Ukens faggruppe og dens skjulte juvel: Den beste sikkerhets­konferansen du ikke visste eksisterte

Enten du er opptatt av (null) tillit, hacking av katter (og medarbeidere) eller personvern, beredskap, eller for den saks skyld raspeballer: Sikkerhetssymposiet er en skjult juvel som er altfor lite kjent utenfor de innerste kretser av DND-ildsjeler i Bergen og omegn.

— Hva jeg er mest stolt av at vi har fått til med Sikkerhetssymposiet? Det må være at vi har greid å få tak i John Kindervag, mannen bak «Zero Trust».

Tron Emil Ingebrigtsen leder faggruppen IT-sikkerhet i DND Vest. Om få uker arrangerer de en av de beste sikkerhetskonferansene alt for få har skjønt eksisterer.

Så er du opptatt av sikkerhet, her kan du lære om hva du går glipp av om du ikke drar til Bergen den 16. oktober.

Syvende år på rad

—  Sikkerhetssymposiet er et av Dataforeningens bidrag til den internasjonale sikkerhetsmåneden, sier Tron.

—  Jeg tror det er syvende år på rad vi arrangerer det nå. Symposiet ble skapt av faggruppen vår fordi vi ønsket å lage noe som går litt mer i dybden, – et bredere tilbud til medlemmene, men også åpent for alle. Det er litt andre folk som kommer på symposiet enn på de vanlige medlemsmøtene.

—  Hva er du mest stolt av i årets symposium?

— At vi har fått John Kindervag, PaloAlto, til å komme i ens ærend til Bergen for å prate om Zero Trust. Den mannen er Zero Trust.

— Zero trust? Ingen tillit? Det høres ut som en forherligelse av mistillit. Hva er Zero Trust?

Ingen automatisk tillit

—  Det er en sikkerhetsmodell basert på at ingen automatisk får tillit, selv ikke de som befinner seg innenfor sikkerhetssonens perimeter.

— Er det bra?

— Poenget er at den tradisjonelle perimeter-tankegangen ikke fungerer lenger. Med distribuerte løsninger er Zero trust blitt mer og mer aktuelt for å imøtekomme forventninger fra brukere og forbrukere om tilgjengelighet fra hvor som helst, når som helst, uten at det skal gå på bekostning av sikkerhet.

—  Når du logger deg på via Google og får en mail om at noen har logget seg på din konto og at hvis det var deg kan du slappe av, men hvis det ikke var deg bør du sikre kontoen din —  da er det prinsippene fra Zero Trust som er i arbeid.

— Skjønner. Hva mer kan du lokke med for en tillitsfull seanse i Bergen?

— Jan Sandtrø. Han er jo IT-sikkerhetsadvokat nummer 1. Både han og Kindervag har fått ekstra taletid i parallellsporene.

« Når du logger deg på via Google og får en mail om at noen har logget seg på din konto og at hvis det var deg kan du slappe av, men hvis det ikke var deg bør du sikre kontoen din — da er det prinsippene fra Zero Trust som er i arbeid. »

Toppmøte og kattehacking

— I forbindelse med symposiet har vi også toppmøte i regi av NorSIS. Det er spennende spesielt for folk i lederroller.

—  Arrangementet går totalt sett over tre dager, hvor den første dagen, med et program på ettermiddagen, er gratis for alle. Det er en kjempemulighet for studenter eller de som ellers sitter hjemme på rommet og hacker.

— På dag 2 er det kurs, en heldags workshop hvor du settes i en veldig virkelighetsnær, skarp beredskapssituasjon.

—  Så er det selve konferansedagen, hvor vi foruten Kindervag og Sandtrø henter råd fra 70 hackere, dykker ned i personvern og GDPR, og til og med hacker en katt.

—  Hacker en katt?

— Jepp. Jeg sier ikke mer. Sjekk programmet selv.

«… gode råd fra 70 hackere, personvern, GDPR, og hacking av en katt»

—  Om kvelden blir det middag med raspeballer med tilbehør, inkludert noe godt å drikke.

—  Så da gjenreises tilliten?

