Opis predavanj

Hack the World with OSINT, Chris Kubecka, HypaSec

Come on a journey of discovery through IT/IOT/ICS SCADA systems, databases, solar panels, smart homes, washing machines and the vulnerable, interconnected world. Open source intelligence gathering (OSINT) is an important part of the reconnaissance phase of a penetration test. The more connected we are, the more information about people and assets are held by seemingly everything. This information can be juicy for both penetration testers and malicious threat actors. Learning what sources of information is available to start an engagement is a crucial step in completing a thorough but effective exploration. Risks associated with leveraging, misusing or selling discovered material are all too real. Protect your organisation or find out if your home burglar alarm is directly connected to the internet with takeaways using Censys.io and other tools.

Varnost aplikacij – pozabljeni člen, Andrej Rakar, SIQ Ljubljana

Aplikacije so zadnji člen v verigi dostopa do informacij, ki lahko direktno vplivajo na zaupnost, razpoložljivost in celovitost le-teh. Prav napake v kodiranju so osnovni in najpogostejši vir varnostnih groženj in pomanjkljivosti. Principe varnega programiranja je zato potrebno upoštevati že v razvojni fazi, za pridobitev ocene dejanskega stanja varnosti, pa je potrebno neodvisno preverjanje. Le celovit varnostni pregled, ki poleg pregleda arhitekture, gradnikov in delovanja aplikacije, tipično vključuje tudi vdorno testiranje in pregled izvorne kode, lahko nedvoumno potrdi ali so varnostne kontrole v aplikaciji ustrezne.
Na predavanju boste spoznali uveljavljene prakse dobrega programiranja ter kako poteka celoten postopek preverjanja po mednarodno uveljavljeni metodologiji. Postopki bodo ilustrirani na praktičnih primerih najpogostejših aplikativnih napadov in zlorab.

Detajli štejejo, Primož Bratanič, Računalniški portal Slo-Tech in Žiga Humar, Our Space Appliances d.o.o.

Pri vpeljavah rešitev SIEM se srečujemo z vprašanjem katere vire zajeti. Za celostno spremljanje varnostnih parametrov in zaznavo groženj ter incidentov so potencialno relevantni prav vsi viri. Ko zajamemo podatke smo pred novim izzivom – kako iz množice zbranih podatkov izluščiti največ in katere metode uporabiti, da zmanjšamo količino zaznanih lažno-pozitivnih incidentov. V predavanju se bomo osredotočili na detajle, na katere radi pozabljamo in predstavili kako se soočiti z izzivi zaznavanja varnostnih incidentov.

Kdaj je pred uvedbo nove tehnologije nujna presoja vplivov na varstvo osebnih podatkov? Mojca Prelesnik, Informacijski pooblaščenec Republike Slovenije 

Ocene učinkov v zvezi z varstvom osebnih podatkov so učinkovito orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri razvoju in aplikaciji določenega projekta, sistema ali uporabi tehnologije. V praksi so zato zelo koristne pri preprečevanju kršitev varstva osebnih podatkov. Če so narejene pravočasno in kvaliteno, zagotavljajo ohranitev ugleda in zaupanja posameznikov, strank in javnosti tako v podjetija, kot v javne organe. Z njimi se upravljavci zbirk osebnih podatkov in razvijalci najrazličnejših aplikacij lahko učinkovito izognejo negativnemu javnemu mnenju in medijskemu poročanju, nenazadnje pa tudi inšpekcijskim postopkom Informacijskega pooblaščenca in visokim globam, ki jih predpisuje GDPR.

Naj je več – konsolidacija opreme različnih proizvajalcev v eno napravo in uvedba SOC/NOC sistema v podjetju SENG, VirtuaIT

Pogledali bomo, kako smo se lotili projekta zamenjave klasičnega požarnega zidu, ki smo ga zamenjali za požarni zid nove generacije, ob tem pa odklopili kar nekaj opreme, ki se je nabirala skozi leta, in jeslužila različnim specifičnim namenom. Te potrebe smo sedaj zajeli v enotni rešitvi, ki je s pomočjo virtualnih požarnih zidov (VDOM) še vedno logično podobna, vendar bisveno cenejša in lažja za vzdrževanje, hkrati pa vse komponente sedaj delujejo v HA grozdu.

