Fredrik Grindland fra Bouvet Agder besøkte Norges Forskningsråd 17.oktober med foredraget Informasjonssikkerhet i en kompleks digital verden, i regi av nasjonal sikkerhetsmåned.
Haavinds eksperter innen personvern og digital vern presenterer her betydningen av å inkludere og tenke sikkerhet allerede i design- og utviklingsfasen av digitale løsninger.
Norwegian presentation on "the Internet of Things", held by Lawyers Leif Eirik Thrane and Kari Gimmingsrud at Haavind seminar June 11th.
For more details, please visit http://haavind.no/internetofthings
Les om «ansvar for datasikkerhet» hos det offentlige og private, særlig om ansvar for styret ved å forholde seg passive til «dataintegritet», ledere eller ansatte for brukerfeil, styreansvaret etter aksjeloven, oppsigelser arbeidsmiljøloven, data som formuesobjekt i lovgivningen, bruk av instrukser for datasikkerhet er ikke i seg selv nok mv. Kan man ansvarsfritt forholde seg til at virksomheten er under angrep?
GDPR gjør Europa til en foregangsverdensdel. Er UH-sektoren klar til å gripe ...Simen Sommerfeldt
Keynote til OsloMET sin personverndag: Litt om hvordan manglende tillit til aktørene hindrer oss i å oppnå bærekraft gjennom smarte byer. Selvfølgelig noe om GDPR, og hvordan personvern og sikkerhet gjør Europa til en foregangsverdensdel. Mine betraktninger om GDPR og endringsledelse. Selvfølgelig også noe om hvordan OsloMet kan spise videre på elefanten
Haavinds eksperter innen personvern og digital vern presenterer her betydningen av å inkludere og tenke sikkerhet allerede i design- og utviklingsfasen av digitale løsninger.
Norwegian presentation on "the Internet of Things", held by Lawyers Leif Eirik Thrane and Kari Gimmingsrud at Haavind seminar June 11th.
For more details, please visit http://haavind.no/internetofthings
Les om «ansvar for datasikkerhet» hos det offentlige og private, særlig om ansvar for styret ved å forholde seg passive til «dataintegritet», ledere eller ansatte for brukerfeil, styreansvaret etter aksjeloven, oppsigelser arbeidsmiljøloven, data som formuesobjekt i lovgivningen, bruk av instrukser for datasikkerhet er ikke i seg selv nok mv. Kan man ansvarsfritt forholde seg til at virksomheten er under angrep?
GDPR gjør Europa til en foregangsverdensdel. Er UH-sektoren klar til å gripe ...Simen Sommerfeldt
Keynote til OsloMET sin personverndag: Litt om hvordan manglende tillit til aktørene hindrer oss i å oppnå bærekraft gjennom smarte byer. Selvfølgelig noe om GDPR, og hvordan personvern og sikkerhet gjør Europa til en foregangsverdensdel. Mine betraktninger om GDPR og endringsledelse. Selvfølgelig også noe om hvordan OsloMet kan spise videre på elefanten
Jeg ble oppfordret til å dele inntrykkene og tankene til oss som sto bak oppropet om en mer personvern-vennlig Smittestopp-løsning til Normen-konferansen. Jeg opplevde at det harmonerte bra med uttalelsene fra Datatilsynet og FHI
58%
av de norske respondentene har vært utsatt for
cyberangrep i løpet av det siste året.
55%
av de norske respondentene har blitt utsatt for
utpressing (f.eks. ransomware) i løpet av de
siste 12 månedene.
66%
av de norske respondentene mener at de i
fremtiden må endre sine rutiner og prosedyrer
for å tilpasse seg EUs nye personvernforordning.
Personvernkommisjonen er oppnevnt av Regjeringen for å belyse de viktigste utfordringene og utviklingstrekkene av betydning for personvern og for å foreslå tiltak som kan forbedre personvernets stilling i Norge. Jeg ble invitert til å gi innspill til dem om teknologier som kan true personvernet, og hvilke strategier samfunnet kan ha
Hvordan du som gründer kan hente ut potensialet innenfor IoTSimen Sommerfeldt
Til Oslo Business Region sin Startup Day: Noen rammebetingelser som gjør at den store IoT drømmen kan la vente på seg. Men du som gründer kan tjene på dette!
Jeg ble oppfordret til å dele inntrykkene og tankene til oss som sto bak oppropet om en mer personvern-vennlig Smittestopp-løsning til Normen-konferansen. Jeg opplevde at det harmonerte bra med uttalelsene fra Datatilsynet og FHI
58%
av de norske respondentene har vært utsatt for
cyberangrep i løpet av det siste året.
