Program odborné konference IT Governance - 2015

I. den - 13. října 2015

13.00 - 17.00

Tutoriál: Typy hrozeb, jejich charakteristiky a trendy
Doc. Dr. Ing. Petr Hanáček; Fakulta informačních technologií, VUT v Brně

II. den - 14. října 2015

09.30 - 11.30

Workshop: APT hrozby a rizika mobilní bezpečnosti
Moderátor Ing. Luboš Klečka, CISA, CRISC; Česká spořitelna

11:30 – 12:30 Oběd pro účastníky workshopu
12:30 – 13:00 Registrace na konferenci
13:00 – 13:10 Slavnostní zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC, CPD; prezident ISACA CRC
13:10 – 13:50 Právní aspekty Data Breach s přihlédnutím k oblasti FinTech
Mgr. Martin Strnad; Havel, Holásek & Partners, advokátní kancelář
13:50 - 14:00 Přestávka
14:00 – 14:45 Elektronické důkazy
JUDr. Jakub Harašta; Ústav práva a technologií Masarykovy univerzity
14:45 - 15:00 Přestávka
15:00 – 15:45 Dopady zákona o kybernetické bezpečnosti na dodavatelské vztahy
Mgr. Ing. Robert Kotzian Ph.D.; Strelička & Partners, advokátní kancelář
15:45 - 16:00 Přestávka
16:00 – 16:45 Autorské právo a open data
RNDr. Alena Vondráková, Ph.D.; Univerzita Palackého v Olomouci
16:45 – 16:50 Přestávka
16:50 – 17:30 Znalecké posuzování exkluzivity k úpravám a rozšíření software
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC, CPD; Per Partes Consulting
19:00 – 24:00 Společenský večer

III. den - 15. října 2015

09:00 – 09:40 Útoky na současné webové aplikace v praxi
Ing. Pavol Lupták; Nethemba
09:40 – 09:45 Přestávka
09:45 – 10:25 Hrozba jménem „cross-platform“ aneb útoky bez hranic
Ing. Tomáš Rosa, Ph.D.; Raiffeisenbank
10:25 – 10:30 Přestávka
10:30 – 11:15 APT útoky v praxi hackera a administrátora
Ing. Michal Tresner a Ing. Maroš Barabas; AEC
11:15 - 12:45 Panelová diskuse: Analýza rizik v éře APT
Moderátor Ing. Lukáš Mikeska, CISA, CRISC; EY a jeho hosté
12:45 – 13:45 Oběd
13:45 – 14:30 Bezpečnosti SCADA – aktuální zprávy z regionu
Ing. Andrej Hradňanský, EY
14:30 – 14:40 Přestávka
14:40 – 15:20 Ohodnocování aktiv v analýze rizik a dopadů
Ing. Ladislav Hanzlíček, CISA, CRISC; Risk Analysis Consultants
15:20 – 15:30 Ukončení konference

* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.
** ZMĚNA PROGRAMU VYHRAZENA.

TUTORIÁL: Typy hrozeb, jejich charakteristiky a trendy
Doc. Dr. Ing. Petr Hanáček; Fakulta informačních technologií, VUT v Brně

Informační systémy jsou vystaveny různým typům hrozeb, které mohou způsobit různé škody a mohou vést k významným finančním i jiným ztrátám. Ty to ztráty mohou být různého rozsahu – od zanedbatelných až po zničující. V současnosti se struktura hrozeb výrazně mění oproti dřívějším dobám a proto se snažíme porozumět novým hrozbám pro informační systémy, abychom mohli navrhovat odpovídající protiopatření, která budou těmto hrozbám čelit. Tento tutoriál se pokusí prezentovat celé spektrum hrozeb, počínaje klasickými hrozbami, tak jak je známe z běžně používaných procesů analýzy rizik a bezpečnostních auditů, přes cílené hrozby až po takzvané APT (Advanced Persistent Threats).