Privilegirani uporabniki – steber zaupanja ali varnostna grožnja? Rok Debevc, SmartIS d.o.o.

V kar 74% varnostnih incidentih je prišlo do namerne ali nenamerne zlorabe privilegiranih uporabniških računov, kažejo izsledki najnovejše študije na področju IT varnosti. Zaskrbljajoča je tudi ugotovitev, da so številna podjetja in organizacije naredile malo ali skoraj nič za zaščito in varno upravljanje privilegiranih uporabniških računov. V le 21% anketiranih podjetjih privilegirani uporabniki uporabljajo večfaktorsko avtentikacijo, le 48% podjetij njihova gesla hrani na varen način. In v kar 65% podjetjih več privilegiranih uporabnikov vsaj deloma uporablja eden in isti administratorski račun.
Zato proaktivna podjetja presegajo osnovne varnostne prakse in za to področje uvajajo Privileged Access Management (PAM) orodja, ki imajo širok nabor funkcionalnosti. Med njimi varno hrambo in periodično menjavo gesel, večfaktorsko avtentikacijo, spremljanje aktivnost privilegiranih uporabnikov ter odkrivanje morebitnih zlorab. Uvedba PAM orodja postaja vse bolj pomembna naloga pri izboljšanju kibernetske varnosti.

Reducing Cyber Uncertainty: The need for a structured and shared reporting framework to increase confidence in risk management, James Bore, Merlin Entertainment

We know that we have massive uncertainty in cybersecurity. This is, at least in large part, down to our need to move from an art to a genuine science. A formal framework for observing and recording both attacks and near misses, widely used, gives us the data we need to reduce that uncertainty and make both better preparations and predictions.

E-Nakupi in močna avtentikacija, Boris Turk, Mastercard

Elektronsko nakupovanje je danes resnično vsakdanje opravilo. Elektronski nakupi pa že dolgo niso omejeni zgolj na nakup blaga. Vedno več je nakupov digitalnih in pretočnih vsebin, plačilo storitev, zakup oblačnih rešitev in plačila drugih ponavljajočih mesečnih obveznosti.

Plačilna direktiva PSD2, katere rok za izvedbo je postavljen v jesen 2019, postavlja precej novosti, ki so predvsem namenjeni zaščiti potrošnikov. Med njimi je tudi proces močne avtentikacije končnega uporabnika.

Kaj so elementi močne avtentikacije? Kako so pripravljene banke v Sloveniji in kaj počne Mastercard na tem področju? Pravila, izjeme in primeri iz prakse.

Varnostne rešitve IoT platforme »Gorenje ConnectLife«, Igor Guštin, Gorenje, d.d.

V predavanju bo predstavljena Gorenjeva IoT platforma – ConnectLife, ki se uporablja za prihajajoče Gorenjeve povezljive aparate (pečica, hladilnik, kuhalna plošča, napa in pomivalni stroj). Eno glavnih vodil pri načrtovanju je bila varna in enostavna izvedba povezljivosti od aparata preko platforme do mobilne aplikacije. Predstaviljena bo arhitektura, ki omogoča enostavnost uporabe na strani uporabnika in kar najvišjo stopnjo varnosti na vseh delih platforme. Za platformo smo dobili certifikat TUV, ki pa je hkrati tudi velika obveza, saj pomeni, da je skrb za varnost proces in ne samo enkratno opravilo. V predavanju si bomo ogledali ključne dele tega procesa in prikazali zahtevnost koordinacije med vsemi vpletenimi službami. Predstavljeno bo uporabnikova izkušnja pri varnem uparjanju aparata, v nadaljevnaju pa si bomo pogledali še vektorje napada in ključne obrambne strategije.

Zakon o informacijski varnosti je tu, kaj prinaša bankam? Boris Vardjan, Nova KBM d.d.

Zakon o informacijski varnosti je bi sprejet že v letu 2018. Zakon ureja področje informacijske varnosti in ukrepe za doseganje visoke ravni varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za nemoteno delovanje države. Sprejeti so bili tudi podzakonski akti. Pa je sedaj res vse jasno kaj morajo storiti banko za dosego skladnosti?