55%
av de norske respondentene har blitt utsatt for
utpressing (f.eks. ransomware) i løpet av de
siste 12 månedene.
66%
av de norske respondentene mener at de i
fremtiden må endre sine rutiner og prosedyrer
for å tilpasse seg EUs nye personvernforordning.
Personvernkommisjonen er oppnevnt av Regjeringen for å belyse de viktigste utfordringene og utviklingstrekkene av betydning for personvern og for å foreslå tiltak som kan forbedre personvernets stilling i Norge. Jeg ble invitert til å gi innspill til dem om teknologier som kan true personvernet, og hvilke strategier samfunnet kan ha
Hvordan du som gründer kan hente ut potensialet innenfor IoTSimen Sommerfeldt
Til Oslo Business Region sin Startup Day: Noen rammebetingelser som gjør at den store IoT drømmen kan la vente på seg. Men du som gründer kan tjene på dette!
I august 2002 gikk det som ble Bouvet ut fra det svenskeide selskapet Cell Network. Vi ble uavhengige og har markert dette som vår bursdag siden den gang. Årlig feirer Bouvet bursdagen sin med å ta med alle, nå ca 1500 medarbeidere, på turer, som vi selv kaller Uavhengighetsturer. Bouvet i Bergen dro i den sammenheng i år på tur til Nice i Frankrike!
Sporveien - Mer kollektivtrafikk for pengeneBouvet ASA
Kollektivtransporten i Osloområdet øker langt over snittet i resten av Europa. Sporveiens mål er å være beste nordiske løsning på effektiv og miljøvennlig persontransport, med en visjon om å gjøre kollektivtrafikken til et naturlig og miljøvennlig førstevalg for innbyggerne uansett reiseårsak. For T-banen innebærer dette å omstille seg til høyere vognutnyttelse i form av hyppigere kjøring og kortere driftspauser for vognene.
Driv leverer systemløsninger som støtter verkstedet i å møte nye krav og jobbe mer effektivt. Driv jobber etter lean prosjektmetodikk og leverer posisjoneringssystem, integrasjoner, sanntidsinformasjon, og beslutningsstøtteverktøy blant annet basert på dataanalyse og maskinlæring.
Marius leder Digitalisering og Innovasjon i Sporveien. Han har lang erfaring som leder av tekniske enheter og som arkitekt av store systemer for data, analyse og CRM innenfor flere bransjer. Han er en teknologirealist som brenner for hvordan ny teknologi og data kan støtte mennesket i sin jobb.
Oslo GDPR meetup dec 2017: Marketing - what to do with it?Bouvet ASA
See stream at https://www.youtube.com/watch?v=nj5sX8WdTfQ
https://www.meetup.com/Oslo-GDPR-Meetup/
Agenda
Welcome (Nicholai Pfeiffer, Telenor)
About Oslo GDPR Meetup (Simen Sommerfeldt, Ekaterina Yurchenko)
GDPR and customer loyalty (Aleksander Aas, Oculos)
Samtykker i markedsføring (Jeppe Songe-Møller, Schjødt)
GDPR-implementering i FINN - compliance er ikke det mest krevende (Jens Hauglum)
Consent in Telenor (Tord Overå and Magdalena Góralczyk)
Consent, contracts and (user centric) controls (Walter Salicath, Circle K)
How will GDPR change performance marketing? (Tina Ertzeid Asla and Carl Christian Grøndahl, Bouvet)
1. Informasjonssikkerhet i en
kompleks digital verden
Foredragsdugnad Norges Forskningsråd 2019
Fredrik Grindland
Senior rådgiver/prosjektleder
Certified ISO 27005 Risk Manager
Bouvet Kristiansand
5. Cyber kriminelle er målrettede og godt organisert
Kilde: National Cyber Security Center
Organised Criminal Group online business model
6. Motivasjon Mål
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Mulige motivasjoner og mål for cyber angrep
Motivasjon Mål Informasjonssikkerhet begreper
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Konfidensialitet
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Integritet
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Tilgjengelighet
Motivasjon Mål Informasjonssikkerhet begreper
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Konfidensialitet
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Integritet
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Tilgjengelighet
Økonomisk gevinst
Finansiere kriminelle
Mer kriminell virksomhet
Motivasjon Mål Informasjonssikkerhet begreper
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Konfidensialitet
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Integritet
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Tilgjengelighet
Økonomisk gevinst
Finansiere kriminelle
Mer kriminell virksomhet Verdier
7. Betale eller ikke betale?
Løsepenger finansierer kriminelle
og kriminelle virksomheter
8.
