Program

9:00 — 9:10

Zahájení konference

Manažerský sál

9:00 — 9:10

Zahájení konference

Technický sál

9:10 — 9:15

Zahájení hackerské soutěže

Manažerský sál

9:10 — 9:15

Zahájení hackerské soutěže

Technický sál

9:15 — 9:45

Ing. Jan Musil - Databázový IT specialista pro region CEE / IBM Česká republika

Jan Musil pracuje v IBM Softwarové skupině na pozici Community of Practice pro region CEE. Jeho hlavní náplní je technická podpora prodeje produktů IBM Informix v regionu. Další oblastí, kterou má na starosti, je nabídka řešení pro zajištění databázové bezpečnosti. Ve společnosti IBM pracuje od roku 2002, kam nastoupil po akvizici společnosti Informix Software, kde pracoval jako team leader technické podpory pro Českou a Slovenskou republiku. S produkty Informix a databázovými technologiemi má více než dvacetileté zkušenosti. Vystudoval fakultu jadernou a fyzikálně inženýrskou ČVUT.

Case study: Monitorování a audit databází v reálném čase

Ing. Jan Musil

Manažerský sál

Prezentované řešení (InfoSphere Guardium) poskytuje neinvazivní architekturu pro monitorování a audit práce uživatelů s databázemi v reálném čase. Implementace řešení nevyžaduje žádné změny, ani rekonfigurace na straně monitorované databáze, ani na straně aplikace.

Řešení podporuje všechny hlavní databázové platformy. InfoSphere Guardium poskytuje komplexní správu zabezpečení dat, kontrolu přístupu uživatelů k systému a datům a aktivní prostředky pro zabránění zneužití dat jak normálními, tak privilegovanými uživateli. Nezávislost řešení jak na privilegovaných uživatelích, tak na nativním auditu databází zcela brání jakémukoliv neoprávněnému manipulování s auditními záznamy, případně obcházení auditu.

Řešení je v souladu se všemi hlavními standardy, které definují pravidla databázové bezpečnosti (SOX, PCI, NIST, STIG a další).

Pro všechny tyto standardy má řešení předpřipravené testy pro vyhodnocení zranitelnosti systému. Kromě stručného popisu řešení bude prezentována také případová studie typického nasazení řešení.

PDF

9:15 — 9:45

Ondřej Novotný - Virus Analysis Specialist / AVG Technologies CZ, s.r.o.

Ondřej Novotný, (*1981) po absolvování Vyšší odborné školy v Českých Budějovicích se zaměřením na IT a počítačovou grafiku, nastoupil v roce 2005 do společnosti AVG Technologies, kde se věnoval technické podpoře produktů AVG, posledních několik let pracuje jako malware analytik, zajímá se o nové metody detekce malware a prevenci false positives.

Jak, kde a proč vzniká malware?

Ondřej Novotný

Technický sál

Jak se kybernetický svět proměnil od dávnověku, kdy hlavní role patřily slávě a uznání do dnešní podoby kdy vládnou peníze a sofistikovaný kyberzločin ? Kdo vlastně stojí na odvrácené straně světa jedniček a nul, proti komu se je třeba bránit? Kdo jsou 'oni' a jaké nástroje používají, jakou mají motivaci ? Nejsou to náhodou antivirové společnosti samotné, kdo vytváří a distribuuje malware?

PDF

9:45 — 10:15

SIEM a 6let provozu: Od požadavků ČNB přes Disaster Recovery až k LogManagementu

Ing. David Doležal / Ing. Peter Jankovský / Ing. Karel Šimeček, Ph.D.

Manažerský sál

Výhody a přínosy SIEM (Security Event a Information Management) pro řízení bezpečnosti jsou nesporné. Sdružuje workflow Problem & Incident managementu, vytváří knowledge base pro rychlé řešení opakovaných situací a významně podporuje reporting a compliance proces. Doposud se zájemci SIEM systémů soustředili jen na sběr a korelace událostí z infrastruktury informačního systému, hlavním předmětem zájmu bezpečnosti byl jen výkon a schopnosti SIEM zpracovat informace z log záznamů. Co ale obnáší skutečný provoz SIEM? Co všechno je nutné řešit před a po implementaci SIEM? Co stojí provoz SIEM a jaká je fragmentace nákladů? Jak řešit Disaster Recovery a nezávislý Log management? Uvedené otázky si odpovíme spolu s Davidem Doležalem, CSO ve společnosti PPF banka, kde provozují SIEM už více než 6 let.

Ing. David Doležal - ředitel odboru bezpečnosti / PPF banka a.s.

Absolvent Vojenské Akademie v Brně, kde po ukončení studií od roku 1999 nadále působil jako odborný asistent a lektor v oblasti telekomunikací a IT technologií pro armádu ČR a Telekom. V roce 2005 začal pracovat jako trenér v oblasti moderních VoIP telekomunikačních sítí pro společnosti Sitronics a Acision. Aktuálně je zaměstnán v PPF Bance na pozici ředitele odboru bezpečnosti (CSO), kde je zodpovědný za IT bezpečnost, řízení operačních rizik a za fyzickou bezpečnost.

Ing. Peter Jankovský - architekt bezpečnostních dohledů / AXENTA a.s.

