 |
Information Security Summit 2008
28. - 29. května 2008, Praha |
Pod záštitou:
ředitele Národního bezpečnostního úřadu Ing. Dušana Navrátila 
a náměstka ministra vnitra Mgr. Zdeňka Zajíčka.
Stejně jako v předchozích letech pro vás chystáme i v roce 2008 konferenci zaměřenou na bezpečnost informačních systémů - Information Security Summit 2008. Podtitul letošního již devátého ročníku konference je "Cesta k elektronické společnosti" a bude se konat ve dnech 28. a 29. května 2008 v Praze.
Devátý ročník IS2 se bude věnovat především následujícím tématům:
- Bezpečnost bezdrátových sítí a RFID
- Forenzní šetření
- Motivační faktory a ekonomie bezpečnosti
- Centralizované řízení bezpečnosti v heterogenním prostředí
- Měření operačních rizik
- Dlouhodobé uchovávání informací
- Fyzická bezpečnost
Závazná podniková pravidla - Alfred Büllesbach
V souvislosti s globalizací hospodářství nabylo v poslední době na významu předávání osobních údajů mezi jednotlivými státy. Řada zemí stanovila pravidla, která se na takové mezinárodní přenosy vztahují a jejichž cílem je chránit občany před rizikem ztráty lidských práv, zaručených jejich národním právem, při mezinárodních přenosech osobních údajů. Tyto státy požadují odpovídající úroveň ochrany v přijímajícím státě. Tento příspěvek se věnuje právním základům mezinárodní ochrany osobních údajů, hodnotí mechanismy samoregulace a dospívá k závěru, že samoregulace poskytuje specifické výhody, které ji staví mezi všemi možnostmi na přední místo. Pokud vytváříme podobná pravidla pro společnost nebo skupinu, musíme vzít v úvahu příslušné národní normy všech zemí, které přichází v úvahu, stejně jako požadavky Směrnice ES na ochranu osobních údajů. Důležité jsou i pracovní dokumenty pracovní skupiny podle článku 29. Zároveň je nezbytné zavedení závazných podnikových pravidel (ZPP). Obsah ZPP se může lišit v závislosti na cíli a rozsahu. Příslušná autorita řídí postup schválení ZPP v Evropě. Každá samoregulace pomocí ZPP bude akceptována zákazníky, zaměstnanci a veřejností vůbec pouze tehdy, pokud je doprovázena seriozním zapojením společnosti.
RFID: Co to vlastně máme v kapse? - Tomáš Rosa a Martin Hlaváč
Napadlo vás někdy, jak je asi složité vyrobit duplikát k vašemu modernímu bezkontaktnímu klíči od kanceláře, garáže či domu? Líbí se vám pomyšlení, že možná stačí letmý kontakt s útočníkem ve výtahu či MHD a už má vaše klíče? Příspěvek přístupnou formou vysvětluje základní fyzikální a informatické principy RFID. Kromě slabin obecného rázu ukazuje i na zranitelnosti spojené s nějakou konkrétní, hojně rozšířenou technologií, jako jsou čipy přístupových systémů v pásmu LF, platforma MIFARE, atp. Na příkladu elektronických cestovních pasů si představíme přepojovací útok, který i přes nespornou přímočarost a jednoduchost základní ideji představuje jednu z největších hrozeb moderním aplikacím RFID. Pozornost bude věnována též nastupující generaci duálních čipových karet a fenoménu NFC.
Vývoj útoků a jejich vliv na bezpečnostní technologie - Eugene Schultz
Útoky související s bezpečností se v průběhu let podstatně změnily. Útoky typu network sniffing, IP spoofing, viry a červy a zevně iniciované průniky využívající přetečení paměti byly například nejběžnějšími typy útoků před deseti lety. Tyto útoky přetrvávají dodnes, ale jsou stále více v útlumu. Pravidelně se například sice ještě objevují nové druhy červů a virů, ale šíří se stále méně a méně. Stále větší počet z nich nyní pro svou reprodukci využívá také Instant Messaging (IM). Stále více převládají červy a viry, které berou na mušku kapesní počítače. Trojští koně sledující stisknutí kláves na klávesnici a zneužívání internetových prohlížečů patří také mezi nejčastější druhy současných útoků. Jako motiv převládla snaha o získání prospěchu z neautorizované aktivity (a tedy i o to psát kód a provozovat ho pokud možno v co největším utajení). Navíc se praxe informační bezpečnosti setkává s novým nebezpečím selhání schopnosti vyhovět nezměrnému počtu požadavů (SoX, HIPAA, GLBA atd.) Naštěstí se objevují nové bezpečnostní technologie, které se novými hrozbami zabývají a navíc je mnoho z nich i uživatelsky přívětivějších než kdykoliv předtím. V této prezentaci budou tyto systémy popsány stejně jako další druhy bezpečnostních technologií a stejně jako změny v těchto technologiích, ke kterým během času došlo, aby se zlepšila jejich schopnost zvládnout hrozby a rizika.