9. Forenklet modell av virksomhetens digitale økosystem
Virksomhetens
IT-systemer
Leverandører
og deres
IT-systemer
Kunder/innbyggere
og deres IT-systemer
Brukere i egne lokaler
Brukere utenfor egne lokaler
Strøm
Nettverk
Vanskelig å
påvirke
Vanskelig å
påvirke
Verdikjede
perspektivet
Bruker
perspektivet
Mulig å påvirke
10. Økt kompleksitet gir flere flater som kan ødelegges
Virksomhetens
IT-systemer
Leverandører Kunder
Brukere på reise
Brukere i egne lokaler
Strøm
Nettverk
11. - og gir flere angrepsflater for kriminelle
Virksomhetens
IT-systemer
Leverandører Kunder
Brukere på reise
Brukere i egne lokaler
Strøm
Nettverk
12. To keep the nose in trim, Boeing designed software called the Maneuvering Characteristics Augmentation System,
or MCAS. When a sensor on the fuselage detects that the nose is too high, MCAS automatically pushes the nose
down.
Investigators in the Lion Air crash have said that a fault in the sensor may have been feeding incorrect data to
MCAS, pitching the nose down into a dive.
Konsekvens av uønskede IKT hendelser
er avhengig av perspektiv og situasjon
13. o Sikkerhetsloven
o personopplysningsloven
o helseregisterloven
o pasientjournalloven
o helseberedskapsloven
o lov om elektroniske tillitstjenester
o forvaltningsloven
o sivilbeskyttelsesloven
o aksjelovene
o arkivloven
o bokføringsloven
Mange lover og forskrifter stiller krav til informasjonssikkerhet
Kilde: Digi.no, Advokat Kristian Foss, og Advokatfullmektig Anders A Christie Bull & Co Advokatfirma,
o IKT-forskriften (hjemlet i betalingssystem-
loven, børsloven og finanstilsynsloven).
o Beredskapsforskriften
o eForvaltningsforskriften
o ekomloven med forskrifter
o forskrift om IKT-standarder i helse- og
omsorgstjenesten helsetilsynsloven
o avtalebestemmelser
o Helsenormen (norm for
informasjonssikkerhet i helse og
omsorgssektoren)
14. Ledelsens overordnede ansvar for informasjonssikkerheten
Risikovurdering
og risiko-
håndtering
Overvåking og
hendelses-
håndtering
Leverandører
og kunder
Beredskap og
øvelser
Kompetanse-
og
kulturutvikling
Ledelsens
gjennomgang
Sikkerhetspolicy
15. o Teknisk gjeld og oppdatert software
o Sikker autentiseringsløsning
o Innebygde sikkerhetsmekanismer
Informasjonssikkerhets tiltak i IKT-plattformen
17. o Teknisk gjeld
o Sikker autentiseringsløsning
o Innebygde sikkerhetsmekanismer
o Logging og proaktiv overvåking
o Offline sikkerhetskopier
Informasjonssikkerhets tiltak i IKT-plattformen
18. o Samme krav til informasjonssikkerhet
o Databehandleravtale
o Rapportere uønskede hendelser
o Risikovurderinger
o Behovsstyrte tilganger
Informasjonssikkerhetstiltak i verdikjede perspektivet
20. Gjør brukerne i stand til å unngå sikkerhetshendelser
o Rekruttering
o Sikkerhetsopplæring
o Informasjonssikkerhets rutiner
o Tilgang og rettigheter som rollen krever
21. Segmentering og effektiv tilgangsstyring
Tillit?
Segmenter
IKT-plattformen
Fler faktor
bruker
autentisering
Utstyrs
autentisering
Begrens
tilganger
Begrens
rettigheter
Logging og
proaktiv
overvåking
26. Det snakkes mye om at vi mangler
informasjonssikkerhets kompetanse
Det er ikke bare sikkerhetseksperter som har
ansvar for informasjonssikkerheten
27. Å redusere sikkerhetsrisikoer krever
kompetanse, bevissthet og motivasjon
Sikkerhetsledelse og
organisering
Risiko- og sikkerhetsstyring
Styringssystem for
digital sikkerhet
Innebygget
personvern og
informasjonssikkerhet
Hendelses- og
beredskapsarbeid
Helhetlig IKT-sikkerhetsarkitektur
Etterlevelse av lover, regelverk og avtaler innen personvern og informasjonssikkerhet
Sikkerhetskultur og -
opplæring
Risikoanalyse
(ROS-analyse)