Break-out sessies

Panel met:

• Nina Orlic (Windt le Grand Leeuwenburgh)
• Diminitri van Zantvliet (NS)

Zaal 0

Inhoud volgt.

Godfried Boshuizen (Stedin)

Zaal 0

Operationele techniek (OT) is bij veel bedrijven een essentieel onderdeel van hun primaire proces. Denk hierbij aan de maak industrie maar bijvoorbeeld ook vitale processen bij gemeenten of provincies of klimaatsystemen in ziekenhuizen. Vaak loopt de beveiliging van deze omgevingen achter ten opzichte van kantoorautomatisering (IT). In deze sessie gaat Godfried Boshuizen in op de dreiging voor OT-landschappen, de valkuilen in het opzetten van een aanpak en geeft een aantal praktische inzichten om tot een weerbaar OT-landschap te komen. Hij doet dit met een bril op die vooral kijkt naar overeenkomsten tussen IT & OT in plaats van een standaard presentatie waarom de twee werelden verschillend zouden zijn.

Mienke (NCSC)

Zaal 0

Wat komen we tegen in de snel veranderende wereld van cyberdreigingen? In deze sessie deelt het Cyber Threat Intelligence (CTI) team van het NCSC hun unieke inzichten in de meest actuele dreigingen, trends en aanvalstechnieken. Ontdek hoe het dreigingslandschap zich ontwikkelt en welke acties organisaties kunnen nemen om zich beter te beschermen tegen de nieuwste cyberaanvallen.

Tabletop sessie door Artic Wolf

Zaal 0

Voor 8 - 15 deelnemers.

Kelvin Rorive

Zaal 0

Inhoud volgt.

Maarten Timmerman en Sjoerd van Veldhuizen (Awareways)

Zaal 0

Waarom je collega’s Shadow AI niet kunnen weerstaan – en hoe je dit oplost met motivatietheorie

Trendrapporten laten zien dat het verbieden van AI-tools niet werkt. Maar wat maakt gratis AI software zo onweerstaanbaar? Medewerkers zoeken instinctief naar de meest efficiënte manier om hun werk te doen, zonder kwade opzet. In deze sessie duiken we in de psychologische theorie achter dit gedrag en de rol van AI-geletterdheid. We onderzoeken waarom restricties in AI-gebruik weerstand oproepen en hoe een alternatieve aanpak wél kan werken om veilig en efficiënt AI-gebruik te stimuleren.

Vaisha Bernard (Eye Security)

Zaal 0

Mapping Microsoft: Een Verhaal over een Aanvalsoppervlak en 200 Kwetsbaarheden

In juli 2025 werd Vaisha door Microsoft gekroond tot Most Valuable Researcher (MVR) nadat hij toegang had gekregen tot 24 interne systemen. Hij kon bij de broncode van Windows, Copilot en andere LLM's beheren en had inzicht in een lijst zero-days die bekend waren bij Microsoft. Maar toch voelde hij zich een impostor. Uiteindelijk was het allemaal maar een enkele simpele misconfiguratie. Het voelde alsof hij die MVR-titel eigenlijk nog moest verdienen. Dus besloot hij om eerste te worden op het Quarterly Leaderboard van het MSRC.

Dit is een verhaal van vele slapeloze nachten met de voeten in de modder waarbij hij zich door 650.000 subdomeinen heen worstelde, wadend in een zee van AI-gegenereerde slop applicaties, ongedocumenteerde API endpoints, bereikbare JavaScript code van interne applicaties, erg toegankelijke blob storage accounts en vergeten folders op webservers. Allemaal terwijl hij zich steeds meer ging voelen als een puber die door short-form brainrot content aan het swipen was. Dit is het verhaal van hoe hij ondertussen meer dan 200 kwetsbaarheden bij Microsoft heeft gemeld en daarna rechtstreeks de afkickkliniek in kon rollen.

Waren dit allemaal complexe kwetsbaarheden en geraffineerde technieken? Zeker niet, maar de potentiële impact was wel degelijk significant. Hij had toegang tot het Azure archief, kon bij Azure Kubernetes pods, kon JavaScript aanpassen die door miljoenen gebruikers wereldwijd werd ingeladen, kon streaming video aanpassen, kreeg remote code execution (RCE) op interne systemen, speelde kwartet met access tokens en jongleerde met compiler artifacts.

Ga mee op een wilde rit langs het aanvalsoppervlak van Microsoft en sta versteld van wat er allemaal te vinden is als je er gewoon even diep in duikt.

Dirk Maij (Onyx Cybersecurity)

Zaal 0

Inhoud volgt.