Sikkerhetssymposiet 2022 Informasjonssikkerhet har aldri vært viktigere

Fjoråret var et spektakulært år med tanke på IT-sikkerhet. Angrepene mot Østre Toten kommune og Stortinget gjorde oss alle oppmerksomme på cybertruslene norske virksomheter står overfor. Bølgen av løsepengevirus-angrep mot både offentlige og private virksomheter viste oss at IT-sikkerhet angår alle, og kan få katastrofale følger om den ikke tas på alvor.

Nå samler Dataforeningen flere av landets ledende sikkerhetseksperter for å belyse hvordan noen av de største angrepene ble gjennomført og hvordan vi kan unngå at det skjer igjen.

Blant foredragsholderne finner vi Simen Sommerfeldt i Bouvet, Frode Rein fra Stortinget, Koen Fosse Matthys i Transcendent Group, Helge Skrivervik i Mayday.com, Erlend Dyrnes i Sbanken, Monica Wendleby i Passacon AB, Ole Magnus Stensrud i Østre Toten kommune, Eirik Gulbrandsen i Datatilsynet, Terje Vernholt i  Netsecurity og flere andre.

– Det er flere store sikkerhetskonferanser i Oslo og andre byer, men vi ønsker å lage en felles møteplass for sikkerhet i Bergen. Byen har flere sikkerhetsmiljøer, blant annet innen innen bank- og finans, men dette er forholdsvis lukkede miljøer. I staten har vi koblinger til HelseCERT og NorCERT, men vi trenger en åpen plass hvor vi kan dele erfaringer på tvers av bransjer. Dette er bakgrunnen for at vi nå arrangerer Sikkerhetssymposiet i Bergen for det niende året på rad, sier Andreas Krøvel, medlem i programkomiteen og seniorrådgiver i Statsforvalterens fellestjenester.

Meld deg på Sikkerhetssymposiet 2022 11. mai på Radisson Blu Royal Hotel i Bergen.

Belyser aktuelle problemstillinger

Sikkerhetssymposiet har tidligere belyst informasjonssikkerhet og relevant lovverk rettet mot ledere. Også i år retter konferansen søkelyset mot IT-sikkerhet, personvern og GDPR, men i en større sammenheng.

– Tidligere år har vi hatt både høyt faglig og tekniske nivå, med gjennomgang av kode og konfigurasjonsanbefalinger. I år har vi et spor på personvern og et mer teknisk spor, men vi er ikke på kodenivå som tidligere år. Deltakerne på årets konferanse vil få innsikt i en rekke problemstillinger rundt GDPR og sikkerhetshendelser som har skjedd den siste tiden.

– Jeg gleder meg spesielt til politiets presentasjon av Operasjon Dark Room, og hvordan politiets kompetanse og internasjonale nettverk bidro til at de avslørte en av landets groveste kriminelle nettverk, avslutter Krøvel.

Fra trussel til konsekvens

Tron Ingebrigtsen, IT-sikkerhetsansvarlig i Frende Forsikring og leder av Dataforeningens faggruppe for IT-sikkerhet, har vært sentral i symposiets mangeårige historie.

– Teknologien er under stadig endring og utvikler seg fort, men de grunnleggende prinsippene for informasjonssikkerhet gjelder fortsatt. Det er viktig at man forstår trusselbildet og demmer opp med gode risikoreduserende tiltak for å forebygge misbruk av egne sårbarheter. Det handler med andre ord om prioriteringer, risikoappetitt og hvordan man kalkulerer risiko. Samtidig ser vi i forsikringsbransjen en betydelig vekst i salget av cyberforsikring, sier Ingebrigtsen.

Han forteller at norske virksomheter angripes daglig, og at angrepene øker både i kompleksitet og omfang.

– Vi som jobber operativt ser angrepene i våre overvåkningssystemer. Hvem som helst kan bli offer for neste angrep, og kanskje har det allerede skjedd uten at man vet om det. Ofte er det bare et spørsmål om hva man kan presses til å gjøre for å komme ut av uføret, sier han.

Tema for årets konferanse er «Fra trussel til konsekvens» og skal belyse hele prosessen fra et angrep begynner til hvordan man kan komme seg ut av det.