Doc. Dr. Ing. Petr Hanáček
Je docentem na Fakultě informačních technologií VUT v Brně. Zabývá se více než dvacet let bezpečností informačních systémů, analýzou rizik, aplikovanou kryptografií, elektronickými platebními systémy, bezdrátovými sítěmi. Je nezávislý konzultant v této oblasti.

Nahoru

WORKSHOP: APT - hrozby a rizika mobilní bezpečnosti
Moderátor Ing. Luboš Klečka, CISA, CRISC; Česká spořitelna

V průběhu workshopu proběhnou prezentace tří významných společností AVAST, AVG a ESET ve vztahu k hrozbám a rizikům vyplývajících z používání mobilních zařízení a jejich zneužitelnosti. Odpoví na možnosti ochrany a správy mobilních zařízení v éře sociálních sítí a minimalizaci rizik včetně praktických ukázek.

Nahoru

KONFERENCE

Právní aspekty Data Breach s přihlédnutím k oblasti FinTech
Mgr. Martin Strnad; Havel, Holásek & Partners, advokátní kancelář

Příspěvek shrne praktické aspekty prevenční povinnosti podnikatelů a především konkrétně subjektů působících v oblasti finančního trhu. Příspěvek se také zaměří na jednotlivé klíčové povinnosti v případě již uskutečněného útoku. Stručně rozebereme a rozdělíme povinnosti na úrovni podnikatele a pracovníků. Příspěvek se také zaměří na klíčové prvky odpovědnosti (hmotná, trestní a další) a její rozložení a pokusí se ilustrovat best practices a konkrétní příklady z praxe.

Mgr. Martin Strnad
V současné době je advokátem v Havel, Holásek & Partners – advokátní kancelář. Specializuje se na právo informačních technologií, duševního vlastnictví a telekomunikací a na obchodní a komplexní smluvní právo. V oblasti práva informačních technologií, duševního vlastnictví a telekomunikací se zaměřuje především na poradenství v souvislosti s významnými IT implementačními projekty a jejich veřejnozakázkovými aspekty. V této oblasti se v uplynulých letech účastnil řady transakcí a projektů jak na straně dodavatelů, tak zákazníků. Před nástupem do advokátní kanceláře Havel, Holásek & Partners v roce 2006 pracoval jako právník odboru legislativy a koordinace předpisů Ministerstva vnitra ČR a jako vedoucí advokát kanceláře PricewaterhouseCoopers Legal.

Nahoru

Elektronické důkazy
JUDr. Jakub Harašta; Ústav práva a technologií PrF MU

Elektronické důkazy představují v současné době nezastupitelný zdroj informací. Na druhé straně se ale jedná o problematiku, které se česká právní teorie a praxe věnuje spíše méně a nesystematicky. Přednáška tak bude zaměřena na zajištování elektronických důkazů a nakládání s nimi způsobem, který neznemožní jejich použití v různých typech řízení. V plánu je zaměřit se především na mobilní zařízení v souvislosti s BYOD politikami a na CERT/CSIRT týmy.

JUDr. Jakub Harašta
V současné době působí na Ústavu práva a technologií PrF MU jako asistent a externí doktorand. Zabývá se právem ICT, zejména kybernetickou bezpečností a právní informatikou. V letošním roce absolvoval výzkumnou stáž v Izraeli se zaměřením na problematiku kybernetické bezpečnosti kritických infrastruktur. Působí v redakcích časopisů Masaryk University Journal of Law and Technology a Revue pro právo a technologie. V minulosti pak působil jako advokátní koncipient v Brně.

Nahoru

Dopady zákona o kybernetické bezpečnosti na dodavatelské vztahy
Mgr. Ing. Robert Kotzian Ph.D.; Strelička& Partners, advokátní kancelář

Zákon o kybernetické bezpečnosti ukládá povinnosti v oblasti řízení dodavatelských vztahů. Klade požadavky na průběh veřejného i soukromého zadávání, ale i na průběh vztahů s dodavateli. Přednáška popíše právní aspekty těchto vztahů a upozorní na některá úskalí.

