Sikkerhet og Sårbarhet 2007 -når ALT går galt 8. - 9. mai Radisson SAS Royal Garden Hotel i Trondheim
Sikkerhet og Sårbarhet 2007 NÅR ALT GÅR GALT! Som lyn fra klar himmel, sier vi og forklarer oss bort fra alvorlige hendelser. Årets nasjonale sikkerhetskonferanse i Trondheim vil handle om beredskap og om uønskede hendelser vi burde ha forutsett. Og ikke minst, hvordan bør krisen håndteres? I etterpåklokskapens klare lys er det lett å se hva som kunne vært gjort annerledes. Hvordan drar vi nytte av denne lærdommen? Konferansen Sikkerhet og sårbarhet bidrar til kloke teknologivalg og bevisst ledelse. Velkommen til Trondheim 8. og 9. mai! Programkomité: Maria B. Line, SINTEF Lillian Røstad, NTNU Bjarte Aksnes, KITH Rolf Sture Normann, Abeo Bjørn Larsen, Arbeidstilsynet Terje Storvik, SINTEF Arild Smolan, Næringsforeningen i Trondheim Hans Marius Tessem, NorSIS Sissel Kolvik, Dataforeningen Trøndelag Britt Wang, Dataforeningen Trøndelag
PROGRAMOVERSIKT Tirsdag 8. mai Ordstyrer: Bjørn Larsen, Arbeidstilsynet 10.00 10.15 Åpning av konferansen Maria B. Line, SINTEF, Leder av programkomitéen 2007 10.15 10.45 Digital kriminalitet André Årnes, Ph.D. Senioringeniør, Datakrimavdelingen, Kripos Internett og elektroniske medier er sentrale i det totale kriminalitetsbildet, hvor samfunnskritiske tjenester kan rammes hardt. Offentlige og private virksomheter utfordres av et komplisert trusselbilde og må bygge opp en beredskap for hendelseshåndtering og håndtering av elektroniske spor. Hvordan inkluderer man politiet i dette arbeidet, og hvilke problemstillinger og trender ser de? 10.45 11.30 Trusselbildet anno 2007 Sikkerhetskultur tilpasset et IKT-trusselbilde i endring Tore Larsen Orderløkken, Leder, Norsk senter for informasjonssikring (NorSIS) Einar Oftedal, Seksjonsleder, NorCERT NorCERT og NorSIS er en del av den helhetlige satsingen på informasjonssikkerhet i Norge. Dette foredraget gir et innblikk i det trusselbildet vi står overfor og hvilke sikkerhetstiltak som bør iverksettes for å unngå sikkerhetshendelser. Foredraget gir også et innblikk i hvor viktig det er å bygge en god sikkerhetskultur. 11.30 12.00 Pause 12.00 12.30 Ny Nasjonal strategi for informasjonssikkerhet Frank Robert Berg, Tilsynsrådgiver, Ansvarlig for IT-tilsynet i Kredittilsynet I juni 2003 fikk Norge sin første Nasjonal strategi for informasjonssikkerhet. Høsten 2006 ble en arbeidsgruppe nedsatt for å utforme en ny strategi, som reflekterer endringene i trusselbildet vi står overfor i dag. I foredraget vil den nye Nasjonal strategi for informasjonssikkerhet bli presentert. 12.30 13.30 Lunsj Ordstyrer: Bjarte Aksnes, KITH 13.30 14.00 20.06.2006 Da nettet raknet Inger Williams, Konstituert sjefslege, St. Olavs Hospital IT-infrastrukturen på St. Olavs Hospital brøt sammen. Hva skjedde, og hvordan ble det håndtert? 14.00 14.30 Dagen derpå Tore Indreråk, IKT-sjef, Helsebygg Midt-Norge Hva bør vi lære av hendelsen på St. Olavs Hospital? For mange avanserte kokker, feil oppskrift eller hva? 14.00 15.00 Pause 15.00 15.30 Bekjempelse av datakriminalitet operativt og forebyggende arbeid Thorbjørn Ellefsen, Seniorrådgiver sikkerhet, Ementor Er datakriminalitet virkelig en trussel mot samfunnet? Skjer det noe der ute som skader offentlig og privat virksomhet? Hva skjer på innsiden av nettet vårt? Har vi oversikt over innholdet på servere og klienter? Har vi oversikt over nettverkstrafikken? Hva gjør de ansatte i virksomheten når de er koblet opp i nett på jobb, hjemme, på reise? 15.30 16.00 Når strømnettet bryter sammen Håkon Borgen, Konserndirektør Nettstyring, Statnett Stort sett all virksomhet er avhengig av strøm. Statnett har en sentral rolle i den norske strømforsyningen. Men hvor sikre er egentlig strømleveransene i Norge? Presseoppslagene er mange rundt aldrende og tungt belastede overføringsnett, potensielle regionale kraftkriser, krafteksport og kraftunderskudd. Har vi det riktige bildet av risiko og konsekvenser? Hva kan utløse en kraftkrise i Norge, og hvordan er vi forberedt? Hvilke forholdsregler kan og bør norske bedrifter iverksette? 16.00 16.20 Pause