Being GDPR compliant with Microsoft Office 365, Mane Piperevski, Piperevski & Associates

People often don’t know that collecting logs and processing logs for report usage are 2 different things. Thanks to Microsoft we have opportunity to easy setup and use Office 365 as GDPR ready solution. Follow me on INFOSEC New Technologies 2019 and learn how to be GDPR compliant with Microsoft Office 365, see the scenarios and experience live DEMO for GDPR compliance and take away useful tips and tricks.

NLB Pay – od ideje do uvedbe, Nataša Dulc Strahinič, NLB d.d.

Mobilni telefoni s svojimi dodatnimi funkcionalnostmi in aplikacijami že nekaj časa prestopajo okvire standardne uporabe in postajajo nepogrešljiv element v našem vsakdanjem življenju. Postajajo celo pomembnejši kot običajna denarnica z osebnimi dokumenti, nekaj gotovine in plačilnimi karticami. Trenutni trend na področju plačevanja je t.i. brezstično plačevanje, ki zajema tako plačevanje z brezkontaktnimi karticami kot tudi plačevanje z mobilnimi telefoni (mobile payments).

Mobilno plačevanje oziroma plačevanje z digitaliziranimi Mastercard ali Maestro karticami v NLB Pay je ena izmed oblik brezstičnega plačevanja. In brezstično plačevanje je varno. Od uvedbe brezstičnih kartic v NLB nismo zasledili še nobene zlorabe, ki bi bila povezana z neavtoriziranim branjem podatkov kot včasih zaokrožijo novice. Podatki, ki se prenašajo med kartico (klasično ali digitalizirano v mobilni denarnici NLB Pay) in terminalom POS so unikatni ter kriptirani in večkratna uporaba enakih podatkov ni mogoča.

Blockchain World – Data and Crypto Challenges, Luka Milinković, NLB Banka Beograd

I will speak about the good and wrong implementation of crypto algorithms and a few more security problems. I will explain how to achieve confidentiality, integrity and availability of data in blockchain. I will speak about anonymity of transactions and several possible ways how the police can catch criminals who use cryptocurrencies when they seek redemption after the ransomware attacks or sell other bad things on the Internet. During the presentation, I will speak about real-life implementations, and those that are in the development phase, too.

Linux Capabilities: Benefits and Pitfalls, Simon Janz, ERNW

Linux Capabilities provide fine grained separation of privileges for processes. From a security perspective, this helps to enforce stricter permissions for the individual processes. These kernel features can be very handy, but not only for good.

The talk will start with an introduction on Linux Capabilities and their actual use cases. Using the base-level of these features, it is described how an attacker may abuse this feature to backdoor the system. As a final giveaway, we will show how such backdoors can be hunted and identified.

Vloga in učinki uporabe umetne inteligence pri zagotavljanju varnosti in nadzora, Simon Dobrišek, Laboratorij za strojno inteligenco, Fakulteta za elektrotehniko Univerze v Ljubljani

Kje so meje in kakšne so povezave med avtomatiko, kibernetiko in umetno inteligenco? Na katerih področjih tovrstni sistemi že zdaj dosegajo ali presegajo človekove zmogljivosti? Na katerih področjih bi lahko umetna inteligenca v bližnji prihodnosti presegla človekove zmogljivosti? Je eno teh področij tudi avtomatizacija nadzora in vodenja človeške družbe? Kakšna je vloga in kakšni so učinki uvajanja umetnih inteligentnih sistemov pri zagotavljanju varnosti in nadzora, in katere so grožnje razvoja in uporabe tovrstnih sistemov? 
Na predavanju bodo naslovljena ta in sorodna vprašanja, in sicer tako z vidika tehnološkega razvoja tovrstnih sistemov kot tudi z vidika širših družbenih, pravnih in etičnih vprašanj, ki jih odpira razvoj in uporaba umetne inteligence pri reševanju različnih tehnoloških in družbenih problemov.