Vystudoval TU Košice, obor IT a telekomunikační technologie. Nastoupil do společnosti GiTy, kde se zaměřil na informační bezpečnost od realizace technických řešení přes její řízení až po implementace SIEM systémů. Svoje zkušenosti následně uplatnil jako ředitel bezpečnosti ve společnosti PPF Banka. Od roku 2009 zastává funkci architekta bezpečnostních dohledů ve společnosti AXENTA, zároveň zastává funkci externího konzultanta pro společnost Trustwave v rámci EMEA regionu.

Ing. Karel Šimeček, Ph.D. - ředitel rozvoje / AXENTA a.s.

Vystudoval VUT Brno, obor Počítačové konstruování. Po ukončení doktorandského studia pracoval v ČEZ, a.s. a následně ve společnosti ČEZData, s.r.o. na pozici bezpečnostního manažera ICT. Nyní je analytikem ve společnosti AXENTA a zastává zde i pozici ředitele rozvoje. Věnuje se popularizaci bezpečnosti a ochrany informací, několikrát publikoval v časopise DSM. V rámci své praxe v oboru bezpečnosti ICT má zkušenosti s projektovým řízením, vyšetřováním provozních a bezpečnostních incidentů, architekturními či koncepčními návrhy možných řešení. Je členem ISACA od roku 2008.

PDF

9:45 — 10:15

Martin Hanzal - Chief Executive Officer / SODATSW spol. s r.o.

Autor je absolventem oboru výpočetní technika a informatika na fakultě elektrotechniky a informatiky VUT BRNO. Autor je zakladatelem společnosti SODATSW spol. s r.o., která se zabývá vývojem a implementací SW prostředků pro zvyšování ochrany vnitrofiremních dat a informací, čímž snižuje dopady hrozeb pramenících z vnitřních a vnějších útoků na informační systémy. V rámci svého působení ve firmě SODATSW spol. s r.o. autor zastával pozice ředitele vývoje a implementace, ředitele strategického rozvoje a v současnosti ve společnosti pracuje jako výkonný ředitel. Během svého působení vedl skupinu vytvářející patentované řešení na ochranu dat před odcizením oprávněnými uživateli a zavádění certifikací bezpečnosti vývoje dle CC EAL4 produktů pro sledování činností uživatelů informačního systému. Autor má praktické zkušenosti s problematikou ochrany dat a informací z organizací s rozsáhlou organizační strukturou s tisícovkami pracovníků, ale taky ze středně velkých organizací až po rodinné firmy a jednotlivce. Od roku 2011 je členem poradní skupiny ze soukromého sektoru v rámci vedení NATO, kde vede skupinu pro výzkum a vývoj technologií.

Praktické a efektivní řízení zranitelnosti informačních systémů

Martin Hanzal

Technický sál

Každý informační systém má mnoho zranitelných míst, pomocí kterých jsou možné ohrozit základní požadavky na bezpečnost informačního systému, kterými jsou zajištění důvěrnosti, integrity, nepopiratelnosti a dostupnosti dat a služeb poskytovaných daným informačním systémem. Řízení zranitelnosti je kontinuální proces a musí být tak na něj uvnitř organizace pohlíženo. Příspěvek si klade za cíl, aby pomohl posluchačům zavést nebo zlepšit efektivní řízení zranitelnosti na různých vrstvách informačního systému, podělil se o pozitivní i negativní zkušenosti z praxe a možná odboural některé mýty, které o řízení zranitelnosti mezi správci informačních technologií kolují.

PDF

10:15 — 10:45

Michal Mezera - IT Security Consultant / COMGUARD a.s.

Absolvent FEI VUT v Brně. Po dokončení VUT pracoval na různých IT pozicích na Magistrátu města Brna a VUT v Brně. Od roku 2000 se specializuje na oblast bezpečnosti IT nejprve ve společnosti SkyNet a od roku 2006 působí jako Senior Security Consultant ve společnosti COMGUARD. Bezpečnostní projekty zahrnují bezpečnostní analýzy a penetrační testování, ISMS projekty, návrhy a realizace zabezpečení perimetru, autentizace, VPN a v posledních 5 letech zejména projekty v oblasti ochrany dat nevyjímaje školení a přednášky jako i projektové a týmové řízení.

Robert Šefr - IT Security Consultant / COMGUARD a.s.

Absolvent Fakulty Informatiky Masarykovy Univerzity (obor Aplikovaná informatika, se zaměřením na Informační bezpečnost) s diplomovou prací zaměřenou na reverzní inženýrství softwaru. Pracoval jako programátor pro systémy Windows a Windows Mobile ve společnosti Aponia Software, s.r.o. Dále zaváděl Windows Domain jako administrátor na Českém hydrometeorologickém ústavě v Brně a spravoval virtualizační platformy pro náročné výpočty statistických dat. Od roku 2008 se specializuje se na ochranu dat, bezpečnost informačních systémů a kryptografii, ve společnosti COMGUARD pracuje jako Security Consultant.

