2020 provides three new advisory controls and two advisory controls are promoted to mandatory. Additional guidance is provided for technical and alternative implementations, including 15 clarification related to previous CSCF version 2019. We will look back on experiences from CSCF compliance and security projects, especially in COBIT framework use in compliance and security planning process and some common implementation mistakes and misunderstandings. Our control and self-assessments plan details are based on COBIT 2019 core model and related practice.

Kdo je kdo – vloge in naloge na področju informacijske varnosti, Matjaž Jekl, Abanka d.d.
Delovanje sistema informacijske varnosti je učinkovito, če se tudi vsi deležniki zavedajo svojih vlog oz. prispevkov. Pristop k obravnavi informacijske varnosti je seveda odvisen od zahtev regulative, kulture organizacije, med drugim tudi od sprejemljivosti tveganj. V prispevku bomo skušali odgovoriti na naslednja vprašanja: Kdo so glavni udeleženci, ki prispevajo k učinkovitemu delovanju sistema informacijske varnosti? Kakšne so njihove vloge? Katere so glavne naloge? Kako se jih lotiti

GDPR is here to stay and what are the next steps?, Nebojša Cvijetić, Ahold Delhaize Group
The author spent last few years in implementing GDPR regulation across the Europe in some of the biggest companies and banks.
He wants to share his experience in implementing GDPR and wants to talk about future of GDPR with special focus on information security.
Also, he wants to share with the audience common pitfalls during implementation and to describe more GDPR as business as usual.
He will analyze information security involvement in all GDPR processes and how DPO and InfoSec person should work together and understand each other needs.
The author wants to explain how to extract gaps from the current and future applications and how to apply information security standards to GDPR compliance.
The questions exist in many implementation: How to mitigate some technical risks with some application controls?
What if implementation of application controls is more expensive than a risk itself?
How to compensate and how to use a common sense?

Revizija neprekinjenega poslovanja, Boštjan Delak, Računsko sodišče Republike Slovenije
V zadnjem času se tudi v Sloveniji pojavljajo težave pri neprekinjenem poslovanju organizacij. Za učinkovito odpornost pred naravnimi nesrečami in pred kibernetskimi grožnjami morajo imeti organizacije vpeljan sistem upravljanja neprekinjenega poslovanja, da lahko na podlagi vnaprej definiranih postopkov nadaljujejo z dostavo izdelkov ali storitev na sprejemljivi in vnaprej določeni ravni, tudi ob nastopu motnje, ki ovira delovanje. V predavanju bo predstavljen pristop k reviziji upravljanja neprekinjenega poslovanja in možna sodila za učinkovito izvedbo dajanja zagotovil.

Nevarnosti, ki jih prinašajo disruptivne tehnologije ter kako se zaščititi pred njimi, Gregor Spagnolo, SSRD d.o.o.
S prihodom novih disruptivnih tehnologij se je površina napada dodatno povečala. S tem so se vpeljala nova tveganja in nove nevarnosti. Tekom predavanja vam bodo predstavljena nova tveganja in nevarnosti, ki jih prinašajo disruptivne tehnologije. Ogledali si bomo nevarnosti in tveganja na primeru bančne aplikacije. Predstavili bomo tudi načine, kako se uspešno zaščititi in braniti v primeru potencialnih napadov.

Cybersecurity – Weakest link or the biggest challenge, Bindu Channaveerappa, IIBA UK London
It is prevalent in the current digital world that information is the primary asset for organisations and the most vulnerable. Studies and researches highlight the fact that Cybersecurity incidents occur due to a lack of awareness, the weakest link and the biggest challenge. The landscape of technology is distributed across the globe increasing the information risk, exponentially and making the ecosystem more vulnerable for cyber-attacks. Who is responsible for this, and what can you do about it?
This lecture will provide delegates with the necessary insights into the Cybersecurity aspects for protecting information assets. It will include an overview of key considerations, a framework that can be used to shape the security approach, backed up with several case studies.
Learning Objectives:
• Recognise the gaps in the current analysis using a real-life incident
• Understanding the key security components
• Enhanced skills to perform in the digital world

Start from threat modeling, Daniel Pellarini, Daniel Pellarini s.p.
When you are looking for the solution to a computer problem, you first look at the symptoms and you work your way back to the root cause. Finding the root cause and implementing a fix that addresses the root cause is a much more efficient way to dealing with systems and software issues than simply addressing the symptom itself with bad patching mechanisms.
This approach does not work equally well when it comes to analyzing and designing secure systems and software: waiting for a compromise to happen, only to then work your way back to the core issue is a recipe for disaster. More generally, approaching security design with a reactive methodology is a flawed approach.
Threat modeling is a fundamental design step in building any computer system, and it helps follow secure development practices which in turn help you anticipate security issues and prevent them, instead of passively reacting to them when (not if) a security incident happens. Prevention always works better than damage control.
Unfortunately, threat modeling is an often-overlooked step, despite the numerous benefits that it can bring to the table, both from a security perspective as well as from a financial perspective: understanding what your security requirements are allows you to focus on a curated list of challenges instead of spreading yourself thin, which in turn allow you to invest your budget where it really matters.