16.20 16.50 Orkanen Katarina hvor forberedt kan man være? BCP og DRS to sider av samme sak! John A. Johansen, Sikkerhetssjef/CSO, Buypass AS, Styreleder IT-SikkerhetsForum (ISF) De fleste bedrifter har etter hvert gode backupløsninger og kriseplaner for gjenoppbygging av IT-systemene. Men ikke alle har planer for hvordan man får hele butikken på bena igjen. Wallenius Wilhelmsen Logistics (WWL) har over lengre tid jobbet strategisk med å få begge komponentene på plass, både på IT- og forretningssiden. Foredragsholderen er tidligere sikkerhetssjef i WWL. 17.10 18.00 Aperitiff før sosialt arrangement 18.00 Avreise sosialt arrangement Onsdag 9. mai Ordstyrer: Terje Storvik, SINTEF 9.00 9.30 Uflaks kan vi alle ha... Øyvind Nyland, Avdelingsleder, Ibas AS Vi fikser det etterpå. Kunne du fikset det før? Eksempler fra uheldige bedrifter. Parallelle sesjoner Ordstyrer: Terje Storvik, SINTEF 9.30 10.00 Viktig melding lytt på radio Marte Radmann, IKT-sikkerhetskoordinator, NRK NRK har et samfunnsansvar for å holde befolkningen informert alltid. Men for at sendingen skal komme på lufta, er det en rekke komplekse systemer som må fungere. NRK vil fortelle om hvordan de jobber for å forhindre tause radioer og svarte skjermer, og hva de gjør når krisen har oppstått. 10.00 10.30 Hvordan trygge internasjonal virksomhet ved uro og kriser? Henrik Seip, Manager Business Continuity, Group Risk, Telenor ASA 2004: Oransjerevolusjonen i Ukraina. 2005: Jordskjelvet i Pakistan. 2006: Karikaturstriden i flere muslimske land, statskuppet i Thailand. 2007: Opptøyer og unntakstilstand i Bangladesh. Telenors internasjonale markeder har vært preget av voldsomme og i mange tilfeller uventede hendelser. Hvordan kan man sørge for at organisasjonen kan manøvrere trygt gjennom slike episoder? Ordstyrer: Hans Marius Tessem, NorSIS E-post, bedriftens største arkiv-kaos? Per Brose, Direktør Konsulentavdelingen, Proact IT Norge AS Benytter du arbeidsgivers epost-system som både privat og jobbmessig arkiv? Bedriftsøkonomiske vurderinger og myndighetenes krav tvinger frem behovet for å få kontroll med bedriftsmessig e-post dvs. automatikk i lagring og gjenfinning. Er det kryssende interesser her, og er det noen vei rundt det? Akademisk frihet en utfordring for sikkerheten? Arild Nybraaten, IT-sikkerhetskoordinator, NTNU 15000 brukere; noen innovative, noen lærevillige, noen lydige og noen likegyldige. Et nett for en kultur som har åpenhet og akademisk frihet som mantra. Hvilke utfordringer gir det, og hvorfor går det så bra som det gjør? 10.30 11.00 Pause 11.00 11.30 Sikkerhetsarbeidet i fusjon og forretningsutvikling erfaringer fra DnB NOR. Tom Nilsen, Senior IT-sikkerhetskonsulent, IT-Sikkerhetsseksjonen i DnB NOR Fusjon mellom likeverdige partnere skaper utfordringer og gir muligheter. Å opprettholde et fornuftig sikkerhetsnivå i en slik prosess krever en blanding av pragmatisme og avtalte spilleregler. Erfaringene fra sikkerhetsprogrammet blir nå videreført i DnB NORs vanlige og dynamiske forretningsutvikling. Hva skal til for å ta kontroll over og beskytte klientene? Christian Sandberg, Sikkerhetskonsulent, Check Point Software Technologies Det brukes ofte mye ressurser på å beskytte servere men er man like flink til å beskytte klientene? Hva er klientene mest sårbare for? Hvilke teknologier finnes, og hva beskytter de mot?