Vícevrstvá ochrana ICT aneb Bezpečnost jako cibule

Michal Mezera / Robert Šefr

Manažerský sál

Je tradiční antivir a firewall dostatečné zabezpečení ICT? Dokážete odhalit cílený útok? Na základě konkrétního útoku na citlivá data upozorníme na aktuální nedostatky v zabezpečení. Představíme způsoby ochran vůči uvedenému útoku jako jednu z možností požadovaného přístupu k bezpečnosti.

PDF

10:15 — 10:45

Leslie Forbes - Sales Engineer / Tenable Network Security

Leslie has been in the Computer Security industry for 12 years. A career move from electronics brought him directly in contact with security as a Unix and Network administrator. He consulted for year 2000 in embedded systems, has worked for Sophos and F-Secure with a short period in the doc-com bubble at Sports.com.

He has extensive engagement with very large and distributed organisations as well as small focussed teams in discussing security strategy and deployments. He has spoken widely on AntiVirus and Network security.

He joins us now from Tenable, the makers of the World-famous Nessus scanner and supplier of the SecurityCenter for Unifying Security Monitoring.

Who needs vulnerability Management?

Leslie Forbes

Technický sál

We will focus on the needs of the Small to Medium size Enterprise to identify vulnerabilities.
The CISO of such an organisation will require regular information about progress regarding patching and mitigation of vulnerabilities.
The operational teams need to know how to prioritize systems, and how to focus efforts for specialist teams to do their jobs efficiently.
Tracking all of this requires a continual approach to monitoring and testing of the entire Enterprise’s networks.
We’ll mention how this applies to the PCI-DSS requirements, and how it can be extended into other policy frameworks.
Here we present a solution to this very demanding area of Network Security – Tenable’s SecurityCenter with Nessus, Passive Vulnerability Scanner and Log Correlation Engine.

PDF

10:45 — 10:55

Panelová diskuse

Manažerský sál

10:45 — 10:55

Panelová diskuse

Technický sál

10:55 — 11:05

Kávová přestávka

Manažerský sál

10:55 — 11:05

Kávová přestávka

Technický sál

11:05 — 11:35

Mgr. Hana Vystavělová - Senior IT Security Consultant / AEC, spol. s r.o.

Absolventka Fakulty informatiky Masarykovy univerzity v Brně. Od roku 2005 se věnuje informační bezpečnosti ve společnosti AEC na pozici konzultanta informační bezpečnosti. Zaměřuje se především na problematiku řízení informační bezpečnosti, analýzy a řízení rizik, dokumentace, bezpečnosti dle standardů řady ISO/IEC 27000 a souvisejících oblasti. Od nástupu do společnosti se podílí na řadě projektů pro zákazníky z oblasti veřejné správy, telekomunikací i finančního sektoru.

Modelování hrozeb

Mgr. Hana Vystavělová

Manažerský sál

Cílem prezentace je představit možné způsoby identifikace rizikových oblastí aplikací prostřednictvím modelování hrozeb. V prezentaci budou představeny vybrané metodiky pro modelování hrozeb (Microsoft, OWASP). Výhody a nevýhody modelování budou porovnány s tradičním přístupem k identifikaci rizik, který představuje analýza a hodnocení rizik.

PDF

11:05 — 11:35

Bc. Lukáš Antal - IT Security Consultant / AEC, spol. s r.o.

Lukáš Antal je absolventem bakalářského studia Fakulty informačních technologií VUT v Brně a v současné době pokračuje na téže fakultě ve studiu inženýrského oboru Bezpečnost informačních technologií. Ve společnosti AEC působí od roku 2009 na pozici IT Security Consultant. Problémům IT bezpečnosti se věnuje dlouhodobě a mezi jeho hlavní specializace patří bezpečnost webových aplikací, bezdrátových sítí dle standardu 802.11, mobilních aplikací a unixových operačních systémů.

Bc. Lukáš Bláha - IT Security Consultant / AEC, spol. s r.o.

Lukáš Bláha, narozen 1988, vystudoval bakalářské studium na Fakultě informačních technologií v Brně. V současné době studuje v posledním ročníku navazujícího magisterského studia v oboru Bezpečnost informačních technologií. Ve společnosti AEC se věnuje penetračnímu testování, auditům a bezpečnostním technologiím DLP a WAF. Jeho zálibou jsou mobilní technologie, jejichž bezpečnosti se věnuje i ve své práci.

Zranitelnosti mobilních platforem

Bc. Lukáš Antal / Bc. Lukáš Bláha

Technický sál

Trh s mobilními technologiemi roste závratnou rychlostí a mobilní zařízení se tak stále více integrují do našich osobních a pracovních životů. Vysoký výpočetní výkon, velký display, integrace nejnovějších technologií, Internet, sociální sítě, e-maily a především mobilita a flexibilita. To vše dohromady tvoří univerzální zařízení, které nabízí uživateli široké možnosti využití nejen pro zábavu a relaxaci, ale také například pro zvýšení efektivity práce. Doposud jsme vyjmenovali jen samá pozitiva, která vidí většina uživatelů a díky kterým se trh s mobilními zařízeními tak rychle rozvíjí. Mobilní technologie však přináší řadu bezpečnostních problémů, o kterých uživatelé často neví nebo si je neuvědomují. Cílem naší přednášky je o těchto bezpečnostních zranitelnostech nejen informovat, ale zároveň Vás chceme seznámit s postupy, které vedou k bezpečnému používání mobilních zařízení.