Importance of Unified View for All: IT, Security and Compliance, Emir Arslanagić, QUALYS
Unifying IT, Security and Compliance data in a single-pane-of-glass-view with 2-second visibility across on-premises, endpoints, cloud(s), containers, web apps, API, mobile and OT/IoT environments it is fundamental need of any business interested in secure and uninterrupted growth and long prosperity.
People who achieved visibility Across Enterprise reports following side effects:
• Knowing what’s on your global hybrid-IT environment
• Providing a single source of truth for all your teams
• Better decision making using enriched data
• Improving your security and compliance posture
• Getting that promotion, they always wanted

PSD2 – Opening Banking, James Bore, Dzing Finance
A brief look at the impact, technical challenges and security implications of PSD2 on banks and financial services. Focusing on the SCA and open banking requirements.

»Nič ne dela!! Kaj pa zdaj?« – o odzivih na incidente z vidika upravljanja neprekinjenega poslovanja, Anton Lah, NKBM d.d.
Upravljanje odzivov na incidente je povezano z različnimi vidiki upravljanja tveganj, tesno tudi s funkcijo upravljanja neprekinjenega poslovanja (BCM). Učinkovita odzivna struktura in postopki odziva na incidente predstavljajo predpogoj za učinkovito zagotavljanje neprekinjenega poslovanja, zato naj funkcija BCM temu namenja posebno pozornost. Predavanje bo podalo možne odgovore na vprašanja, ki se ob tem porajajo, kot npr. kako določiti prijavno točko za incidente, kako ob incidentu čim hitreje obveščati relevantne deležnike, kako razvrščati in eskalirati incidente, kdo naj sprejema odločitve v času incidenta, kako je z obveščanjem in poročanjem v času reševanja incidenta, kakšna je povezava z načrti neprekinjenega poslovanja in podobna druga.

Preiskovanje kartičnih zlorab, Boris Jereb in David Gracer, Generalna policijska uprava
Policija je v zadnjih letih preiskovala večje število namestitev skimming naprav na bančne avtomate na območju celotne Slovenije, pretežno pa na območju Ljubljane. Kazenski zakonik opredeljuje tovrstno kaznivo dejanje kot uporabo ponarejenega negotovinskega plačilnega sredstva. Storilci z nameščanjem skimming naprav na bankomate ali POS terminale pridobivajo magnetne zapise kartic in PIN kode. Pri preiskavah tovrstnih kaznivih dejanj Policija ugotavlja, da v Sloveniji delujejo posamezniki, ki so del organiziranih kriminalnih združb. V največji meri gre za storilce tujih držav, ki v Sloveniji na bančne avtomate namestijo skimming naprave. Naprave odkrijejo občani, varnostne službe ali Policija. Slovenska Policija daje velik poudarek analiziranju tovrstnih zaseženih predmetov, zato jih v sklopu kriminalistične preiskave podrobno forenzično preišče. Večkrat se je namreč že pokazalo, da so podatki, ki se nahajajo na napravah lahko ključ do uspešno zaključene preiskave.

SOC in SRC, Simon Simčič, SRC d.o.o.
Vzpostavitev SOC znotraj srednje velikega podjetja – ali kako učinkovito nasloviti grožnje
Katere so temeljne naloge našega SOC-a (Secutiry Operation Center)? Na kakšen način izpolnjujemo te naloge? Vzpostavitev SOC je namreč pomenila le osnovo za izvajanje nalog operativne informacijske varnosti. Hitro ugotovimo, da je obseg zagotavljanja informacijske varnosti pokrivanje različnih področij in ne samo operativno spremljanje varnostnih dogodkov in incidentov.
Govorili bomo tudi o tem, kako pomembno je, da pri opredelitvi spremljanja incidentov določimo, kaj je tisto kar ščitimo, da lahko določimo, kaj nas ogroža. Kakšen je pravilni pristop k izvajanju aktivnosti, kjer ustrezno spremljamo dogajanje znotraj našega informacijskega okolja?