Mgr. Ing. Robert Kotzian Ph.D.
Má dlouholetou praxi v oblasti ICT. Zabýval se vývojem simulačních technologií, lektorskou činností a řízením informatizace rozsáhlé veřejnoprávní korporace. Věnuje se zejména právu ICT a duševního vlastnictví.

Nahoru

Autorské právo a open data
RNDr. Alena Vondráková, Ph.D.; Univerzita Palackého v Olomouci

Otevřená data jsou celosvětovým trendem, který se v posledních letech dostává do popředí zájmu českých odborníků. Přínosy otevřených dat jsou zásadní a sahají od zefektivnění a možnosti kontroly veřejné správy, přes zapojení občanů do rozhodování, až po podporu ekonomiky a zvýšení efektivity práce s daty obecně. Problematika otevřených dat přitom úzce souvisí s autorskoprávní problematikou, protože na řadu databází a souborů dat se vztahuje autorský zákon. Znalost autorského práva, licenčních opatření a práv souvisejících jsou přitom zásadní právě pro správné otevření dat. Příspěvek bude zaměřen na problematiku autorského práva a open dat z hlediska praktického využití.

RNDr. Alena Vondráková, Ph.D.
Působí jako odborný asistent na Katedře geoinformatiky Přírodovědecké fakulty Univerzity Palackého v Olomouci. Specializuje se na tematickou kartografii, státní informační politiku a autorské právo v kartografii a geoinformatice. Je členkou odborné komise Mezinárodní kartografické asociace "Use and User Issues", vedoucí odborné skupiny Autorské právo v České asociaci pro geoinformace, národní koordinátorkou Dětské kresby Barbary Petchenik, organizátorkou soutěže Kartografické společnosti ČR Mapa roku a další. Je autorkou řady odborných publikací a kartografických atlasů.

Nahoru

Znalecké posuzování exkluzivity k úpravám a rozšíření software
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC, CPD; Per Partes Consulting

Exkluzivita dodavatele vzniká jako důsledek softwarového uzamčení zákazníka („vendor lock-in“) tím, že vytváří vysoké náklady přechodu na produkty a služby jiných konkurenčních dodavatelů. O tom, nakolik bude softwarový systém podmiňovat uzamčení, se rozhoduje vedle rozsahu poskytnutého oprávnění k provádění změn nebo jiných zásahů do autorského díla zejména vlastním návrhem architektury tohoto systému. Při posuzování exkluzivity nelze vystačit jen s posouzením výlučné způsobilosti podle autorského práva. Soudní znalci tak musí posuzovat zejména míru otevřenosti systému podle technické provázanosti a charakteru a rozsahu funkcí, které jsou předmětem úprav a rozšíření software.

Ing. Petr Hujňák, Ph.D., CGEIT, CRISC, CPD
Je ředitelem společnosti Per Partes Consulting soustředěné na ICT poradenství. K jeho odborným zájmům patří umělá inteligence a Complexity Science. Je soudním znalcem v oborech ekonomika, kybernetika a výpočetní technika, certifikovaným projektovým ředitelem IPMA (Level A CPD), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst & Young. Je členem Komory soudních znalců, SPŘ, ČSSI, IASA, výboru konference Data a znalosti a předseda konference IT Governance, působí jako certifikovaný assessor IPMA. Je prezidentem ISACA Česká republika.

Nahoru

Útoky na současné webové aplikace v praxi
Ing. Pavol Lupták; Nethemba

Cílem prezentace je demonstrovat jak vypadá typický reálný útok na webovou aplikaci, začínající zabezpečením anonymity útočníka, přes vyhledání kritických zranitelností, prolomení hesel, až po získaní lokálního administrátora, vymazání stop a vytvoření zadních vrátek.