PDF

11:35 — 12:05

RNDr. Ivan Svoboda, CSc. - Key Account Manager / RSA, Security division of EMC

Vystudoval Přírodovědeckou fakultu Univerzity Karlovy. Až do roku 1996 pracoval jako vědecký pracovník Ústavu organické chemie a biochemie Akademie Věd ČR. Ivan Svoboda se věnuje problematice informační bezpečnosti již od roku 1996, kdy nastoupil do společnosti T-SOFT. Ve společnosti T-SOFT se specializoval na analýzy rizik, havarijní plánování a budování bezpečných sítí (VPN, čipové karty, PKI). Od roku 2002 pracoval ve společnosti Oracle Czech, jako Key Account Manager, se specializací zejména na firmy z finančního sektoru. Od roku 2008 nastoupil do společnosti RSA, Security division of EMC, jako Key Account Manager, se zodpovědností za region Česka a Slovenska. Věnuje se zejména oblastem ochrany citlivých dat, managementu bezpečnosti, prevence fraudu a řízení souladu s předpisy.

Využití GRC řešení pro řízení rizik

RNDr. Ivan Svoboda, CSc.

Manažerský sál

Přednáška se věnuje vysvětlení pojmu GRC (Governance, Risk, Compliance) a jeho výhod zejména v oblasti řízení rizik v různých typech organizací a společností. Podíváme se na různé přístupy k řešení GRC, na dostupné GRC nástroje a platformy a nezapomene ani na pohled analytických společností na tuto problematiku.

PDF

11:35 — 12:05

Bohdan Vrabec - Kaspersky Distribution Manager / PCS spol. s r. o., divize DataGuard

Po absolvování jazykového gymnázia začal svou kariéru ve společnosti PCS. Od roku 2005 pracuje v divizi DATAGUARD kde začínal na pozici technického konzultanta, následně i obchodního konzultanta. Od června roku 2006 zastává pozici manažera distribuce produktů Kaspersky pro ČR a SR.

DataGuard - Význam bezpečnosti mobilních platforem jde ruku v ruce s rostoucí popularitou smartphonů

Bohdan Vrabec

Technický sál

Používání mobilních telefonů a 'chytrých' telefonů čili smartphonů je dnes vcelku běžnou záležitostí. Zvlášť popularita smartphonů je stále více na vzestupu. Usnadňují nám komunikaci, ale zároveň se mohou stát i předmětem krádeže či ztráty. Co Vás poté bude bolet více? Cena mobilu nebo informace v něm uložené (kontakty, kalendář apod.)?

PDF

12:05 — 12:35

Jakub Morávek, QSA - Director IT Consulting / Wincor Nixdorf s.r.o.

Jakub má dlouholeté zkušenosti z oblasti IT. Momentálně působí ve společnosti Wincor Nixdorf na pozici vedoucího oddělení IT consulting. Jako QSA se zaměřuje zejména na problematiku PCI DSS, v rámci níž provádí srovnávacích analýzy, navrhuje a ověřuje nápravná opatření a provádí samotné PCI DSS audity. Před tím, než se Jakub začal specializovat na PCI DSS, získal mnoho znalostí IT technologií na pozici systémového administrátora, kde se podílel na návrhu, provozu a správě kompletní IT infrastruktury. Z pozice administrátora se časem přesunul do role architekta a konzultanta, kdy spolupracoval při rozvoji IT infrastruktury společnosti Wincor Nixdorf, navrhoval a podílel se na implementaci řešení pro zákazníky, zejména v oblasti monitoringu a distribuce software.

Řízení rizik podle PCI DSS - prioritized approach

Jakub Morávek, QSA

Manažerský sál

Na základě informací sebraných z úniků dat držitelů platebních karet identifikovaly karetní asociace rizika ohrožující bezpečnost jejich dat a definovaly přesná pravidla pro jejich ochranu a detailní postupy pro kontrolu plnění těchto pravidel. Cílem přednášky je představit, jak vnímají rizika karetní asociace, jaké nástroje nabízí na jejich řízení a jak tyto nástroje můžeme využít i mimo prostředí platebních systémů.

PDF

12:05 — 12:35

Martin Rehák, Ph.D., Ingénieur ECP - CEO, zakladatel / Cognitive Security s.r.o.

Martin Rehák je spoluzakladatelem a výkonným ředitelem společnosti Cognitive Security s.r.o., která se zabývá detekcí útoků v síťovém provozu pomocí pokročilé analýzy NetFlow dat. Kromě toho je nadále i výzkumným pracovníkem Katedry počítačů FEL, kde se zabývá výzkumem v oblasti síťové bezpečnosti, monitoringu síťového provozu a vede tým, který dále rozvíjí technologie, na nichž stojí produkty Cognitive Security. V minulosti pracoval pro Schlumberger Smartcards (dnes Gemalto), General Electric a další zaměstnavatele a klienty. Je držitelem inženýrského titulu z Ecole Centrale Paris a Ph.D. z FEL ČVUT.

