Opis predavanj

Hack the World with OSINT, Chris Kubecka, HypaSec

Come on a journey of discovery through IT/IOT/ICS SCADA systems, databases, solar panels, smart homes, washing machines and the vulnerable, interconnected world. Open source intelligence gathering (OSINT) is an important part of the reconnaissance phase of a penetration test. The more connected we are, the more information about people and assets are held by seemingly everything. This information can be juicy for both penetration testers and malicious threat actors. Learning what sources of information is available to start an engagement is a crucial step in completing a thorough but effective exploration. Risks associated with leveraging, misusing or selling discovered material are all too real. Protect your organisation or find out if your home burglar alarm is directly connected to the internet with takeaways using Censys.io and other tools.

Varnost aplikacij – pozabljeni člen, Andrej Rakar, SIQ Ljubljana

Aplikacije so zadnji člen v verigi dostopa do informacij, ki lahko direktno vplivajo na zaupnost, razpoložljivost in celovitost le-teh. Prav napake v kodiranju so osnovni in najpogostejši vir varnostnih groženj in pomanjkljivosti. Principe varnega programiranja je zato potrebno upoštevati že v razvojni fazi, za pridobitev ocene dejanskega stanja varnosti, pa je potrebno neodvisno preverjanje. Le celovit varnostni pregled, ki poleg pregleda arhitekture, gradnikov in delovanja aplikacije, tipično vključuje tudi vdorno testiranje in pregled izvorne kode, lahko nedvoumno potrdi ali so varnostne kontrole v aplikaciji ustrezne.
Na predavanju boste spoznali uveljavljene prakse dobrega programiranja ter kako poteka celoten postopek preverjanja po mednarodno uveljavljeni metodologiji. Postopki bodo ilustrirani na praktičnih primerih najpogostejših aplikativnih napadov in zlorab.

Detajli štejejo, Primož Bratanič, Računalniški portal Slo-Tech in Žiga Humar, Our Space Appliances d.o.o.

Pri vpeljavah rešitev SIEM se srečujemo z vprašanjem katere vire zajeti. Za celostno spremljanje varnostnih parametrov in zaznavo groženj ter incidentov so potencialno relevantni prav vsi viri. Ko zajamemo podatke smo pred novim izzivom – kako iz množice zbranih podatkov izluščiti največ in katere metode uporabiti, da zmanjšamo količino zaznanih lažno-pozitivnih incidentov. V predavanju se bomo osredotočili na detajle, na katere radi pozabljamo in predstavili kako se soočiti z izzivi zaznavanja varnostnih incidentov.

Kdaj je pred uvedbo nove tehnologije nujna presoja vplivov na varstvo osebnih podatkov? Mojca Prelesnik, Informacijski pooblaščenec Republike Slovenije 

Ocene učinkov v zvezi z varstvom osebnih podatkov so učinkovito orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri razvoju in aplikaciji določenega projekta, sistema ali uporabi tehnologije. V praksi so zato zelo koristne pri preprečevanju kršitev varstva osebnih podatkov. Če so narejene pravočasno in kvaliteno, zagotavljajo ohranitev ugleda in zaupanja posameznikov, strank in javnosti tako v podjetija, kot v javne organe. Z njimi se upravljavci zbirk osebnih podatkov in razvijalci najrazličnejših aplikacij lahko učinkovito izognejo negativnemu javnemu mnenju in medijskemu poročanju, nenazadnje pa tudi inšpekcijskim postopkom Informacijskega pooblaščenca in visokim globam, ki jih predpisuje GDPR.

Reducing Cyber Uncertainty: The need for a structured and shared reporting framework to increase confidence in risk management, James Bore, Merlin Entertainment

We know that we have massive uncertainty in cybersecurity. This is, at least in large part, down to our need to move from an art to a genuine science. A formal framework for observing and recording both attacks and near misses, widely used, gives us the data we need to reduce that uncertainty and make both better preparations and predictions.

Varnostne rešitve IoT platforme »Gorenje ConnectLife«, Igor Guštin, Gorenje, d.d.

V predavanju bo predstavljena Gorenjeva IoT platforma – ConnectLife, ki se uporablja za prihajajoče Gorenjeve povezljive aparate (pečica, hladilnik, kuhalna plošča, napa in pomivalni stroj). Eno glavnih vodil pri načrtovanju je bila varna in enostavna izvedba povezljivosti od aparata preko platforme do mobilne aplikacije. Predstaviljena bo arhitektura, ki omogoča enostavnost uporabe na strani uporabnika in kar najvišjo stopnjo varnosti na vseh delih platforme. Za platformo smo dobili certifikat TUV, ki pa je hkrati tudi velika obveza, saj pomeni, da je skrb za varnost proces in ne samo enkratno opravilo. V predavanju si bomo ogledali ključne dele tega procesa in prikazali zahtevnost koordinacije med vsemi vpletenimi službami. Predstavljeno bo uporabnikova izkušnja pri varnem uparjanju aparata, v nadaljevnaju pa si bomo pogledali še vektorje napada in ključne obrambne strategije.

