På Svanemøllens Kaserne hos forsvarsakademiets Institut for Militær Teknologi i København havde DigitalLead arrangeret en to dages workshop med fokus på cybersikkerhed. Workshoppen var finansieret af Center for Cybersikkerhed og var den første ud af to workshops – 26. marts afholdes workshoppen nemlig også i Aarhus.
Den første dag var delt op i to separate spor, hvor det første spor fokuserede på de strategiske aspekter af cybersikkerhed, som for eksempel NIS2 og Cyber Resilience Act. Det andet spor havde en mere praktisk tilgang, hvor der var fokus på at udforske tekniske løsninger og metoder, der kan sikre ens virksomhed eller organisation.
På det strategiske spor var der både oplægsholdere fra universiteter og erhvervslivet. Blandt andet gav Jens Myrup Pedersen, der er professor på Aalborg Universitet og landstræner for det danske cyberlandshold, en generel introduktion til cybersikkerhed, mens Dea Sølbæk Lillelund fra Implement Consulting Group holdt et oplæg om vigtigheden af dialog og afstemning af forventninger mellem organisatoriske roller og hierarkiske lag i forbindelse i forhold til cybersikkerhed.
”Det er vigtigt, at cybersikkerhed er noget som hele organisationen forstår er vigtigt”
Jan Lemnitzer, der er assistant professor ved Instituttet for Digitalisering ved CBS holdt også oplæg på det strategiske spor.
Oplægget handlede om implikationerne ved EU's nye NIS2 regulering, som kræver overvågning af cybersikkerhedsstandarder i forsyningskæderne hos virksomheder. NIS2 kommer til at påvirke tusindevis af virksomheder, og særligt for små- og mellemstore virksomheder (SMVer) kan NIS2 få store konsekvenser, fordi mange af dem leverer løsninger til større virksomheder.
”De fleste SMVer vil levere løsninger til større virksomheder, og de virksomheder vil have en forpligtigelse til at holde øje med deres forsyningskæde. Det betyder, at SMVerne skal være dygtige til at dokumentere deres cybersikkerhed,” forklarer Jan Lemnitzer.
Jan Lemnitzer ser en udfordring i, at mange SMVer ikke har ressourcerne til at lave dokumenteringen af deres sikkerhed. Derfor mener han også, at mange vil søge ekstern hjælp. Og her vil han gerne give nogle gode råd:
”Sørg for at bevare kontrollen, hvis du bruger en cloudbaseret udbyder. Sørg for at forstå de potentielle risici og sørg for at have folk internt, som forstår, hvad der sker i dine netværk.”
Jan Lemnitzer påpeger, at god cybersikkerhed ikke kun et teknisk anliggende.
”I en ideel verden er cybersikkerhed noget som ledelsen anerkender som deres ansvar, og som de regelmæssigt diskuterer, og uddeler klare opgaver med klare formål,” siger Jan Lemnitzer og tilføjer:
”Det er vigtigt, at cybersikkerhed er noget som hele organisationen forstår er vigtigt.”
Praktiske indsigter og live demonstration af værktøjer
På spor to var der fokus på en mere teknisk og praktisk tilgang til cybersikkerhed. Bas Spitters, der er professor ved Institut for Datalogi på Aarhus Universitet, gav blandt andet et overblik over formelle metoder i computer science, særligt programmeringsprog og kryptografi.
Jens Myrup Pedersen fra Aalborg Universitet var også på det andet spor. Han gav en live demonstration af relevante værktøjer og en indsigt i en hackers metoder, når de forsøger at udnytte sårbarheder.
Marco Peressotti, der er professor i Computer Science ved Syddansk Universitet, gav anvendelige indsigter om automatisering af sikkerhedstest, og hvordan man får implementeret de bedste praksisser.
Spor to blev afsluttet af David Clayton, der er Senior Solution Architect hos Elastic, der viste, hvordan generativ kunstig intelligens kan være en nyttig partner i forhold til cybersikkerhed. David Clayton gav også deltagerne mulighed for selv at prøve kræfter med nogle af de redskaber han fremviste.
På dag to blev de to spor samlet
På anden dagen for workshoppen var de to spor slået sammen til et. Her holdt blandt andet Chamara Bulathsinhala sammen med Arvinder Singh fra Systematic oplæg om, hvordan man kan transformere ens cybersikkerhedstrategi med trusselsmoderlering.
”Vi har fået rigtig god feedback på vores oplæg, og det tror jeg er, fordi det var praktisk, håndgribeligt og helt nede i substansen. Der var godt at starte dagen med noget substans. Folk vil hellere se løsninger end hullerne i osten,” fortæller Chamara Bulathsinhala.
Han har dog også haft tid til at deltage og lytte med i nogle af de andre oplæg.
”Flere af de andre indlæg har været fantastiske, jeg kan godt lide at dykke ned i nogle af de kaninhuller, der er. Jeg skiftede mellem de to spor. Secure Coding med Marco Peressotti og Security by Design af Bas Spitters var rigtig godt. Det gav mig noget med hjem.”
”Det var ikke bare at komme og lytte til nogle oplæg, der var masser af opkvalificering og fokus på vidensoverførsel.” lyder det fra Chamara Bulathsinhala.
Dagen blev rundet af med brætspillet ”Under Attack” fra Center For Cybersikkerhed. Der er designet til at hjælpe SMVers håndtering af cybersikkerhed.