Moderní malware: Hrozby, trendy a příležitosti

Martin Rehák, Ph.D., Ingénieur ECP

Technický sál

Přednáška prezentuje pohled na moderní malware, se zaměřením zejména na oblast útoků připravených pro konkrétní cíl, se záměrem dlouhodobě získávat informace z napadené organizace. Zaměříme se na analýzu trendů ve vývoji malware, analýzu organizačních struktur útočníků a popis technik útoků, ve většině případů ilustrovaných na konkrétních případech. Přednáška vyústí v analýzu rizika a sadu doporučení pro efektivnější ochranu sítí před dlouhodobým působením moderního malware.

PDF

12:35 — 12:45

Panelová diskuse

Manažerský sál

12:35 — 12:45

Panelová diskuse

Technický sál

12:45 — 13:45

Oběd

Manažerský sál

12:45 — 13:45

Oběd

Technický sál

13:45 — 14:05

Ing. Pavel Běhal - Expert informační a datové bezpečnosti / T-Mobile Czech Republic a.s.

Pavel Běhal je absolventem Obchodně podnikatelské fakulty v Karviné patřící pod Slezskou univerzitu v Opavě. Již na fakultě se věnoval rozvoji vnitřních informačních a síťových technologií, což následně zúročil, když nastoupil do tehdejší společnosti Radiomobil a.s. jako člen týmu IT bezpečnosti. Díky nasbíraným zkušenostem získal zhruba roce angažmá ve společnosti Hewlett-Packard s.r.o., kde se více než šest let věnoval konzultační činnosti v oblasti bezpečnostních řešení pro různé zákazníky v České Republice. S příchodem rodiny, se pak rozhodl pro změnu a shodou okolností zakotvil opět u společnosti T-Mobile Czech Republic a.s., v roli experta na informační a datovou bezpečnost.

Hledání jistot při přípravě DLP řešení

Ing. Pavel Běhal

Manažerský sál

V prezentaci budou přiblíženy překážky, se kterými se koncový zákazník potýkal při definování strategie a hledání mantinelů pro nasazení DLP řešení v telekomunikační společnosti. Zejména budou představeny problémové oblasti plynoucí z aktuálních požadavků českého právního prostředí, a jak následně dopadlo interní nastavení cílů DLP, v proporcích přiměřených dopadům na uživatele, na obchodní cíle a na posílení ochrany dat.

PDF

13:45 — 14:15

Alfredo Vistola - security solutions architect / F5 Networks

Alfredo specializes in web application security. He covers the entire Europe, Middle East and Africa region for F5, focusing on the company’s web application security and web application firewall, remote access and AAA solutions. He has spoken at industry events such as ISACA and OWASP. Alfredo joined F5 in 2003 as a Pre-Sales Engineer for Central Europe, focusing on F5’s BIG-IP platform and Link Controller and 3DNS technologies. This role included interface with large enterprise customers and the F5 partner community. Prior to this Alfredo worked at Extreme Networks for two years and, before that, at 3Com for four years as a consultant. His experience during this time encompassed service providers, focusing on metropolitan area networks, also spanning 3Com’s large enterprise team covering LAN and WAN solutions. Previously to this Alfredo worked for DIGITAL Equipment, focusing on operating systems like VMS and Ultrix. Alfredo’s interests include mountain biking, cycle racing, snowboarding and family (not in this order). He has held CEH (Certified Ethical Hacker) certification since 2005.

Cyber Attacks and Application - Motivation, Methods and Mitigation

Alfredo Vistola

Technický sál

Hackers' view: motivations and why many of today's most prevalent attacks are targeted at your applications.

Mitigation: understanding popular hacker techniques and how to combat them in a data center solution.

PDF

14:05 — 14:25

Ing. Miloš Šnytr / Úřad pro ochranu osobních údajů

Ing. Miloš Šnytr, absolvent elektrotechnické fakulty ČVUT, pracoval 10 let v ČKD Polovodiče na vývoji operačních systémů pro mikroprocesory a přímého řízení technologie, od roku 1990 se věnoval komunální politice. Zkušenosti hodlal zúročit jako náměstek předsedy USISu (1996-1998) a od roku 2000 byl deset let inspektorem Úřadu pro ochranu osobních údajů. Nyní je jeho zaměstnancem.

DLP a ochrana osobních údajů

Ing. Miloš Šnytr

Manažerský sál

DLP systémy a zpracování osobních údajů. Informační povinnost při jejich zavádění.

PDF

14:15 — 14:45

Ing. Michal Drozd - Senior IT Security Consultant / AEC, spol. s r.o.

Michal Drozd pracuje ve společnosti AEC od roku 2006 na pozici Senior IT Security Consultant. Dlouhodobě se věnuje problémům IT bezpečnosti jako auditor informačních systémů a pen-tester v segmentu bankovních a telekomunikačních projektů. Vystudoval Fakultu informačních technologií VUT v Brně, kde nadále působí jako doktorand se zaměřením na automatizovanou de

Zpracování pokročilých útoků

Ing. Michal Drozd

Technický sál

Nejen z titulních článků novin je patrné, že vynalézavost hackerských útoků neustále roste. Tato odvrácená strana IT se stala velmi výnosným obchodem po celém světě. S narůstající efektivitou škodlivého software, jako jsou trojské koně, sítové červy, nebo zero-day exploity si doposud běžné technologie jako antivirové programy nebo IDPS již neví rady. Dle mnoha uznávaných odborníků se s těmito útoky setkává téměř každý správce sítě, problémem však je, že pouze hrstka z nich s nimi dokáže efektivně bojovat. Přednáška poodhalí trendy efektivních útoků a zaměří se na možnosti a mechanizmy jejich odhalení.

