12. ročník konference IT Governance: APT a právo v IT

Informační systémy jsou vystaveny různým typům hrozeb, které mohou způsobit různé škody a mohou vést k významným finančním i jiným ztrátám. Ty to ztráty mohou být různého rozsahu – od zanedbatelných až po zničující. V současnosti se struktura hrozeb výrazně mění oproti dřívějším dobám a proto se snažíme porozumět novým hrozbám pro informační systémy, abychom mohli navrhovat odpovídající protiopatření, která budou těmto hrozbám čelit. Tento tutoriál se pokusí prezentovat celé spektrum hrozeb, počínaje klasickými hrozbami, tak jak je známe z běžně používaných procesů analýzy rizik a bezpečnostních auditů, přes cílené hrozby až po takzvané APT (Advanced Persistent Threats).

Doc. Dr. Ing. Petr Hanáček
Je docentem na Fakultě informačních technologií VUT v Brně. Zabývá se více než dvacet let bezpečností informačních systémů, analýzou rizik, aplikovanou kryptografií, elektronickými platebními systémy, bezdrátovými sítěmi. Je nezávislý konzultant v této oblasti.
Nahoru

V průběhu workshopu proběhnou prezentace tří významných společností AVAST, AVG a ESET ve vztahu k hrozbám a rizikům vyplývajících z používání mobilních zařízení a jejich zneužitelnosti. Odpoví na možnosti ochrany a správy mobilních zařízení v éře sociálních sítí a minimalizaci rizik včetně praktických ukázek.

Nahoru

Příspěvek shrne praktické aspekty prevenční povinnosti podnikatelů a především konkrétně subjektů působících v oblasti finančního trhu. Příspěvek se také zaměří na jednotlivé klíčové povinnosti v případě již uskutečněného útoku. Stručně rozebereme a rozdělíme povinnosti na úrovni podnikatele a pracovníků. Příspěvek se také zaměří na klíčové prvky odpovědnosti (hmotná, trestní a další) a její rozložení a pokusí se ilustrovat best practices a konkrétní příklady z praxe.

Mgr. Martin Strnad
V současné době je advokátem v Havel, Holásek & Partners – advokátní kancelář. Specializuje se na právo informačních technologií, duševního vlastnictví a telekomunikací a na obchodní a komplexní smluvní právo. V oblasti práva informačních technologií, duševního vlastnictví a telekomunikací se zaměřuje především na poradenství v souvislosti s významnými IT implementačními projekty a jejich veřejnozakázkovými aspekty. V této oblasti se v uplynulých letech účastnil řady transakcí a projektů jak na straně dodavatelů, tak zákazníků. Před nástupem do advokátní kanceláře Havel, Holásek & Partners v roce 2006 pracoval jako právník odboru legislativy a koordinace předpisů Ministerstva vnitra ČR a jako vedoucí advokát kanceláře PricewaterhouseCoopers Legal.
Nahoru

Elektronické důkazy představují v současné době nezastupitelný zdroj informací. Na druhé straně se ale jedná o problematiku, které se česká právní teorie a praxe věnuje spíše méně a nesystematicky. Přednáška tak bude zaměřena na zajištování elektronických důkazů a nakládání s nimi způsobem, který neznemožní jejich použití v různých typech řízení. V plánu je zaměřit se především na mobilní zařízení v souvislosti s BYOD politikami a na CERT/CSIRT týmy.

JUDr. Jakub Harašta
V současné době působí na Ústavu práva a technologií PrF MU jako asistent a externí doktorand. Zabývá se právem ICT, zejména kybernetickou bezpečností a právní informatikou. V letošním roce absolvoval výzkumnou stáž v Izraeli se zaměřením na problematiku kybernetické bezpečnosti kritických infrastruktur. Působí v redakcích časopisů Masaryk University Journal of Law and Technology a Revue pro právo a technologie. V minulosti pak působil jako advokátní koncipient v Brně.
Nahoru

Zákon o kybernetické bezpečnosti ukládá povinnosti v oblasti řízení dodavatelských vztahů. Klade požadavky na průběh veřejného i soukromého zadávání, ale i na průběh vztahů s dodavateli. Přednáška popíše právní aspekty těchto vztahů a upozorní na některá úskalí.

Mgr. Ing. Robert Kotzian Ph.D.
Má dlouholetou praxi v oblasti ICT. Zabýval se vývojem simulačních technologií, lektorskou činností a řízením informatizace rozsáhlé veřejnoprávní korporace. Věnuje se zejména právu ICT a duševního vlastnictví.
Nahoru

Otevřená data jsou celosvětovým trendem, který se v posledních letech dostává do popředí zájmu českých odborníků. Přínosy otevřených dat jsou zásadní a sahají od zefektivnění a možnosti kontroly veřejné správy, přes zapojení občanů do rozhodování, až po podporu ekonomiky a zvýšení efektivity práce s daty obecně. Problematika otevřených dat přitom úzce souvisí s autorskoprávní problematikou, protože na řadu databází a souborů dat se vztahuje autorský zákon. Znalost autorského práva, licenčních opatření a práv souvisejících jsou přitom zásadní právě pro správné otevření dat. Příspěvek bude zaměřen na problematiku autorského práva a open dat z hlediska praktického využití.