Zakon o informacijski varnosti je tu, kaj prinaša bankam? Boris Vardjan, Nova KBM d.d.

Zakon o informacijski varnosti je bi sprejet že v letu 2018. Zakon ureja področje informacijske varnosti in ukrepe za doseganje visoke ravni varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za nemoteno delovanje države. Sprejeti so bili tudi podzakonski akti. Pa je sedaj res vse jasno kaj morajo storiti banko za dosego skladnosti?

Being GDPR compliant with Microsoft Office 365, Mane Piperevski, Piperevski & Associates

People often don’t know that collecting logs and processing logs for report usage are 2 different things. Thanks to Microsoft we have opportunity to easy setup and use Office 365 as GDPR ready solution. Follow me on INFOSEC New Technologies 2019 and learn how to be GDPR compliant with Microsoft Office 365, see the scenarios and experience live DEMO for GDPR compliance and take away useful tips and tricks.

NLB Pay – od ideje do uvedbe, Nataša Dulc Strahinič, NLB d.d.

Mobilni telefoni s svojimi dodatnimi funkcionalnostmi in aplikacijami že nekaj časa prestopajo okvire standardne uporabe in postajajo nepogrešljiv element v našem vsakdanjem življenju. Postajajo celo pomembnejši kot običajna denarnica z osebnimi dokumenti, nekaj gotovine in plačilnimi karticami. Trenutni trend na področju plačevanja je t.i. brezstično plačevanje, ki zajema tako plačevanje z brezkontaktnimi karticami kot tudi plačevanje z mobilnimi telefoni (mobile payments).

Mobilno plačevanje oziroma plačevanje z digitaliziranimi Mastercard ali Maestro karticami v NLB Pay je ena izmed oblik brezstičnega plačevanja. In brezstično plačevanje je varno. Od uvedbe brezstičnih kartic v NLB nismo zasledili še nobene zlorabe, ki bi bila povezana z neavtoriziranim branjem podatkov kot včasih zaokrožijo novice. Podatki, ki se prenašajo med kartico (klasično ali digitalizirano v mobilni denarnici NLB Pay) in terminalom POS so unikatni ter kriptirani in večkratna uporaba enakih podatkov ni mogoča.

Find Me If You Can, Luka Milinković, NLB Banka Beograd

The presentation is based on a true story about that how we used social engineering and other techniques to found people we knew very little about and we didn’t have any contact information. We visited different pubs and talked with people we didn’t know, searched advertisements and different websites (but not social networks) etc. In the end, we found a lot of data that we didn’t have at the beginning: mobile number, e-mail, information about relatives, business information etc.
Also, in the presentation, I would draw attention to how unimportant data for us can be very important for hackers and impact that new technologies such as AI (Artificial Intelligence) have on hackers activities.

Vloga in učinki uporabe umetne inteligence pri zagotavljanju varnosti in nadzora, Simon Dobrišek, Laboratorij za strojno inteligenco, Fakulteta za elektrotehniko

Kje so meje in kakšne so povezave med avtomatiko, kibernetiko in umetno inteligenco? Na katerih področjih tovrstni sistemi že zdaj dosegajo ali presegajo človekove zmogljivosti? Na katerih področjih bi lahko umetna inteligenca v bližnji prihodnosti presegla človekove zmogljivosti? Je eno teh področij tudi avtomatizacija nadzora in vodenja človeške družbe? Kakšna je vloga in kakšni so učinki uvajanja umetnih inteligentnih sistemov pri zagotavljanju varnosti in nadzora, in katere so grožnje razvoja in uporabe tovrstnih sistemov? 
Na predavanju bodo naslovljena ta in sorodna vprašanja, in sicer tako z vidika tehnološkega razvoja tovrstnih sistemov kot tudi z vidika širših družbenih, pravnih in etičnih vprašanj, ki jih odpira razvoj in uporaba umetne inteligence pri reševanju različnih tehnoloških in družbenih problemov.

Tehnologija veriženja blokov – miti in resnice, Muhamed Turkanović, Blockchain Lab:UM, Inštitut za informatiko, Fakulteta za elektrotehniko, računalništvo in informatiko, Univerza v Mariboru

O tehnologiji veriženja blokov kroži v javnosti veliko mitov, največkrat zaradi enačenja s kriptovalutami oz. nerazumevanja kompleksnih tehnoloških področij, ki so sestavni deli le te: kriptografija, porazdeljene podatkovne shrambe, omrežje vsak z vsakim in algoritmi porazdeljenega soglasja. Največkrat se omenja energijska potratnost, podprto ilegalno poslovanje, enačenje pametnih pogodb s klasičnimi pogodbami, kakor tudi, da so vsa omrežja javna ali enovitost omrežja in platforme, univerzalna uporabnost tehnologije ali omejenost uporabnosti na finančno industrijo, anonimnost transakcij, stoodstotna varnost tehnologije itd. S predavanjem želim osvetliti tehnologijo, upoštevajoč pozitivne kakor tudi negative vidike ter tudi predstaviti možnost uporabe tehnologije za namen digitalne transformacije poslovnih procesov.