PDF

14:25 — 14:45

JUDr. Tomáš Sokol - advokát / Advokátní kancelář Brož & Sokol & Novák

Absolvoval Právnickou fakultu Univerzity Karlovy v Praze. Po složení advokátní zkoušky v roce 1980 vykonává advokátní praxi nepřetržitě s výjimkou let 1990 – 1992, kdy působil jako městský prokurátor v Praze (1990) a poté byl ministrem vnitra České republiky (1990 – 1992). Ve druhé polovině roku 1992 založil spolu s JUDr. Janem Brožem Advokátní kancelář Brož & Sokol, která je od roku 1999 advokátní kanceláří Brož & Sokol &Novák. Dr. Sokol poskytuje právní služby v oblasti práva civilního i trestního. V oblasti trestního práva se zabývá zejména problematikou tzv. ekonomické kriminality. Dr. Sokol dále poskytuje právní služby v oblasti občanskoprávní, přičemž jednou ze specialit jsou spory na ochranu osobnosti, včetně sporů o ochraně dobrého jména právnické osoby. Je spoluautorem knih Počítačové právo a Právo informačních a telekomunikačních systémů, jehož druhé vydání bylo oceněno výroční cenou České asociace kompetentních komunikací za rok 2004.

Mýty a pověry o právu zaměstnance na soukromí v počítači svého zaměstnavatele

JUDr. Tomáš Sokol

Manažerský sál

V souvislosti se snahou zaměstnavatelů, chránit svá obchodní tajemství, případně obecně svá data, dnes již většinově ukládaná v elektronické podobě, se občas diskutuje i o právu zaměstnance na soukromí ve vztahu k jeho e-mailové korespondenci. Případně k užívání počítače, který mu byl zaměstnavatelem svěřen k vyřizování takové korespondence. Anebo zda v tomto počítači může mít zaměstnanec své soukromé písemnosti, do kterých mu zaměstnavatel nesmí strkat nos. Nic proti tomu, pokud to zaměstnavatel povolí. Pokud ne, je každá diskuse zbytečná, protože zaměstnanec žádné takové právo nemá! A o tom všem bude můj příspěvek.

PDF

14:45 — 15:15

Dominik Pintér - Technical leader / Kentico software s.r.o.

Dominik Pintér je absolventem bakalářského studia na Vysokém Učení Technickém v Brně, obor informační technologie. Již několik let pracuje ve firmě Kentico software jako vývojář ASP.NET aplikací. Poslední dva roky velkou část svého profesního života věnuje cloudové platformě Windows Azure. V Kentico software také vede interní tým, který se věnuje bezpečnosti hlavního produktu společnosti Kentico CMS for ASP.NET. Je držitelem certifikátu MCTS pro platformu .NET 3.5.

Veřejné cloudy z pohledu bezpečnosti

Dominik Pintér

Technický sál

Stále více firem dává přednost veřejným cloudovým platformám před vlastní serverovou infrastrukturou. Nespornou výhodou takového řešení je orientace pouze na provozování dané aplikace a odpadají tak starosti se správou infrastruktury. Poskytovatelé veřejných cloudových řešení nabízí služby pro běh aplikací nebo ukládání velkých objemů dat. Cílem přednášky je poukázat na světlé i temné stránky konkrétních služeb konkrétních poskytovatelů z hlediska bezpečnosti očima vývojáře cloudových aplikací. Přednáška se týká využití veřejných cloudů z pohledu zákazníka i z pohledu útočníka. V prvním případě se jedná o bezpečnost samotných služeb a zmírnění rizika při migraci aplikace a dat do cloudu, v druhém pak možnosti zneužití cloudových služeb k rozesílání spamu nebo útokům DoS.

PDF

14:45 — 15:25

Rozšířená panelová diskuse (40 min)

Manažerský sál

15:15 — 15:25

Panelová diskuse

Technický sál

15:25 — 15:35

Kávová přestávka

Manažerský sál

15:25 — 15:35

Kávová přestávka

Technický sál

15:35 — 16:05

Ing. Jan Poduška - IT Security Consultant / AEC, spol. s r.o.

Jan Poduška (*1977) je absolventem Vojenské Akademie v Brně, fakulty letectva a PVO, oboru automatizované systémy řízení. Po dokončení studia v roce 2002 nastoupil do Vojenského technického ústavu letectva. Začínal jako programátor – analytik projektů modernizace systémů řízení protiletadlového raketového vojska. Později některé z projektů vedl. V roce 2006 působil ve společnosti e-commerce.cz jako analytik. Od roku 2007 pracuje ve společnosti AEC, spol. s r. o. jako konzultant informační bezpečnosti, kde se podílí na analýzách rizik IS, řízení informačních rizik, penetračních testech, testech metodami sociálního inženýrství apod.