Predlog ZVOP-2 skozi prizmo gospodarstva: pasti in stranpoti, Marko Djinović, Gospodarska zbornica Slovenije

Mineva eno leto od pričetka neposredne uporabe Splošne uredbe o varstvu podatkov (GDPR). GDPR je za uporabnike v gospodarstvu prinesla več vprašanj kot odgovorov, predvsem pa pravno negotovost, saj si rešitve GDPR v bistvenih delih nasprotujejo z rešitvami veljavnega ZVOP-1, ki je bil sprejet pred več kot desetletjem. Podjetja zato že dve leti nestrpno pričakujejo sprejetje novega ZVOP-2, ki ga je nujno uskladiti z GDPR, pri tem pa mora zakonodajalec paziti predvsem, da nov zakon ne bo »aktivistično« posegel v rešitve GDPR,  ki se že leto dni neposredno uporabljajo v EU. S tem bi lahko povzročil zmedo na področju varstva osebnih podatkov. Marca 2019 je bil v javno obravnavo posredovan nov predlog ZVOP-2, na katerega so se z argumentiranimi pripombami odzvali številni deležniki s področja gospodarstva, stroke in civilne družbe. V prispevku bodo predstavljeni ključni predlogi gospodarstva za izboljšanje predloga ZVOP-2, ki izhajajo predvsem iz njegove prenormiranosti in mestoma tudi vsebinske neusklajenosti z GDPR.    

Tehnologija veriženja blokov – miti in resnice, Muhamed Turkanović, Blockchain Lab:UM, Inštitut za informatiko, Fakulteta za elektrotehniko, računalništvo in informatiko, Univerza v Mariboru

O tehnologiji veriženja blokov kroži v javnosti veliko mitov, največkrat zaradi enačenja s kriptovalutami oz. nerazumevanja kompleksnih tehnoloških področij, ki so sestavni deli le te: kriptografija, porazdeljene podatkovne shrambe, omrežje vsak z vsakim in algoritmi porazdeljenega soglasja. Največkrat se omenja energijska potratnost, podprto ilegalno poslovanje, enačenje pametnih pogodb s klasičnimi pogodbami, kakor tudi, da so vsa omrežja javna ali enovitost omrežja in platforme, univerzalna uporabnost tehnologije ali omejenost uporabnosti na finančno industrijo, anonimnost transakcij, stoodstotna varnost tehnologije itd. S predavanjem želim osvetliti tehnologijo, upoštevajoč pozitivne kakor tudi negative vidike ter tudi predstaviti možnost uporabe tehnologije za namen digitalne transformacije poslovnih procesov.

Mreža kompetenčnih centrov kibernetske varnosti, Marko Hölbl, Inštitut za informatiko, Fakulteta za elektrotehniko, računalništvo in informatiko, Univerza v Mariboru

Evropska komisija je v letu 2019 zagnala projekte na temo kibernetske varnosti iz programa Obzorja 2020 v skupni vrednosti več kot 60 milijonov EUR. Pri projektu CyberSec4Europe sodeluje tudi Inštitut za informatiko Fakultete za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Osrednji cilj je vzpostavitev in upravljanje delovanja evropske mreže kompetenčnih centrov kibernetske varnosti. Namen kompetenčnih centrov je okrepiti raziskave in poglobiti sodelovanje na področju kibernetske varnosti v EU. V projektu sodeluje 43 partnerjev iz 22 držav članic EU in pridruženih držav. CyberSec4Europe je bil izbran kot eden izmed 4 projektov, katerih namen je pilotna vzpostavitev in upravljanje delovanja mreže kompetenčnih centrov za kibernetsko varnost ter implementacija skupne usmeritve raziskav in inovacij na tem področju.

Collecting data, requires protecting data, Aleksandar Zorbovski, Inbox – Archive and Data Center

The responsibility for its own data is essential for any organization. But when the organization is the one that is responsible for the data of other organizations, it is completely another level of responsibility. How do you handle that responsibility? It is a crucial question that would never be done answering it, as the answer is constantly getting challenged and changed.
Data protection as the ultimate goal has to – provide a safe and flexible environment where the data based processes can perform in a risk-free environment alongside a maintained company vision.
No data, no business. No digitalization, no data protection-no future.

Vpeljava varstva osebnih podatkov v organizacijo: kako biti vitki in učinkoviti, Miha Dvojmoč, MD Svedovanje d.o.o.