11.30 12.00 Risikoanalyser i Statoil: fra teori til praksis Øyvind Davidsen, IT-sikringsleder, Statoil Ingen vil betale for 100% sikkerhet! Sikring koster hvordan får man organisasjonen til å forplikte seg? ITIL og informasjonssikkerhet Bjørn A. Tveøy, Sjefskonsulent, Ementor ITIL (Information Technology Infrastructure Library) er et rammeverk som tar mål av seg til å beskrive god praksis for arbeid med informasjonsteknologi. Foredraget tar for seg informasjonssikkerhetens plass i ITIL og belyser særlig bruk av risikovurderinger av IT-infrastruktur, basert på erfaring fra offentlig forvaltning og privat næringsliv. 12.00 12.30 Kravet om 24/7/365 Ellef Mørk, IKT-sikkerhetsleder, Akershus Universitetssykehus IKT-systemene har gått fra å være støttesystemer til å bli driftskritiske systemer som er integrert i hoveddelen av helseforetakets funksjoner. Dette stiller krav til tilgjengelighet 24 timer i døgnet, 7 dager i uken og 365 dager i året. I foredraget vil jeg trekke frem våre erfaringer ved Ahus i arbeidet med kontinuitetsplaner. Hvilke utfordringer møtte vi i IKT-avdelingen, blant kunder/brukere og leverandører? Med sikkerhetsblikk på segmentering og virtualisering Øyvind Mathiesen, Sjefskonsulent, mnemonic AS Segmentering av nettverket og virtualisering av brannmurer, er det buzzwords eller virkelighet? Dette medfører oftest endring og ny teknologi, vinner man nok med en slik endring? Hva bør segmenteres og virtualiseres og hvordan? Hva kan man oppnå med segmentering og virtualisering? Hva slags sikkerhetstjenester kan virtualiseres og hvordan? 12.30 13.30 Lunsj Ordstyrer: Rolf Sture Normann, Abeo 13.30 14.15 Tenke det, ønske det, ville det med men gjøre det... Morten Brandt, Konsulent, EuroBusiness School Hvorfor gjør man ikke det man innerst inne vet er riktig? Fargerikt og underholdende om motivasjon! 14.15 14.45 Grunnleggende sikkerhet for SMB: de 10 viktigste tingene du bør gjøre Stein A. J. Møllerhaug, Sikkerhetsrådgiver, Watchcom Security Group IT-sikkerhet er omfattende. Hvordan skal man ta tak i emnet uten å miste oversikten? En risikoanalyse gir det beste utgangspunktet, men erfaringer viser at det uansett utfallet av analysen er ti gjennomgående feil som er årsaken til de fleste problemene. Foredraget tar for seg disse ti feilene og hvordan en liten eller mellomstor virksomhet kan ta tak i dem. 14.45 15.15 Det er ikke krisens årsak du dømmes etter; det er hvordan du håndterer den. Synnøve Farstad, Partner, Kommunikasjon og Omstilling En krise skal håndteres, både praktisk og rent kommunikasjonsmessig. Gang på gang ser vi at det ikke alltid er selve utgangspunktet, men håndteringen av en sak, som avgjør om den går over eller utvikler seg til en krise. Måten en leder eller en virksomhet opptrer på kan være avgjørende for om saken forsvinner fra førstesidene, eller om håndteringen av den sørger for at den blir værende der med forsterket kraft. Det handler vel så mye om tillit. Både for den enkelte leder og for virksomheten er tillit helt avgjørende for å få respekt og ha et handlingsrom. 15.15 15.30 Avslutning Maria B. Line, SINTEF, Formann programkomitéen 2008
Praktiske opplysninger om når alt går galt Påmelding Konferanseprogrammet kan også hentes på Dataforeningens aktivitetskalender på nettet. Påmelding kan skje via e-post til trondelag@dataforeningen.no eller via nettet på www.dataforeningen.no/kalender Påmeldingen må være Dataforeningen Trøndelag i hende innen 16. april 2007. Vi tar imot påmeldinger etter denne dato, men kan da ikke garantere at det er ledig hotellrom på konferansehotellet. Hotell Konferansen holdes på Radisson SAS Royal Garden Hotel i Trondheim. Enkeltrom: kr 1125 pr. rom pr. natt Dobbeltrom: kr 1325 pr. rom pr. natt Prisen inkluderer frokostbuffet. Deltagerne ordner med hotellrom selv. Oppgi konferansenavnet ved bestilling for rabattert pris. Deltageravgift For medlemmer av Dataforeningen kr 5.800,- For ikke-medlemmer kr 6.700,- Sosialt arrangement tirsdag kveld er inkludert i prisen. Avbestilling Ved avbestilling/forfall før påmeldingsfristens utløp, refunderes deltageravgiften fratrukket et gebyr på kr 500. Ved uteblivelse eller ved avbestilling senere enn 16. april, refunderes ikke deltageravgiften. Hvis ønskelig kan annen deltager møte i stedet. Ved eventuelle spørsmål, ta kontakt med: Dataforeningen Trøndelag, Beddingen 8, 7014 Trondheim, tlf: 73 92 45 50, faks: 73 92 45 51, e-post: trondelag@dataforeningen.no Velkommen til Trondheim 8. og 9. mai! Samarbeidspar tnere: Design og trykk: NetPrint Oslo AS