Ing. Vojtěch Szaló - Manager IT & Facility / OTE, a.s.

Po překvapivém ukončení vysoké školy FEL ČVUT v Praze jsem nastoupil na ČEZ, a.s. (tehdy České energetické závody, generální ředitelství), kde jsem začátkem krátkodobě působil v úseku výstavby přenosové soustavy, potom jsem přešel na úsek plánování výrobních kapacit a přípravy provozu elektráren, kde jsem nadšeně vykonával funkci vedoucího oddělení. V té době jsem také absolvoval postgraduální studium jaderných elektráren, čímž byl zpečetěn můj hluboký pozitivní vztah k této skupině zdrojů.

V roce 1996 jsem přecházel na Ústřední elektroenergetický dispečink, kde jsem působil do roku 2001. Zde mimo dalších činností jsme připravovali nový energetický zákon a návaznou sekundární legislativu v duchu liberalizovaného trhu.

Jako jeden zakladatelů od roku 2001 s určitou zaujatostí působím na OTE, a.s., do roku 2006 jako ředitel pro techniku, pak manažer v procesu IT a facility.

Dnes se velmi málo těším na přepychový důchod.

Case study: Bezpečnostní projekty v OTE

Ing. Jan Poduška / Ing. Vojtěch Szaló

Manažerský sál

Operátor trhu s elektřinou není právě typickou českou společností. OTE, a. s. je relativně malá společnost co do počtu zaměstnanců avšak významný hráč na poli energetiky. Přednášející se s Vámi podělí o zkušenosti s implementací bezpečnosti v této organizaci, seznámí Vás s největšími riziky ohrožujícími bezpečnost dat apod.

PDF

15:35 — 16:35

Ing. Juraj Porubčan - Senior IT Security Consultant / AEC, spol. s r.o.

Juraj Porubčan sa dostal ku informatike ešte počas štúdia na Materiálovo - technologickej fakulte v Trnave. Začal ako systémový administrátor a postupne sa dostal ku bezpečnosti. V súčasnosti pracuje vo firme Cleverlance ako senior security konzultant, zaoberá sa hlavne bezpečnosťou vývoja aplikácií platformou Windows.

Ing. Martin Žemlička, CISSP - Architekt informačnej bezpečnosti / VÚB, a.s.

V oblasti informačnej bezpečnosti sa pohybuje už od roku 1997. V roku 2001 absolvoval Fakultu informatiky a výpočtovej techniky Slovenskej technickej univerzity v Bratislave. Už počas štúdia a potom až do roku 2007 pracoval na rôznych projektoch týkajúcich sa zabezpečovania údajov, riadenia prístupu, identifikácie a silnej autentifikácie v spoločnosti EMM. Postupne zastával rôzne pozície zastrešujúce vývoj softvéru, konzultácie, definovanie architektúry systémov a celých riešení. Neskôr v rokoch 2008 a 2009 pracoval ako konzultant v oblasti informačnej bezpečnosti v spoločnosti Tempest. Od roku 2009 pracuje vo Všeobecnej úverovej banke na oddelení informačnej bezpečnosti, pričom od roku 2010 ako architekt informačnej bezpečnosti.

Case study: Bezpečný vývoj aplikácie v praxi (60 min)

Ing. Juraj Porubčan / Ing. Martin Žemlička, CISSP

Technický sál

Je potrebné myslieť na bezpečnosť už pri vývoji aplikácie? Dnes, keď väčšina aplikácií komunikuje s užívateľmi cez web, je bezpečnosť neoddeliteľnou súčasťou vývoja. Musíme na ňu myslieť pri zadávaní funkčných požiadaviek, pri navrhovaní architektúry riešenia, pri dizajnovaní aplikácie, jej testovaní atď. Analýzy a štatistiky ukazujú, že je lacnejšie myslieť na bezpečnosť počas vývoja aplikácie ako až po jej prvých penetračných testoch. V prípadovej štúdii Vám ukážeme, ako je možné implementovať bezpečnosť do vývoja aplikácie.

PDF

16:05 — 16:35

Ing. Petr Slavík - ředitel odboru bezpečnost ICT / Česká pošta s.p.

Ing. Petr Slavík má dlouholeté zkušenosti v oblasti návrhu, řešení a řízení bezpečnosti IT i v oblasti správy a managementu komplexních IT systémů. V současné době zastává pozici ředitele odboru bezpečnost ICT společnosti Česká pošta, s.p. Ve své profesionální kariéře se podílel na budování a certifikaci systémů zpracovávajících utajované zkušenosti všech stupňů utajení. Má zkušenosti se zajištěním a řízením bezpečnosti informací v bankovním sektoru. Pracoval na mnoha bezpečnostních projektech v souladu s ISO27000, ITIL i předchozími standardy v oblasti managementu rizik, řízení kontinuity, incident managementu, definování a řízení bezpečnostních politik a procesů. Informační bezpečnosti se věnuje aktivně téměř 15 let, aktivně se podílel na bezpečnostní analýze IT systémů obsahujících většinu současných IT platforem a oblastí.

Ing. Martin Tobolka - Senior IT Security Consultant / AEC, spol. s r.o.