Napredna in stroškovno optimalna zaščita informacij z uporabo oblačnih rešitev ter implementacija celovitega sistema za zaščito informacij v organizaciji za MSP, Klemen Sajovic, iTehlab d.o.o.
GDPR nujno nepotrebno zlo? Na predavanju boste spoznali, da GDPR ni nepotrebno zlo. Če se temeljito zagotovi skladnost z GDPR uredbo (zagotovi tudi varnost obdelave elektronskih nosilcev), se bo v dobri meri poskrbelo tudi za vaše bolj pomembne zaupne informacije. Predavatelj vam bo pomagal oceniti stroške v primeru uhajanja informacij ali v primerih, če do vaših zaupnih podatkov pride konkurenca oz. jih izgubite.
Predstavljeni bodo najbolj pogosti primeri iz prakse, ko za varnost informacij ni poskrbljeno.
Ali lahko zagotovimo informacijsko varnost in varnost obdelave (GDPR) samo z implementacijo tehničnih rešitev? Spoznali boste, da to ni mogoče in da so za to potrebni pravni, tehnični in organizacijski ukrepi. Tudi za skladnost z GDPR uredbo.
Dobili boste pregled nad pomembnimi informacijsko varnostnimi kontrolami in dejanskimi ukrepi, ki bodo vaše dragocene informacije zavarovali.
Ali je oblak varen? Veliko MSP organizacij ima (vsaj deloma) svoje dragocene informacije v oblaku. Spoznali boste, da je oblak varen, kot si ga varnega naredite sami. Oblačne rešitve so najbolj varne in stroškovno učinkovite rešitve za MSP, vendar samo v primeru, da so implementirane na varen način (upoštevajoč informacijsko varnostne kontrole in zahteve GDPR). Predstavljena bodo napredna in stroškovno učinkovita varnostna oblačna orodja za zaščito informacij MSP organizacij na najbolj razširjeni oblačni platformi za poslovanje.
Informacijski življenjski krog? Vsako rojstvo je ključno. Tako je tudi z rojstvom informacij. Udeleženci boste spoznali, da je povezava svetov informacijske varnosti, varstva osebnih podatkov, sistemske in aplikativne integracije ključna pri zagotavljanju neprekinjene informacijske varnosti in skladnosti (GDPR, GxP, ipd.) skozi celotni informacijski življenjski krog (načrtovanje IS, implementacija IS, vzdrževanje in upravljanje IS, posodobitev/nadgradnja IS).

Upravljanje z varnostnimi incidenti informacijske varnosti v Novi KBM, Boris Vardjan, NKBM d.d.
Boris Vardjan (NKBM – CISO) bo predstavil upravljanje z varnostnimi dogodki v eni izmed večjih slovenskih bank. Predstavljeni bodo nekateri pogostejši obravnavani varnostni dogodki.

Real-time traffic visualization and network modeling with Zeek, Nicholas Skelsey, Secure Network
Popular network mapping tools, like nmap, provide woefully inadequate interfaces to understanding networks. Presenting textual information on a command line or on a web page is common, but it is not the only way to visualize and control networks.
This talk will introduce the IDS and analysis tool Zeek and present Nick’s work on visualization and mapping of IP networks using OpenGL and D3. Nick will present an open-source real-time graphical tool and a packet analyzer that generates suitable maps fit for print and discuss its implications related to their work at a new Security Operations Center.

Najpogostejši primeri kršitev varstva osebnih podatkov v malih in srednjih podjetjih, Benjamin Lesjak, DATAINFO.SI d.o.o.
Kot pooblaščene osebe za varstvo podatkov v malih in srednjih podjetjih se pogosto srečujemo z varnostnimi incidenti. Najpogostejši vzrok je človeški faktor. Človeški viri na področju zagotavljanja informacijske varnosti so pogosto omejeni. Na področju varstva osebnih podatkov kot pooblaščena oseba izvajamo aktivnosti, s katerimi krepimo zavedanje in znanje zaposlenih na področju informacijske varnosti in zavarovanja ter varovanja osebnih podatkov. Predstavili bomo najpogostejše primere varnostnih incidentov, pri katerih so bili potencialno ogroženi osebni podatki in primere, v katerih je podjetje uradno obvestilo informacijskega pooblaščenca o kršitvi varstva osebnih podatkov (samoprijava v 72 urah).

Napolnite si svoj Inbox 🙂

SEZNANITE SE Z VSEM, KAR PALSIT PONUJA.

Darilo: ob prijavi dobite dostop do 5 najbolje ocenjenih video vsebin z naših dogodkov.