Mreža kompetenčnih centrov kibernetske varnosti, Marko Hölbl, Inštitut za informatiko, Fakulteta za elektrotehniko, računalništvo in informatiko, Univerza v Mariboru

Evropska komisija je v letu 2019 zagnala projekte na temo kibernetske varnosti iz programa Obzorja 2020 v skupni vrednosti več kot 60 milijonov EUR. Pri projektu CyberSec4Europe sodeluje tudi Inštitut za informatiko Fakultete za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Osrednji cilj je vzpostavitev in upravljanje delovanja evropske mreže kompetenčnih centrov kibernetske varnosti. Namen kompetenčnih centrov je okrepiti raziskave in poglobiti sodelovanje na področju kibernetske varnosti v EU. V projektu sodeluje 43 partnerjev iz 22 držav članic EU in pridruženih držav. CyberSec4Europe je bil izbran kot eden izmed 4 projektov, katerih namen je pilotna vzpostavitev in upravljanje delovanja mreže kompetenčnih centrov za kibernetsko varnost ter implementacija skupne usmeritve raziskav in inovacij na tem področju.

Collecting data, requires protecting data, Aleksandar Zorbovski, Inbox – Archive and Data Center

The responsibility for its own data is essential for any organization. But when the organization is the one that is responsible for the data of other organizations, it is completely another level of responsibility. How do you handle that responsibility? It is a crucial question that would never be done answering it, as the answer is constantly getting challenged and changed.
Data protection as the ultimate goal has to – provide a safe and flexible environment where the data based processes can perform in a risk-free environment alongside a maintained company vision.
No data, no business. No digitalization, no data protection-no future.

Povečajte prodajo z uvedbo sistema CRM: Uroš Žohar, Intera d.o.o.

· Kako zagotoviti 360° pregled nad strankami, potencialnimi kupci,
dobavitelji in vsemi stiki?
· Kako vzpostaviti jasen pregled nad povpraševanji in povečati prodajo?
· Zakaj se boste morali znebiti Outlook in Google koledarjev?
· Koristi povezave sistema Intrix CRM in ERP sistemov

 

CIO meeting: Zahteve kibernetske varnosti v 2019

 

Strateški izzivi kibernetske varnosti za zagotavljanje neprekinjenosti delovanja kritične infrastrukture, Denis Čaleta, Institut za korporativne varnostne študije, ICS-Ljubljana

Država s svojim nekonsistentnim pristopom sprejemanja zakonodajnih aktov, na področju med katere sodi tudi zaščita kritične infrastrukture, prinaša parcialne pristope posameznih ministrstev. Vlada Republike Slovenije in kasneje tudi Državni zbor nista bila sposobna izvesti konsolidacijo in predvsem poenostavitev zakonskih aktov, ki bi bili bolj pregledni, učinkoviti in sistematično naravnani. Nasprotno, v državi še naprej ubiramo pot nadaljnjega sprejemanja zakonskih in podzakonskih predpisov, ki namesto jasne ureditve, še dodatno komplicirajo in predvsem birokratsko urejajo posamezna pomembna področja med katerimi ima kibernetska varnost ključen pomen. Da je ta konfuznost še kompleksnejša, tudi ureditev znotraj EU ne prinaša korakov pri zagotavljanju sinergij, saj se posamezni deli birokratskega aparata EU ukvarjajo s predpisovanjem posameznih temeljnih področij. Tudi različne agencije, ki v nadaljevanju skrbijo za uveljavljanje in koordinacijo aktivnosti na posameznih področjih, v določenih primerih med seboj niso ustrezno usklajene. Ta neusklajenost ima še poseben vpliv ravno na področju zagotavljanja kibernetske varnosti, ki trenutno v nacionalnem in mednarodnem okolju, katero v celoti temelji na podstati informacijske družbe, predstavlja največji varnostni izziv. V predavanju bodo podani tudi osnovni parametri potrebe celovitega pristopa, ki v poslovnem okolju zagotavlja, da v okviru korporativne varnosti, obvladujemo kibernetska tveganja.

Napolnite si svoj Inbox 🙂

SEZNANITE SE Z VSEM, KAR PALSIT PONUJA.

Darilo: ob prijavi dobite dostop do 5 najbolje ocenjenih video vsebin z naših dogodkov.