RNDr. Alena Vondráková, Ph.D.
Působí jako odborný asistent na Katedře geoinformatiky Přírodovědecké fakulty Univerzity Palackého v Olomouci. Specializuje se na tematickou kartografii, státní informační politiku a autorské právo v kartografii a geoinformatice. Je členkou odborné komise Mezinárodní kartografické asociace "Use and User Issues", vedoucí odborné skupiny Autorské právo v České asociaci pro geoinformace, národní koordinátorkou Dětské kresby Barbary Petchenik, organizátorkou soutěže Kartografické společnosti ČR Mapa roku a další. Je autorkou řady odborných publikací a kartografických atlasů.
Nahoru

Exkluzivita dodavatele vzniká jako důsledek softwarového uzamčení zákazníka („vendor lock-in“) tím, že vytváří vysoké náklady přechodu na produkty a služby jiných konkurenčních dodavatelů. O tom, nakolik bude softwarový systém podmiňovat uzamčení, se rozhoduje vedle rozsahu poskytnutého oprávnění k provádění změn nebo jiných zásahů do autorského díla zejména vlastním návrhem architektury tohoto systému. Při posuzování exkluzivity nelze vystačit jen s posouzením výlučné způsobilosti podle autorského práva. Soudní znalci tak musí posuzovat zejména míru otevřenosti systému podle technické provázanosti a charakteru a rozsahu funkcí, které jsou předmětem úprav a rozšíření software.

Ing. Petr Hujňák, Ph.D., CGEIT, CRISC, CPD
Je ředitelem společnosti Per Partes Consulting soustředěné na ICT poradenství. K jeho odborným zájmům patří umělá inteligence a Complexity Science. Je soudním znalcem v oborech ekonomika, kybernetika a výpočetní technika, certifikovaným projektovým ředitelem IPMA (Level A CPD), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst & Young. Je členem Komory soudních znalců, SPŘ, ČSSI, IASA, výboru konference Data a znalosti a předseda konference IT Governance, působí jako certifikovaný assessor IPMA. Je prezidentem ISACA Česká republika.
Nahoru

Cílem prezentace je demonstrovat jak vypadá typický reálný útok na webovou aplikaci, začínající zabezpečením anonymity útočníka, přes vyhledání kritických zranitelností, prolomení hesel, až po získaní lokálního administrátora, vymazání stop a vytvoření zadních vrátek.

Ing. Pavol Lupták
Vystudoval FEI-STU v Bratislavě a ČVUT v Praze, obor Computer Science, kde se zaměřil na ultra-secure systémy. Je certifikovaný CISSP a CEH v oblasti bezpečnosti. Je aktivní v různých organizacích zaměřených na IT a security - na Slovensku vede chapter OWASP, spoluzakládal Progressbar a SOIT organizace. Přednáší na mnoha mezinárodních konferencích zaměřených na security (Holandsko, Lucembursko, Německo, Polsko a ČR). V minulosti demonstroval zranitelná místa prodeje veřejných SMS jízdenek v dopravě ve všech hlavních městech v Evropě a spolu se svým kolegou prakticky prokázal zabezpečení karet Mifare Classic RFID. Pavol má dlouholeté zkušenosti v oblasti IT security, penetračního testování a security auditu zahrnující také social engineering a digital forensic analýzy.
Nahoru

Útokem typu cross-platform označujeme hrozbu, která je realizována vzájemnou kooperací několika modulů škodlivého kódu působících, ať už současně či postupně, na různých výpočetních platformách. Kromě dobře známých případů průmyslových špionáží či sabotáží je další významnou doménou těchto scénářů oblast bankovnictví. Ukážeme si jak konkrétní příklady současného šíření a fungování takových útoků, tak i výhled do budoucna, kde lze očekávat zejména postupnou eliminaci spoléhání se pachatelů na zmatení lidské obsluhy napadených zařízení. Pozornost bude věnována také úzce související otázce monokultur mobilních zařízení. Přitom zdaleka nejde jen o samotné mobilní telefony či tablety, neboť na významu začínají získávat také jejich elektronické doplňky. Jako příklad si vezmeme nástup miniaturních modulů na bázi standardu Bluetooth Smart.