Podmínky důvěryhodnosti elektronických dokumentů v archivu - Zbyněk Löebl, Jaromír Šiška, Pavel Vondruška a Ivan Zderadička
Problematika důvěryhodné archivace elektronických dokumentů patří k těm, jejichž vyřešení praxe potřebuje. Z hlediska dlouhodobého pohledu vyřešení této otázky je zcela nezbytné. Množství informací, se kterými lidstvo pracuje, narůstá zvyšujícím se tempem. Pokud nenalezneme vhodné cesty k úschově těchto informací (a to dlouhodobé úschově), hrozí nebezpečí, že některé nám již známé informace se k budoucím generacím ani nedostanou.
Technologický projekt pracoviště pro dlouhodobé ukládání a zpřístupňování dokumentů v digitální podobě - Jiří Votruba a Martin Seget
Ministerstvo vnitra ČR je postaveno před úkol zabezpečit přejímání, ukládání a zpřístupňování digitálních archiválií ve státních archivech. Zřízení pracoviště nabývá na významu s elektronizací veřejné správy a převodem jednotlivých agend veřejné správy do elektronické podoby. Současná situace je nedobrá a dlouhodobě neudržitelná bez velkých ztrát. Je třeba co nejdříve zrovnoprávnit elektronické dokumenty s papírovými ve všech fázích jejich životního cyklu a začít je také elektronicky archivovat. Základní podmínkou práce s elektronickými dokumenty ve veřejné správě je fungování všech elektronických úložišť od elektronické spisové služby, přes elektronickou spisovnu až po digitální archiv. Autoři tohoto příspěvku byli členy týmu, který vypracoval Technologický projekt pracoviště pro dlouhodobé ukládání a zpřístupňování dokumentů v digitální podobě (dále jen „projekt“). Projekt vznikl na základě veřejné zakázky Národního archivu České republiky z roku 2007. Projekt zahrnuje návrh systému dlouhodobého uložení a zpřístupňování elektronických dokumentů, a to včetně uchovávací metody, technického vybavení, nezbytných změn legislativy, finančních nákladů, personálních a prostorových požadavků nutných k zajištění služeb pracoviště. Předpokladem je, že digitální archiv, realizovaný podle tohoto projektu, bude mít celorepublikovou působnost a bude poskytovat službu dlouhodobého uchovávání dokumentů v digitální podobě akreditovaným archivům.
Otevírání zámků s pomocí kryptografie - Matt Blaze
Počítačová bezpečnost a vědecké studium kryptografie přebírá velkou část své základní filozofie a terminologie ze světa mechanických zámků. A přesto často ignorujeme možnost, že by se systémy fyzické bezpečnosti mohly stát obětí stejných typů útoků, které napadají počítače a počítačové sítě. V této prezentaci se podíváme na mechanické zámky a fyzickou bezpečnost očima computer science. Nejdříve se budeme zabývat temnou stránkou tohoto problému: pokusy o neoprávněné zvýšení privilegií jsou u cylindrických zámků přinejmenším stejně závažné jako ty, které se vyskytují v počítačových systémech. Potom se budeme zabývat druhou stranou téže mince: bezpečnostní metriky a modely útočníků používané ve světě fyzické bezpečnosti jsou daleko více sofistikované, než cokoli z toho, co používáme v oboru počítačů nebo počítačových sítí. Prezentace bude zakončena přehledem směrů pro budoucí výzkum v této oblasti; od mechanických zámků a fyzického světa se ještě máme mnoho co naučit, ale možná, že něčím můžeme přispět i my.
Ekonomické a další aspekty informační bezpečnosti - Ross Anderson
Ekonomické aspekty informační bezpečnosti se v poslední době staly rostoucí a rychle se vyvíjející disciplínou. Jednotlivé komponenty distribuovaných systémů patří zodpovědným osobám s různými zájmy, stávají se různé formy motivačních mechanismů pro spolehlivost systému stejně důležité jako technický návrh. Tato nová oblast poskytuje hodnotné informace nejen o bezpečnostních tématech, jako jsou ochrana osobních údajů, bezpečnostní chyby, spam nebo phishing, ale také o obecnějších tématech, jako je například spolehlivost systému (návrh peer-to-peer systémů a optimální rovnováha mezi časem programátorů a testerů) nebo politiky systémů (obzvláště správa digitálních práv). Tento výzkumný program se začal rozšiřovat i na obecnější bezpečnostní otázky (např. strategie vynucování práva) a na rozhraní mezi bezpečností a sociálními vědami. V poslední době se vyskytly i interakce s psychologií, a to jak díky tradičním vazbám psychologie na ekonomiku, tak jako reakce na phishing. Tento výzkumný program slibuje nový rámec pro analýzu bezpečnostních problémů, která bude založená na principech a zároveň účinná.