Izkušnje nam kažejo, da so zaposleni v organizacijah, ki rokujejo s podatki prestrašeni in predvsem zmedeni, kaj in kako narediti. Naloga tistih, ki smo v vlogi svetovalcev je da primerno razložimo in pomagamo upostavitvi učinkovito upravljanje s podatki v organizaciji, ki temelji na znanju uporabnikov in njihovi samozavesti pri rokovanju s podatki.

CONCORDIA – Kompetence na področju kibernetske varnosti za raziskave in inovacije, Tatjana Welzer, Inštitut za informatiko, Fakulteta za elektrotehniko, računalništvo in informatiko, Univerza v Mariboru

Projekt CONCORDIA je štiriletni multidisciplinarni raziskovalni in inovacijski projekt, financiran iz programa Obzorja 2020, ki bo imel skupaj s preostalimi tremi pilotskimi projekti vključno s projektom CyberSec4Europe, vodilno vlogo pri povečevanju učinkovitosti kibernetske varnosti EU. Cilj projekta je okrepitev varnostne zmogljivosti Evrope ter zaščitita njene digitalne družbe, gospodarstva in temeljnih načel podatkovne družbe za varnost in zasebnost. Projekt sprejema vključujoč pristop, ki spodbuja široko zavezništvo in pokriva evropske raziskovalne, industrijske in javne sektorje. Z razvojem inovativnih, tržno sprejemljivih rešitev za zaščito Evrope pred kibernetskimi napadi, projekt koristi edinstveno zbirko znanja in talentov Evrope na področju IKT in kibernetske varnosti ter vzpostavlja evropski izobraževalni ekosistem za kibernetsko varnost. Projekt je temeljni instrument za spodbujanje odličnih raziskav, tržnih inovacij, usposabljanja in raziskovalnega načrta za kibernetsko varnost v Evropi. V projektu sodeluje tudi Laboratorij za podatkovne tehnologije, Inštituta za informatiko, Fakultete za elektrotehniko, računalništvo in informatiko, Univerze v Mariboru, ob njem pa še 22 partnerjev iz akademskega okolja in 23 partnerjev iz industrije in drugih organizacij, iz štirinajstih članic EU.

Povečajte prodajo z uvedbo sistema CRM: Uroš Žohar, Intera d.o.o.

· Kako zagotoviti 360° pregled nad strankami, potencialnimi kupci,
dobavitelji in vsemi stiki?
· Kako vzpostaviti jasen pregled nad povpraševanji in povečati prodajo?
· Zakaj se boste morali znebiti Outlook in Google koledarjev?
· Koristi povezave sistema Intrix CRM in ERP sistemov

The story behind of my favorite ATM (Arbitrary Taking Money), Balázs Hambalkó, Balasec 

Do you want to build (and maybe sell) a branch level ATM? Or are you about to buy one into your office?

Then it is highly recommended worth it to come and check my lecture.

I will show you several possibilities how could an arbitrary colleague abuse this ATM controller system, and “hopefully” bypass the log and audit related mechanisms, as well.

Based on a true story.

Spoiler: If you want to see in my video how the ATM abbreviation becomes “Arbitrary Taking Money” without bothering ourselves with such a dirty word like Authentication, then we definitely should meet.

Taking advantage of natural tendencies and emotional reactions of humans, Aleksandar Zorbovski, Inbox – Archive and Data Center

Sophisticated psychological manipulation, false empathy, false identity, all for the right information. Opening paths based on human tendencies to trust leading to gain access to the protected treasure.

How aware is your organization on the techniques of Social Engineering attack?

 

CIO meeting: Zahteve kibernetske varnosti v 2019

 

Strateški izzivi kibernetske varnosti za zagotavljanje neprekinjenosti delovanja kritične infrastrukture, Denis Čaleta, Institut za korporativne varnostne študije, ICS-Ljubljana

