2. $ whoami
• FRA, Försvarsmakten
• Triop AB - Eget företag sedan 2013
• Styrelseledamot IIS, ISOC-SE
• Advisory board Holm Security
• Bloggar på kryptera.se
– Och penetrationstest.se
5. GDPR
• Användare ska ges enkel tillgång till sina egna
uppgifter
• Tydligare hur personuppgifter samlas in och vad
som anses vara ett samtycke
• Användare kan få sina uppgifter flyttade från en
organisation till en annan
• Användare kan få sina uppgifter borttagna
• Organisationer som drabbats av en incident
måste anmäla detta inom 72 timmar från det att
dataintrånget upptäcks
6. GDPR
• Böter på upp till €20 miljoner eller 4 % av
globala omsättningen
• Rekommendationer:
– Var finns personlig data
– Kontroll av läsning
– Övervaka nätverk
– Testa säkerheten med ett penetrationstest
8. Erfarenheter och trender
• System har sårbarheter
– God separation mellan system
– Loggning + detektion
– Höj ribban
– Använd låga behörigheter
• Se till att säkerhet inte blir en teknisk skuld
• Utför oberoende granskningar
9. Erfarenheter och trender
• Utför code reviews
• Automatiska tester
– Qualys
– Detectify
– Nessus
– Holm Security
• Hur lagras hemligheter såsom API-nycklar
• Best practices för SSH-nycklar
11. Om organisationen
• Ideell förening som grundades 2001
– 42k medlemmar
• Transparens, öppenhet, integritet och innovation
• Events i form av AppSec
• Finns i Sverige på flertalet ställen:
– Stockholm
– North Sweden (Umeå)
– East Sweden (Linköping)
– Göteborg
• Kommunikation i Sverige via E-postlista
12. Globala projekt
• OWASP Top 10
• OWASP Zed Attack Proxy Project (ZAP)
• OWASP Testing Guide v4
13. OWASP Top Ten Project
• Topp 10 kategorier av webbsårbarheter
– Senaste versionen utkom 2013
– Ny version 2017
– Licensierad under CC Attribution-ShareAlike
3.0
• Refereras till
– PCI DSS
– Upphandlingar, krav
14. OWASP Top Ten Project
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards
15. ZAP
• Verktyg för att automatisera attacker
• Utvecklat i java
• Modulärt
• Proxy för din webbläsare
• Alternativ: Burp Suite