Ing. Pavol Lupták
Vystudoval FEI-STU v Bratislavě a ČVUT v Praze, obor Computer Science, kde se zaměřil na ultra-secure systémy. Je certifikovaný CISSP a CEH v oblasti bezpečnosti. Je aktivní v různých organizacích zaměřených na IT a security - na Slovensku vede chapter OWASP, spoluzakládal Progressbar a SOIT organizace. Přednáší na mnoha mezinárodních konferencích zaměřených na security (Holandsko, Lucembursko, Německo, Polsko a ČR). V minulosti demonstroval zranitelná místa prodeje veřejných SMS jízdenek v dopravě ve všech hlavních městech v Evropě a spolu se svým kolegou prakticky prokázal zabezpečení karet Mifare Classic RFID. Pavol má dlouholeté zkušenosti v oblasti IT security, penetračního testování a security auditu zahrnující také social engineering a digital forensic analýzy.

Nahoru

Hrozba jménem „cross-platform“ aneb útoky bez hranic
Ing. Tomáš Rosa, Ph.D.; Raiffeisenbank

Útokem typu cross-platform označujeme hrozbu, která je realizována vzájemnou kooperací několika modulů škodlivého kódu působících, ať už současně či postupně, na různých výpočetních platformách. Kromě dobře známých případů průmyslových špionáží či sabotáží je další významnou doménou těchto scénářů oblast bankovnictví. Ukážeme si jak konkrétní příklady současného šíření a fungování takových útoků, tak i výhled do budoucna, kde lze očekávat zejména postupnou eliminaci spoléhání se pachatelů na zmatení lidské obsluhy napadených zařízení. Pozornost bude věnována také úzce související otázce monokultur mobilních zařízení. Přitom zdaleka nejde jen o samotné mobilní telefony či tablety, neboť na významu začínají získávat také jejich elektronické doplňky. Jako příklad si vezmeme nástup miniaturních modulů na bázi standardu Bluetooth Smart.

Ing. Tomáš Rosa, Ph.D.
Absolvoval FEL ČVUT v kombinaci s MFF UK v Praze, je doktorem v oboru kryptologie s Cenou rektora ČVUT za rok 2004. Jako vedoucí kryptolog pracoval na projektech určených k ochraně utajovaných skutečností České republiky stupně PŘÍSNĚ TAJNÉ. Je průkopníkem v uplatňování přístupu aplikované kryptoanalýzy, jakožto přirozeného protipólu aplikované kryptografie. Pomohl také zlepšit řadu celosvětových standardů, například protokol SSL/TLS, platební schéma EMV a bezdrátový standard Bluetooth. Ve funkci experta informační bezpečnosti společnosti Raiffeisenbank se věnuje bezpečnosti vestavěných aplikací a zařízení.

Nahoru

APT útoky v praxi hackera a administrátora
Ing. Michal Tresner a Ing. Maroš Barabas; AEC

Jde o sehraný dialog s analýzou útoku mezi hackerem a IT Security administrátorem, kdy hacker popisuje, jak se dostane do informačního systému a administrátor mu v tom zabraňuje, následně hacker posouvá hranice dál a celý dialog znovu iteruje. Přednáška poukazuje na formy moderního APT útoku a demonstruje, jak která IT Security technologie (obrana) je efektivní a kdy naopak selhává.

Ing. Michal Tresner
Michal má dlouholeté zkušenosti jako konzultant pro bezpečnost IT i jako vývojář webových a desktop aplikací. V současné době pracuje jako vedoucí divize bezpečnostních testů a technických auditů ve společnosti AEC. V průběhu práce jako pen-tester a auditor informačních systémů, získal řadu zkušeností v oblasti bezpečnosti IS/IT v prostředí velkých podniků zejména ze sektoru telekomunikací a bankovnictví. Jeho specializací jsou bezpečnost webových aplikací a serverů, zabezpečení bezdrátových sítí standardu Wi-Fi, bezpečnost mobilních aplikací a přenositelného kódu a ochrana před malware.