Měření velikosti a úrovně zvládání operačních rizik - Jan Mikulecký
Operační riziko je i v bankovních i nebankovních organizacích často spojováno zejména s informačními systémy a proto je operačním rizikem často míněno riziko provozní. Jeho měření proto souvisí s hodnocením rizik informačních systémů a s úrovní a kvalitou jejich bezpečnosti. Bez ohledu na definici „měření rizik“ a nebo pojmenování rizik operačními nebo provozními musí měření kvantifikovat data pro pochopení podstaty rizik. Cílem měření je kvantifikace předem stanovené veličiny, která vyjadřuje velikost rizika, míru jeho pokrytí (zvládnutí) nebo například počet či poměr akceptovaných rizik. V ideálním prostředí pro řízení rizik by do procesu měření operačních rizik mělo patřit také měření přínosů. Případová studie ukáže, jakým způsobem byl v bance zaveden proces měření rizik a jak byla měřena úroveň a kvalita bezpečnosti v různých oblastech.
Současná kryptologie v praxi - Vlastimil Klíma
Přednáška přináší stručný manažerský přehled kryptografické technologie, zabývá se použitelností kryptografických nástrojů a úrovní jejich bezpečnosti. Uvádí četné příklady z praxe a novinky z oboru. Na konkrétních příkladech také ukazuje, jak se vyznat v marketingových termínech kryptografických nabídek a produktů. Obsahuje doporučení pro manažery, jak se v kryptologii zorientovat, co je v současné době nejdůležitější a co podstatné pro její řízení.
Prohledávání dokumentů - Tuomas Aura
Tento příspěvek vysvětlí, jak mohou neúmyslně unikat informace z mobilních počítačů při jejich připojení do bezdrátové sítě v kavárnách, hotelích, na letištích nebo v jiných veřejných prostorech. Mobilní uživatelé sítě mohou na těchto místech mylně předpokládat, že jsou anonymní, zatímco jejich počítač o nich sděluje informace lokální síti. Aplikační data, jako například emaily, je poměrně snadné zabezpečit šifrováním, ale různé protokoly pro řízení služeb, konfiguraci a mobilitu na všech vrstvách modelu síťové komunikace vyžadují zasílání nešifrovaných zpráv. Z těchto zpráv může i náhodný pozorovatel snadno identifikovat uživatele bezdrátových sítí a organizaci, pro kterou pracují, což může uživatele nebo počítač vystavit dalším útokům. Budou také diskutována řešení, která by zabránila tomuto úniku informací. Tento krátký příspěvek se soustředí na motivaci, která vedla k analýze problému a našemu řešení.
Špatně vyvážená motivace v boji s Internetovými podvody? - Matthew Pemble
Pohled na různé motivační mechanismy bank, organizací zúčtovávající transakce platebními kartami a zákazníků a jak tyto mechanismy nefungují na nové typy podvodníků.
ISMS jako nástroj efektivního řízení informační bezpečnosti - Richard Michálek
Řízení informační bezpečnosti se dnes stává součástí řízení společnosti. Slouží především k tomu, aby byla přiměřeně ochráněna aktiva vzhledem k jejich hodnotě a ztrátám společnosti. K tomuto tématu existuje mnoho norem, metodik a standardů. Otázkou je, který standard si vybrat? Vzhledem k tlaku na snižování výdajů na provoz IT a i bezpečnosti, je nutné hledat cesty efektivního využití finančních prostředků a lidských zdrojů, tak aby byla zajištěna bezpečnost systémů a dostupnost služeb. K tomu mohou být inspirací následující příklady sloučené analýzy rizik a business impact analýzy a ukázka funkce systému pro řízení bezpečnostních incidentů. V těchto příkladech jsou na základě dlouhodobých zkušeností z oblasti řízení informační bezpečnosti, analýz rizik a řízení bezpečnostních incidentů aplikovány doporučení mnoha norem, standardů a metodik.
Stala se kyber-obrana jednou z globálních bezpečnostních výzev? - Süleyman Anil
Problémy bezpečnosti IT vyskytující se na počítačích organizací jsou obvykle řešené na úrovni bezpečnostních správců nebo počítačových (síťových) správců. Vyšší management je obvykle nevnímá, ani o nich nebývá informovaný. Tento trend se v současnosti mění, a to ze dvou důvodů: tam, kde incidenty mohou způsobit vážné škody na úrovni organizace, se počítačové sítě stávají zranitelnější a hrozby se stávají důvtipnější, poněvadž síly organizovaného zločinu nebo zločinné státní či vládní agentury začaly využívat potenciál kyber-útoků, kterými jsou schopné účinně, levně a s nízkým rizikem útočit na počítačové sítě kdekoliv ve světě. Obrana proti takovým hrozbám, na rozdíl od obrany proti příležitostným hackerům, vyžaduje pro snížení odpovídajících globálních rizik, vedle použití technických opatření přesahujících úroveň komerce, navíc i využívání účinnější mezinárodní spolupráce a harmonizace legislativy. Zatímco vlády už začínají rozpoznávat velikost rizik pro kyberprostor, globálně požadovaná mezinárodní opatření se musí teprve vyvinout. Pohledy vyjádřené v tomto příspěvku reprezentují názory autora. Oficiální stanoviska NATO k tomuto problému je nutné vyhledat v NATO Press Office, NATO HQ, Brusel.