Martin Tobolka působí několik let jako aktivní auditor ISMS a ITSM pro certifikační orgán CQS. Prošel v oblasti IT pozicemi technika, programátora, systémového inženýra až na pozici IT Manager. V současné době zúročuje své zkušenosti jako Senior IT Security Consultant ve společnosti AEC, kde se zabývá implementací bezpečnosti informací, managementu rizik a zranitelností a dále řízením kontinuity činností organizace. Zabývá se i hardeningem a penetračními testy na platformě MS SQL. Vystudoval Fakultu mechatroniky, informatiky a mezioborových studií na Technické univerzitě v Liberci. Je držitelem certifikátu itSMF Auditor pro ISO/IEC 20000 a Lead auditor ISMS.

Case study: Měření a metriky ISMS v České poště

Ing. Petr Slavík / Ing. Martin Tobolka

Manažerský sál

Cílem příspěvku je seznámení se zkušeností s implementací měření a metrik v oblasti ISMS na České poště. Na Case study budou objasněny požadavky a důvody pro zahájení měření ISMS v České poště; požadavky a důvody pro zahájení měření ISMS objasní ředitel odboru bezpečnost ICT. Následně bude konzultantem AEC vysvětlen přístup a způsoby měření ISMS na České poště. Samozřejmě z důvodu citlivosti dat nemůžeme ukázat reálná data, ale taková data, která názorně demonstrují přínos měření ISMS. Cílem prezentace je ukázat, že i pomocí nenákladných prostředků lze efektivně jednak sbírat data a jednak data prezentovat a tato měření jednoduše periodicky opakovat. Závěr prezentace bude opět patřit Řediteli odboru bezpečnost ICT, který shrne výstupy projektu a jeho přínos pro manažerské rozhodování v oblasti investic do zlepšování úrovně bezpečnosti na České poště.

PDF

16:35 — 17:05

Ing. Zdeněk Adamec, CISM - Group IT Security Manager / Home Credit International, a.s.

Zdeněk Adamec začal svou kariéru v IT v roce 1995, kdy ještě jako student VUT Brno začal pracovat na částečný úvazek jako správce LAN v tehdejším SPT Telecom. V roce 2001 nastoupil do Volksbank CZ, a.s., kde byl od r. 2005 v pozici manažera informační bezpečnosti zodpovědný za oblast řízení informační a později i fyzické bezpečnosti. Od 1. července 2011 pracuje ve společnosti Home Credit International, kde zodpovídá za řízení, správu a rozvoj systému řízení informační bezpečnosti finanční skupiny Home Credit.

Milujme naše auditory!

Ing. Zdeněk Adamec, CISM

Manažerský sál

Když se řekne “přijde audit”, řadě bezpečnostních manažerů naskočí husí kůže, mnoho jich zvolá “Jen to ne!” a začne rychle přemýšlet, co by mohli udělat, aby se setkání s auditorem mohli jakýmkoliv způsobem vyhnout. Pokud to jde, hledají se důvody, proč právě teď není ta vhodná doba. V opačném případě probíhá urychlená aktualizace bezpečnostních směrnic, hledá se, kde všude je třeba “natřít trávu” a současně se tiše doufá, že ty papíry budou auditorovi stačit a reálnou situaci bude posuzovat pouze velmi povrchně. A přitom nemá bezpečnostní manažer většího spojence při prosazování bezpečnosti ve společnosti, než je kvalitní auditor silné váhy. Myslíte, že ne? Přijďte o tom podiskutovat. Budu se těšit.

PDF

16:35 — 17:05

Jan Svoboda - Technical Presales / IBM Czech Republic, spol. s r.o.

Jan Svoboda pracuje jako Technical Presales konsultant v IBM, kde má na starosti Rational řešení v České republice. Zaměřuje se na využití agilních metodik v softwarovém vývoji a efektivní propojení světu byznysu se světem IT. Předtím pracoval ve funkci softwarového inženýra v HP R&D, kde se podílel na úspěšném vývoji SOA Systinetu a později jako konsultant v HP Professional Services. Jan Svoboda vystudoval Computer Science na University of Central Florida v Orlandu.

Nástroje pro podporu bezpečnosti ve vývoji

Jan Svoboda

Technický sál

Softwarový vývoj se stává stále složitějším. V rekordně krátkém čase vytváříme komplexní aplikace, které se integrují mezi sebou a jsou dostupné přes webová rozhraní na veřejných či firemních sítích. Zákazníci kladou důraz na kvalitu a jednoduchost nasazení. Zabezpečení aplikací je považováno za automatickou věc. Jak je to ale doopravdy? Jak vývojáři skutečně řeší zabezpečení svých produktů? A kolik bezpečnostních defektů vyplývá ze špatného kódu? Pojďme se podívat na trendy a možnosti v zabezpečení vývoje aplikací a jakým způsobem lze předcházet potenciálním hrozbám.

PDF

17:05 — 17:15

Panelová diskuse

Manažerský sál

17:05 — 17:15

Panelová diskuse

Technický sál

17:15 — 17:20

Předání cen vítězům Hackerské soutěže

Technický sál

17:20 — 17:30

Tombola