Ing. Maroš Barabas
Maroš Barabas vystudoval Fakultu Informačních Technologií v Brně a v současné době působí na této fakultě jako výzkumný pracovník se zaměřením na bezpečnost a detekci malware. V roce 2006 nastoupil do nově vznikající české pobočky společnosti Red Hat, kde od roku 2008 působil v týmu bezpečnosti Linuxových systémů a to až do roku 2011. Od začátku roku 2012 pracuje ve společnosti AEC jako specialista na bezpečnostní technologie se zaměřením na ochranu vůči pokročilým útokům a malware.

Nahoru

Panelová diskuse: Analýza rizik v éře APT
Moderátor Ing. Lukáš Mikeska, CISA, CRISC; EY a jeho hosté

APT je jiný druh útoku, než se kterými jsme se dříve potkávali. Je zacílen na konkrétní informace a proto jsou s ním spojeny jiné druhy hrozeb, rizik a jejich kombinace. To vše budeme diskutovat z různých úhlů v rámci panelové diskuse.

Nahoru

Bezpečnosti SCADA – aktuální zprávy z regionu
Ing. Andrej Hradňanský; EY

Příspěvek nás provede aktuálním stavem řešení bezpečnosti SCADA systémů v našem regionu. Přestože zde nejsme (zatím) svědky vážných incidentů, existuje stále řada zásadních bezpečnostních hrozeb a úspěšných příkladů napadení SCADA systémů ve světě, které nás nutí zamyslet se nad opatření, pro zmírnění jejich potenciálních dopadů. Vysvětlíme si také, jakých zásad bychom se měli při návrhu, stavbě a úpravách SCADA systémů držet a ukážeme si příklad z penetračního testování reálného SCADA systému.

Ing. Andrej Hradňanský
Je manažerem poradenské firmy EY a pokrývá problematiku provozních a SCADA systémů v regionu střední Evropy. Má více než 20 let zkušeností s provozními systémy (SCADA, Integrated Control Systems (ICS), PLC, RTU, DCS) s jejich strategickým plánováním, návrhem, architekturou, dodávkou i provozem. Své zkušenosti získal v zemích Evropy, Afriky a Středního východu.

Nahoru

Ohodnocování aktiv v analýze rizik a dopadů
Ing. Ladislav Hanzlíček CISA, CRISC; Risk Analysis Consultants

Hodnocení rizik je základním stavebním kamenem budování bezpečnosti. Klíčovou částí hodnocení rizik je hodnocení aktiv. Hmotná aktiva lze ohodnotit snadno, u nehmotných je určení hodnoty pro organizaci významně složitější, až na první pohled nemožné. Existují však metody a způsoby, jak i tato aktiva objektivně ohodnotit. Přenáška, obsahující výběr těchto metod prověřených dlouholetou mezinárodní praxí, je určena pro všechny, před kterými i v souvislosti se zákonem o kybernetické bezpečnosti stojí řešení této problematiky. Navíc přináší návaznosti hodnocení aktiv na analýzu rizik a dopadů a také praktické použití získané hodnoty aktiv ve výpočtu rizik a dopadů na organizaci.

Ing. Ladislav Hanzlíček, CISA, CRISC
Vystudoval VŠE v Praze. Od roku 2000 pracuje ve firmě Risk Analysis Consultants (RAC) jako Senior Security Consultant. Více než 15 let se podílí na bezpečnostních projektech zaměřených na budování ISMS a BCMS v ČR i v zahraničí. Zaměřuje se na praktickou realizaci analýzy rizik a dopadů, při které kombinuje různé metodiky a vyvíjí nové metody pro hodnocení rizik.

Nahoru