Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efnir til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis. 

 

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.

 

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki.

 

Staðsetning viðburðar

Fréttir af viðburðum

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Tengdir viðburðir

NIS2 - Hvert er umfangið og hverjar eru kröfurnar?

Næsta haust munu taka gildi auknar kröfur sem nefndar hafa verið NIS2. Við munum fá Unni Kristínu frá Fjarskiptastofu til að segja okkur meira um NIS2. Nánari upplýsingar koma síðar. 

Eldri viðburðir

Upp með Soccana! - Öryggisvöktun upplýsingatæknikerfa (SOC) - Hverjir þurfa og hvernig á að gera?

Smelltu hér til að tengjast fundinum

Mörg fyrirtæki hafa annað hvort innleitt SOC þjónustu eða eru að íhuga það. En er þetta fyrir alla og hverju mega fyrirtæki vænta að fá með svona þjónustu?

Við fáum Robby Perelta til að deila af reynslu sinni með okkur, fjalla um hverjir ættu helst að íhuga að notast við lausnir sem þessar og hvað sé mikilvægt að hafa í huga. KYNNING FER FRAM Á ENSKU

Eftir kynningu frá Robby verður tími fyrir umræður og vonum við að sem flest taki þátt. 

Um Robby: 

Robby Peralta is the host of the mnemonic security podcast, as well as an individual who has worked 8 years within the SOC space.

During those years, Robby has worked with a variety of organizations, private and governmental, all across Europe with their security monitoring efforts.

Robby will share his experiences and knowledge on who should consider a SOC service, and the most common ways of implementing it these days.

 

Gervigreind og upplýsingaöryggi

Smelltu hér til að tengjast fundinum
Gervigreind er alltumlykjandi og ljóst að áhrif hennar eru mikil. 

Í þessari kynningu ætlum við annars vegar að skoða hvernig gervigreindin er að hafa áhrif á ógnir og upplýsingaöryggi og hins vegar hvernig gervigreind getur hjálpað fyrirtækjum í vörnum gegn nútíma upplýsingaöryggisógnum. Þessi kynning er unnin í samvinnu faghóps Stjórnvísi um Gervigreind og faghóps um upplýsingaöryggi. 

Fyrri kynning: Þögul innrás gervigreindar: mun þitt fyrirtæki lifa af?

Á meðan almenningur er upptekinn í spjalli við ChatGPT og Dall-E fikti, er þróun að eiga sér stað á bakvið tjöldin sem mun gjörbreyta daglegum rekstri fyrirtækja og kúvenda hegðun neytenda. Frá heilbrigðisþjónustu til fjármála, frá landbúnaði til fataverslana, þá er spurningin ekki lengur hvort gervigreind muni hafa áhrif á þitt fyrirtæki, heldur hvenær og hvernig - og hvort þið séu tilbúin.

Tryggvi Freyr Elínarson er einn af stofnendum og eigendum Datera og hefur yfir 20 ára reynslu í stafrænni markaðssetningu og viðskiptaþróun. Samhliða innlendum og erlendum verkefnum hefur Tryggvi markvisst byggt upp öflug tengslanet og státar því sterkum tengslum í innstu röðum hjá fyrirtækjum á borð við Facebook, Google, TripAdvisor, Snapchat, Tiktok, og Smartly, og því oftar en ekki með aðgang að upplýsingum og tækninýjungum sem ekki allir hafa.

 

Seinni kynning: Rachel Nunes frá Microsoft segir okkur hvernig öryggislausnir Microsoft aðstoða fyrirtæki að verjast ógnum gegn upplýsingaöryggi. KYNNING FER FRAM Á ENSKU.

Smelltu hér til að tengjast fundinum

 

Hvað er upplýsingaöryggi?

Smelltu hér til að tengjast fundinum

Í hinum síbreytilega heimi upplýsingaöryggis er oft gott að byrja á að skilgreina hvað sé um rætt þegar talað er um upplýsingaöryggi. Viðmið og lágmark er sífellt að breytast og þess vegna mikilvægt að sem flest séum við með sömu hugmyndir um hverju sé verið að stefna að og hvernig því marki skuli náð. 

Við ætlum að fá Bryndísi Bjarnadóttur, sérfræðing hjá CERT-ÍS til að fara aðeins með okkur í gegnum hvað upplýsingaöryggi sé fyrir CERT-ÍS og hver séu hin nýju lágmörk upplýsingaöryggis. 

 

Smelltu hér til að tengjast fundinum

 

Aðalfundur faghóps um upplýsingaöryggi

Click here to join the meeting 
Stjórn faghóps um upplýsingaöryggi boðar hér til aðalfundar fyrir starfsárið 2022-2023.  Farið verður yfir ýmis málefni er varðar faghópinn ásamt því að kjósa nýja stjórn og formann. 

Dagskrá fundar:

  • Kynning á faghópnum    
  • Samantekt á starfi vetrarins
  • Kosning formanns og stjórnar 
  • Næsta starfsár faghópsins
  • Önnur mál 

Þeir sem hafa áhuga á að taka að sér formennsku stjórnar eða taka sæti í stjórn geta haft samband við Önnu Kristínu Kristinsdóttur, formann stjórnar faghópsins, í gegnum netfang annakk86@gmail.com eða í síma 692-5252.

Fundurinn fer fram í formi fjarfundar 

Click here to join the meeting 

Menntun og fræðsla fyrir upplýsingaöryggisstjóra - Frestað ótímabundið

Menntun og fræðsla upplýsingaöryggisstjóra er enn eitt verkefnið sem við stöndum frammi fyrir 
og margir eiga erfitt með. 
 
Umræðan um hvaða þekking sé nauðsynleg eða mikilvæg fyrir upplýsingaöryggisstjóra
hefur lengi verið til staðar og algengt að spá hvort sé mikilvægara að hafa tæknilega 
eða skipulagslega þekkingu eða hvort að lausnin sé kannski blanda af þessu tvennu.
 
En leitin að hvaða þekking sé mikilvægust og hvaðan sé best að sækja þá þekkingu er
oft ekki auðfundin. Á þessum viðburði verður fjallað um hvaða möguleikar eru í boði og 
hvers vegna það er mikilvægt fyrir upplýsingaöryggisstjóra að sækja sér menntun og fræðslu. 
Menntun og fræðsla upplýsingaöryggisstjóra er enn eitt verkefnið sem við stöndum frammi fyrir 
og margir eiga erfitt með. 
 

Fannst þér efnið á síðunni hjálplegt?