Ing. Tomáš Rosa, Ph.D.
Absolvoval FEL ČVUT v kombinaci s MFF UK v Praze, je doktorem v oboru kryptologie s Cenou rektora ČVUT za rok 2004. Jako vedoucí kryptolog pracoval na projektech určených k ochraně utajovaných skutečností České republiky stupně PŘÍSNĚ TAJNÉ. Je průkopníkem v uplatňování přístupu aplikované kryptoanalýzy, jakožto přirozeného protipólu aplikované kryptografie. Pomohl také zlepšit řadu celosvětových standardů, například protokol SSL/TLS, platební schéma EMV a bezdrátový standard Bluetooth. Ve funkci experta informační bezpečnosti společnosti Raiffeisenbank se věnuje bezpečnosti vestavěných aplikací a zařízení.
Nahoru

Jde o sehraný dialog s analýzou útoku mezi hackerem a IT Security administrátorem, kdy hacker popisuje, jak se dostane do informačního systému a administrátor mu v tom zabraňuje, následně hacker posouvá hranice dál a celý dialog znovu iteruje. Přednáška poukazuje na formy moderního APT útoku a demonstruje, jak která IT Security technologie (obrana) je efektivní a kdy naopak selhává.

Ing. Michal Tresner
Michal má dlouholeté zkušenosti jako konzultant pro bezpečnost IT i jako vývojář webových a desktop aplikací. V současné době pracuje jako vedoucí divize bezpečnostních testů a technických auditů ve společnosti AEC. V průběhu práce jako pen-tester a auditor informačních systémů, získal řadu zkušeností v oblasti bezpečnosti IS/IT v prostředí velkých podniků zejména ze sektoru telekomunikací a bankovnictví. Jeho specializací jsou bezpečnost webových aplikací a serverů, zabezpečení bezdrátových sítí standardu Wi-Fi, bezpečnost mobilních aplikací a přenositelného kódu a ochrana před malware.

Ing. Maroš Barabas
Maroš Barabas vystudoval Fakultu Informačních Technologií v Brně a v současné době působí na této fakultě jako výzkumný pracovník se zaměřením na bezpečnost a detekci malware. V roce 2006 nastoupil do nově vznikající české pobočky společnosti Red Hat, kde od roku 2008 působil v týmu bezpečnosti Linuxových systémů a to až do roku 2011. Od začátku roku 2012 pracuje ve společnosti AEC jako specialista na bezpečnostní technologie se zaměřením na ochranu vůči pokročilým útokům a malware.
Nahoru

APT je jiný druh útoku, než se kterými jsme se dříve potkávali. Je zacílen na konkrétní informace a proto jsou s ním spojeny jiné druhy hrozeb, rizik a jejich kombinace. To vše budeme diskutovat z různých úhlů v rámci panelové diskuse.

Nahoru

Příspěvek nás provede aktuálním stavem řešení bezpečnosti SCADA systémů v našem regionu. Přestože zde nejsme (zatím) svědky vážných incidentů, existuje stále řada zásadních bezpečnostních hrozeb a úspěšných příkladů napadení SCADA systémů ve světě, které nás nutí zamyslet se nad opatření, pro zmírnění jejich potenciálních dopadů. Vysvětlíme si také, jakých zásad bychom se měli při návrhu, stavbě a úpravách SCADA systémů držet a ukážeme si příklad z penetračního testování reálného SCADA systému.

Ing. Andrej Hradňanský
Je manažerem poradenské firmy EY a pokrývá problematiku provozních a SCADA systémů v regionu střední Evropy. Má více než 20 let zkušeností s provozními systémy (SCADA, Integrated Control Systems (ICS), PLC, RTU, DCS) s jejich strategickým plánováním, návrhem, architekturou, dodávkou i provozem. Své zkušenosti získal v zemích Evropy, Afriky a Středního východu.
Nahoru

Hodnocení rizik je základním stavebním kamenem budování bezpečnosti. Klíčovou částí hodnocení rizik je hodnocení aktiv. Hmotná aktiva lze ohodnotit snadno, u nehmotných je určení hodnoty pro organizaci významně složitější, až na první pohled nemožné. Existují však metody a způsoby, jak i tato aktiva objektivně ohodnotit. Přenáška, obsahující výběr těchto metod prověřených dlouholetou mezinárodní praxí, je určena pro všechny, před kterými i v souvislosti se zákonem o kybernetické bezpečnosti stojí řešení této problematiky. Navíc přináší návaznosti hodnocení aktiv na analýzu rizik a dopadů a také praktické použití získané hodnoty aktiv ve výpočtu rizik a dopadů na organizaci.

Ing. Ladislav Hanzlíček, CISA, CRISC
Vystudoval VŠE v Praze. Od roku 2000 pracuje ve firmě Risk Analysis Consultants (RAC) jako Senior Security Consultant. Více než 15 let se podílí na bezpečnostních projektech zaměřených na budování ISMS a BCMS v ČR i v zahraničí. Zaměřuje se na praktickou realizaci analýzy rizik a dopadů, při které kombinuje různé metodiky a vyvíjí nové metody pro hodnocení rizik.
Nahoru