Program Certezza Säkerhetsdagen 2024

08:00 – Dörrarna öppnas på Oscarsteatern – Välkomna!

08:00 – 09:00 Registrering och frukost

 

AKT 1 – 09:00 – 10:30 Regleringen från EU

Jonny och Thomas önskar alla välkomna!

Omognad i rättsväsendet – Skådespelet
Regleringen ställer krav på en mognad även i rättsväsendet. Farsen kring e-underskrifter oroar. Som tidigare utlovats utspelas farsen på Oscars stora scen och ni är med på premiären!

Omognad i rättväsendet – Efterspelet
Vad hände sen? Intervju med en av huvudrollsinnehavarna.

Från oreglerat till reglerat. 
AI-akten, Dataakten, DORA, eIDAS, GDPR, NIS2 mfl bestämmer i allt högre grad agendan för informations- och cybersäkerheten. I detta pass gör vi en genomflygning kring de regelverk som har påverkan på de ämnen vi belyser på årets Säkerhetsdag.

Lagstiftarens kluvna tunga med mobilen mot örat
Å ena sidan stiftas lagar som reglerar våra fri och rättigheter, å andra sidan tillåts att rättsvårdande använder verktyg som har behov av orapporterade sårbarheter för sin existens. Sårbarheter som i de flesta andra sammanhang rapporteras för att undvika att de nyttjas för oegentligheter. En svår balansgång där frågan är om det ens går att balansera på den tunna eggen. Vad är egentligen vägen fram?

Det finns inga genvägar till det perfekta säkerhetsskyddsarbetet
Vi har nu levt med den nya säkerhetsskyddslagen några år. Vad har den inneburit för myndigheter, kommuner, kommunförbund och privata aktörer? Vilka har tagit den största smällen och varför? Vi har sammanställt myndigheternas arbete och avgöranden från domstol – så att du ska slippa. Efter detta pass kommer du ha ammunition att väcka din ledningsgrupp för det viktiga arbetet för Sveriges säkerhet som vi alla måste vara medvetna om i dessa tider..

FIKA 10:30 – 11:00 i Spegelsalen

 

AKT 2 – 11.00 – 12:30 AI på allas läppar

Från banbrytande AI-forskning till patientnytta
Stratipath använder AI för att bedöma risken för återfall hos bröstcancerpatienter. Stratipaths VD Fredrik Wetterhall berättar om vägen från banbrytande forskning på Karolinska Institutet till en lösning i kliniskt bruk, och den patientnytta det kan medföra.

AI-akten vs övrig reglering
Ofta hamnar regleringen på efterkälken när samhället utvecklas och omdanas. På förra årets Säkerhetsdag konstaterade vi att EU trots allt har varit oväntat snabba på att reglera AI genom AI-akten. I takt med att vi ser allt fler praktiska tillämpningar väcks också frågan hur AI-akten förhåller sig till annan reglering av informations- och cybersäkerheten som DORA, eIDAS, GDPR och NIS2?

Anonymisering åter i fokus?
Givet att information som kan vara skyddsvärd används för att realisera en AI-lösning väcks nygamla frågor. Inte sällan har informationssäkerhet fått stå tillbaka en kortare tid för varje ny hype som moln, byod, bigdata med flera. Varje hype har också lett fram till nya säkerhetsåtgärder, ibland av nygammal karaktär där anonymisering är ett exempel. Samtidigt kan en ny hype också lyfta fram ny säkerhetsåtgärder som exempelvis syntetisk data. Vad är behovet och vad är en tillräcklig säkerhetsåtgärd?

Vem är du? Vem är jag?
I takt med realisering av AI-lösningen väcks också identitets- och behörighetsfrågan.  Hur går utfärdandet av en e-legitimation till för en AI-agent? Hur vet vi att AI-agenten är den den utger sig för att vara i samband med utfärdandet? Vad är det för typ av e-legitimation som AI-agenten kan vända och vad innehåller den för information? Frågorna som väcks är många!

LUNCH 12:30 – 13:30 i Spegelsalen

 

AKT 3 – 13:30 – 15:00 Robust infrastruktur

Brister i den interna säkerhet
Vårt pentestteam inleder traditionsenligt akten efter lunch och visar genom ”livehack” på vad som är typiska brister i den interna säkerheten.  De efterföljande passen kommer sedan visa hur sårbarheterna kan elimineras.