– Vi har satt sammen et spennende program med foredrag som følger hendelsesforløpet gjennom ulike faser. Konferansen vil belyse dagens trusselbilde, hvordan man kan jobbe med forebyggende tiltak, hva man kan gjøre når det smeller, hvordan man kan begrense skadeomfanget, og hva konsekvensene blir på slutten av dagen når man har gjort det man kan for å rydde opp. Deltakerne vil være på ulike nivåer, men alle skal sitte igjen med økt bevissthet og noe de kan bruke for å løfte sikkerheten i egen virksomhet, avslutter Ingebrigtsen.

Gjorde GDPR til levebrød

Rie Aleksandra Walle, en av foredragsholderne, er brennende opptatt av GDPR og personvern. Hun er gründeren bak Bedre Bedrift og jobber som personvernombud for flere amerikanske selskaper og gjesteunderviser ved Fagskolen Kristiania og BI. Rie har fra tidligere over 15 års erfaring med program- og prosjektledelse, forretningsutvikling og strategi i Norge, Norden og Midtøsten.

– GDPR er for så vidt ikke noe nytt, men inneholder stort sett de samme reglene som kom med personopplysningsloven fra år 2000. Det er oppmerksomheten som har kommet i kjølvannet av innføringen av GDPR og medienes dekning som har gjort at mange ser på det som noe nytt, sier Walle.

Selv om GDPR ikke medfører rapporteringsplikt på personvern, anbefaler hun alle virksomheter å ha en bevisst tilnærming til håndtering av personopplysninger.

– Tidligere hadde man meldeplikt og konsesjonsregler for behandling av personopplysninger, men det bortfalt med GDPR. Om du ser på artikkel fem i personvernforordningen som går på ansvarlighet, skal allikevel alle virksomheter være i stand til å påvise etterlevelse. Dette er ikke en rapporteringsplikt, men kommer Datatilsynet på besøk må man kunne vise at man etterlever regelverket i form av dokumentasjon og personvernerklæringer, sier Walle.

Hun har sett hvordan omstillingen har vært enorm for veldig mange, men at kravene ikke er nye.

– GDPR kom for mange som et sjokk, både i offentlig og privat sektor. Det henger nok sammen med nivået på bøtene som er blitt omtalt i media. Bøter på opptil 20 millioner euro eller fire prosent av den globale omsetningen til en virksomhet kan høres enormt ut, men det er allikevel veldig få tilfeller hvor vi har sett bøter på den størrelsen. Jeg tror man kan si at GDPR ble en mediayngling på grunn av størrelsene på mulige bøter.

– Samtidig har vi sett at Datatilsynet her en rekke vedtak og har delt ut flere gebyrer. Det vekker også oppmerksomhet i media, sier hun.

Bygget internasjonale ekspertise på GDPR

Walle jobber som blant annet som eksternt personvernombud for større virksomheter og tilbyr e-læring for enkeltpersonsforetak.

– Når jeg startet var fokus på små virksomheter, men i dag jobber jeg nesten utelukkende i utlandet, deriblant Tyskland, Sverige, Canada, men aller mest i USA. Selv om jeg fortsatt ønsker å bidra til at de minste får til GDPR, er det nok de mer komplekse personvernproblemstillingene jeg synes er mest utfordrende – og gøy å jobbe med.

– Jeg tror jeg er en av de få i verden som synes det er utrolig fascinerende å lese vedtakene fra Datatilsynet. Interessen min har også ført til at jeg bidrar som frivillig i NOYB, organisasjonen til Max Schrems, kanskje en av de mest berømte innen personvern i verden. Han er kjent for både Schrems I og II, som gjør overføring av personopplysninger til USA svært vanskelig, sier hun.

Vil lære av Datatilsynet

På Sikkerhetssymposiet skal Walle fortelle om kjennetegn på vedtakene fra Datatilsynet og hva norske virksomheter kan lære av dem for å være i forkant.

– Jeg skal snakke om mine erfaringer fra å ha lest de fleste vedtakene fra Datatilsynet siden GDPR trådte i kraft, hva de typisk vektlegger når de er på tilsyn og hvilke grep man kan ta for å være forberedt. Og, selvfølgelig, bør ikke det være hovedmotivasjonen for å jobbe med personvern – det gjør vi uansett.

– Jeg gleder meg veldig til å treffe andre som brenner for personvern og sikkerhet og ser frem til alle innleggene. Jeg tror dette kommer til å bli en spennende konferanse for alle som er opptatt av personvern og sikkerhet. Det blir det ekstra hyggelig å endelig kunne treffes fysisk igjen, avslutter Walle.