—  Absolutt!

Essensen i sikkerhet

—  Fortell mer om faggruppen og faget. Hva er essensen i IT-sikkerhetsfaget?

— Det er et vanskelig spørsmål å svare enkelt på. Det er så mye. En juridisk tilnærming er at det handler om å ivareta integritet, konfidensialitet, tilgjengelighet og personvern.

— Hvorfor eksisterer denne faggruppen?

— Faggruppen har en lang historie. Jeg er usikker på når gruppen ble etablert, men personlig har jeg vært i faggruppestyret siden 2011. Jeg tror kanskje historien går helt tilbake til 90-tallet. Det er en av faggruppene i Dataforeningen som har eksistert lenge og har hatt god aktivitet.

—  Hva gjør dere, foruten Sikkerhetssymposiet?

—  Vi arrangerer medlemsmøter og er et samlingspunkt for alle som har en interesse for IT-sikkerhet eller informasjonssikkerhet. I tillegg til DnD-medlemsmøter, arrangerer vi kurs og HackersPub, spennende foredrag og Capture The Flag.

Jolly Roger

—  Capture the Flag?

—  Ja, det er mest i tilknytning til symposiet. Det er en hacking-konkurranse hvor man får ulike oppgaver og poeng basert på hva man presterer.

Capture the flag

—  Det er vel et «Jolly Roger» piratflagg som premie da?

—  He-he, nei, det er faktisk bare et diplom.

—  Vi har også et tett samarbeid med sentrale myndigheter, og  andre medlemsorganisasjoner som ISACA, ISF og CSA. Dette bidrar til at vi kan samle deltakere med ulikt ansvarsnivå fra ulike bransjer. Informasjonssikkerhet er bransjeuavhengig. 

Råtten fisk

—  Hvordan jobber dere?

—  I begynnelsen av året samles styret for å planlegge årets aktiviteter. Ambisjonsnivået har variert fra år til år. Normalt har vi et par medlemsmøter på våren, parallelt jobber vi med programmet og aktivitetene rundt Sikkerhetssymposiet.

—  I tillegg arrangerer faggruppen et par medlemsmøter utover høsten og avslutter året med «Lutefisken». Da samles styret rundt en god porsjon råtten fisk og rikelig med god drikke.

«Da samles styret rundt en god porsjon råtten fisk og rikelig med god drikke. »

Tron E. Ingebrigtsen

—  Det sosiale er viktig for faggruppen. Våre medlemsmøter skal være en arena der sikkerhetsinteresserte kan møtes og utveksle erfaringer.

Gruppebilde faggruppen IT-sikkerhet
Faggruppen IT-sikkerhet i DND Vest. F.v.: Fritjof Øvrebø, KPMG; Anders Krøvel, Fylkesmennenes fellesadministrasjon; Tron Ingebrigtsen, Bergen kommune; Thomas Methlie, Sparebanken Vest; Oddbjørn Steffensen, EVRY; Koen Matthys, TG. Lars Tidemann Thorsen, EVRY var ikke tilstede da bildet ble tatt.

Sikkerhetsskolen

—  Det høres virkelig ut som dere har det moro på mange plan. Hvordan kan jeg involvere meg i denne faggruppen? Er det rom for flere?

—  Mye av styrets tid i dag går med til Sikkerhetssymposiet, så vi får dessverre for liten tid til de andre aktivitetene og planene vi har. Så ja, vi vil gjerne ha flere ildsjeler som kan hjelpe til med medlemsmøter. Vi planlegger også en serie sikkerhetsskurs i det vi kaller Sikkerhetsskolen. Alle gode krefter er velkomne til å bidra. Det er bare å ta kontakt.

—  Hva drømmer du om for denne faggruppen?

—  Månedlige møter med fullt hus og gode diskusjoner.  

I serien Ukens faggruppe presenterer vi en etter en av de pr i dag mer enn 60 faggruppene som utgjør mye av grunnfjellet i Den norske dataforening. Se andre artikler i serien her.

Publisert 24. september 2019, og sist oppdatert 24. september 2019.