Država s svojim nekonsistentnim pristopom sprejemanja zakonodajnih aktov, na področju med katere sodi tudi zaščita kritične infrastrukture, prinaša parcialne pristope posameznih ministrstev. Vlada Republike Slovenije in kasneje tudi Državni zbor nista bila sposobna izvesti konsolidacijo in predvsem poenostavitev zakonskih aktov, ki bi bili bolj pregledni, učinkoviti in sistematično naravnani. Nasprotno, v državi še naprej ubiramo pot nadaljnjega sprejemanja zakonskih in podzakonskih predpisov, ki namesto jasne ureditve, še dodatno komplicirajo in predvsem birokratsko urejajo posamezna pomembna področja med katerimi ima kibernetska varnost ključen pomen. Da je ta konfuznost še kompleksnejša, tudi ureditev znotraj EU ne prinaša korakov pri zagotavljanju sinergij, saj se posamezni deli birokratskega aparata EU ukvarjajo s predpisovanjem posameznih temeljnih področij. Tudi različne agencije, ki v nadaljevanju skrbijo za uveljavljanje in koordinacijo aktivnosti na posameznih področjih, v določenih primerih med seboj niso ustrezno usklajene. Ta neusklajenost ima še poseben vpliv ravno na področju zagotavljanja kibernetske varnosti, ki trenutno v nacionalnem in mednarodnem okolju, katero v celoti temelji na podstati informacijske družbe, predstavlja največji varnostni izziv. V predavanju bodo podani tudi osnovni parametri potrebe celovitega pristopa, ki v poslovnem okolju zagotavlja, da v okviru korporativne varnosti, obvladujemo kibernetska tveganja.

Zahteve kibernetske varnosti v 2019, Tadej Hren, SI-CERT

Poleg skladnosti z različnimi zakoni je ena izmed najpomembnejših dilem skrbnikov informacijske varnosti vprašanje, kaj še lahko storimo za večjo varnost naših podatkov. Najprej se moramo sprijazniti s tem, da 100% varnosti ni. Večjo vrednost imajo naši podatki, več bodo napadalci pripravljeni investirati, da se dokopljejo do njih. Vendar pa tudi napadalci (praviloma) nimajo neomejenih sredstev. Če bomo pravilno ocenili varnostna tveganja in sredstva za povečanje informacijske varnosti pravilno porazdelili med njih, lahko napadalce precej uspešno zaustavimo. Vendar pa ta naloga še zdaleč ni lahka. Mi moramo namreč
zakrpati vse ranljivosti, napadalcem pa je dovolj, če najdejo zgolj eno, ki smo jo spregledali. Kje so torej skrivajo tista tveganja, ki jih skrbniki običajno pregledajo?

Odziv organizacije na kibernetski napad, Marko Zavadlav, IKT Horizontalna mreža

Organizacije se zavedajo groženj, ki so prisotne v kibernetskem prostoru. Na njih se različno odzivajo. Običajno vpeljujejo ustrezne varnostne kontrole. Kako dobro pa vedo, kako se odzvati? Ali se iz napadov kaj naučijo? Poglejmo si, kako so se na kibernetske napade odzivale organizacije, ki so bile nanje različno pripravljene. Ali se da iz primerov naučiti dovolj, da ugotovimo, kaj je ključno za uspešno kibernetsko obrambo in odziv na zaznani incident?

Je politika orodje kibernetske varnosti ali kibernetska varnost orodje politike? Boštjan Kežmah, FERI, UM

V zadnjih letih smo priča razmahu predpisov, ki se nanašajo tudi na področje kibernetske varnosti. Med pomembnejšimi sta Zakon o informacijski varnosti in Splošna uredba o varstvu podatkov. Pri implementaciji teh predpisov se na videz srečujemo z umetno ustvarjenimi izzivi, ki jih še poglablja medsebojna neusklajenost z obstoječimi predpisi. Med drugim še kar čakamo na sprejem ZVOP-2. V nasprotju z vzporednim političnim svetom je gospodarstvo pod pritiskom ugoditi lastnikom z obvladovanjem tveganj in dobički, strankam z nizkimi cenami in visoko kakovostjo ter politiki z uspešno zagotovljeno skladnostjo s predpisi. Vse skupaj naj bi povezovala učinkovitost. Ali jo je v teh razmerah sploh mogoče doseči? Ali je to sploh prava pot k učinkovitemu in uspešnemu zagotavljanju kibernetske varnosti? Odgovore bomo iskali z zgovornimi praktičnimi primeri.

Napolnite si svoj Inbox 🙂

SEZNANITE SE Z VSEM, KAR PALSIT PONUJA.

Darilo: ob prijavi dobite dostop do 5 najbolje ocenjenih video vsebin z naših dogodkov.