Vad är lagstiftarens krav på robust infrastruktur?
Givet att även lagstiftaren har högt ställda krav på en robust infrastruktur visar vi i detta pass på den reglering som finns på området och vad den uttrycker.

Vad är vägen fram för att bygga robustare it-infrastruktur?
En av våra cybersäkerhetsexperter lyfter fram viktiga säkerhetsåtgärder för att minimera sårbarheterna i den interna infrastrukturen och ger förslag på hur man gör det mer robust.

Går det att plåstra om undermålig PKI?
Flera av de sårbarheter som gör angrepp möjliga till andra delar av infrastrukturen härrör till undermåliga PKI:er. Antalet PKI:er som installerats genom next-next-next-metoden är allt för många vilket innebär att detta är en reell sårbarhet även i ett större perspektiv. Är det ens möjligt att plåstra om en befintlig PKI och renovera nycklarna? Är det bättre att bygga om och samtidigt göra den mer framtidssäker? Eller är framtiden inte riktigt redo?

Mobilen det ständiga orosmolnet?
Trots alla ansträngningar som görs för att förbättra cybersäkerheten så hänger inte alltid mobilsäkerheten med. En sådan enkel tillämpning som synkronisering av e-post kan innebära att kontouppgifter återfinns i mobilen som i sin tur kan vara vägen in till den egna organisationen. Tillämpningar som sägs vara end-to-end krypterade är inte långt lika krypterade i mobilen. Ambitionsnivån borde väl bättre harmonisera med organisationens krav på informations- och cybersäkerhet, eller?

FIKA 15:00 – 15:30 i Spegelsalen

 

AKT 4 – 15:30 – 17:00 Digital tillit

Vad är lagstiftarens och ramverkens krav på tillit?
Givet att även lagstiftaren har högt ställda krav på digital tillit visar vi i detta pass på den reglering som finns på området och vad den uttrycker. Vi gör också nedslag i de ramverk till tillitskraven ibland konkretiseras, men inte alltid. Tenderar tillit att bli en bedömningssport?

Ännu fler typer av betrodda tjänster, eller?
Uppdatering av eIDAS-förordningen innebär att dörren öppnas för fler betrodda tjänster där kanske EU:s digitala plånbok (EUDI) är den som fått mest uppmärksamhet. Vilka är det övriga betrodda tjänsterna, och vad är egentligen en betrodd tjänst i praktiken. I Sverige har det hittills varit tjänster mest i teorin. Vad innebär det i praktiken?

Är mobilen en bra bärare av e-legitimationer?
Vi har i tidigare akter lyft fram det faktum att mobilen kan vara en oroshärd. Det gäller även mobilen som bärare av en e-legitimation. Det krävs en hel del för att mobilen ska bli en godkänd bärare av en Svensk E-legitimation i enlighet med DIGG:s tillitsramverk.

Feodalismen nu en del av federationen?
Även om drömmen är ett ekosystem för identitet och behörighet i form av den öppna och inkluderade federationen så finns det feodala sammanhang likt Microsofts Entra ID som också måste inkluderas. Vi visar kort hur en inloggning med en godkänd e-legitimation via en intygsutfärdare (IdP) kan integreras med Entra ID som ett exempel på en långt hängande frukt.

PAM den kanske allra viktigaste IAM-komponenten!
I takt med att tillitskedjor realiseras mellan PKI, e-legitimationer, kataloger, intygsutfärdare (IdP), auktorisationstjänster, e-tjänster med mera ställs höga krav på den sammanhållande tillitskedjan. Åtkomst till alla dessa vitala komponenter i tillitskedjan icke att förglömma!

Avslutning

17:00 Mingel i guldfoajen

17:30 –  17:45 Bussar till S/S Strömma Stockholm avgår utanför Oscarsteatern*

18:00 – 22:30 Mingel och middag på S/S Strömma Stockholm*

Vi ser fram mot att träffa er den 3 december på Oscars. Anmälan görs HÄR.

*för de som anmält sig till avslut och traditionellt julbord.
PS Vi arbetar med programmet in i det sista och det kan förekomma förändringar.