Konferencja SEMAFOR to jedno z najważniejszych wydarzeń dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce – w 2018 roku w konferencji wzięło udział ponad 500 uczestników, którzy mogli wybierać spośród 40 prelekcji. SEMAFOR to idealne miejsce do zapoznania się z bieżącymi zagrożeniami i ciekawymi case studies, zdobycia nowego doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT.

 

W GRONIE PRELEGENTÓW

Jan Anisimowicz

Director, Audit Risk & Compliance, C&F, ISACA Warsaw Chapter

Krzysztof Bączkiewicz

ISACA Warsaw Chapter

Michał Bentkowski

Sekurak.pl

Artur Bicki

CEO, EMCA

Piotr Bienias

Systems Engineer, Fortinet

Marek Bieńkowski

Dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego, Najwyższa Izba Kontroli

Krzysztof Bińkowski

Ekspert informatyki śledczej, ISSA Polska

Cezar Cichocki

Szef Centrum Kompetencyjnego, OpenBIZ

Krzysztof Cudak

IT Security Chapter Lead, ING TECH Poland

Wojciech Dworakowski

Członek Zarządu, OWASP

dr Piotr Dzwonkowski

CISA, CISM, CRISC, ISACA Warsaw Chapter, ISSA Polska

Ian Evans

Managing Director, OneTrust EMEA

Artur Gębicz

CFE, CFDA, biegły sądowy, Zastępca Dyrektora ds. Audytu IT, IPS-SGB

Piotr Głaska

Senior Systems Engineer, Infoblox

Dr inż. Agnieszka Gryszczyńska

UKSW, Prokuratura Regionalna w Warszawie

Adam Haertle

Trener, wykładowca, redaktor naczelny, ZaufanaTrzeciaStrona.pl

Paul Heffernan

CISO, Revolut

Borys Iwaszko

CK, CSIRT MON

Jakub Jagielak

Dyrektor ds. Rozwoju Cyberbezpieczeństwa, Atende

Wojciech Józefowicz

Dyrektor Departamentu Korporacyjnego Bezpieczeństwa ICT, Grupa Azoty

Joanna Karczewska

ISACA Warsaw Chapter

dr Maksymilian Karczewski

Asystent, Instytut Chemii Organicznej PAN

Marcin Kazimierczak

Information Risk Manager, Nationale-Nederlanden TUNŻ

Klaudiusz Kosidło

Ekspert Ochrony Danych Osobowych/ Audytor ISO 27001, ISACA Warsaw Chapter

Rafał Krakowski

CISA, CISSP, ISO/IEC 27001 Lead Auditor, Certified Risk Manager, ISACA Warsaw Chapter, ISSA Polska

Łukasz Krzewicki

Audit, Risk & Compliance Expert, ISACA Warsaw Chapter

Paweł Kulpa

Architekt rozwiązań bezpieczeństwa, ISACA Warsaw Chapter

Bartosz Leoszewski

Współzałożyciel, Prezes, FancyFon

Tomasz Mikołajczyk

Inżynier oprogramowania, Specjalista bezpieczeństwa informacji, ISACA Warsaw Chapter

Filip Nowak

MBA, Cybersecurity Architect, Santander Bank Polska

Jakub Nowakowski

SoftCare Expert, COMPAREX Poland

Paweł Olszar

Ekspert ds. Monitoringu i Kontroli Procesów, ING Bank Śląski

Jerzy Paczocha

Główny specjalista, Instytut Łączności – PIB

Mateusz Pastewski

Cybersecurity Sales Manager, CISCO

Sebastian Pikur

Ekspert ds. zarządzania ryzykiem, Blog ryzykoIT.pl, ISACA Warsaw Chapter

Krzysztof Radecki

Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter

Adam Rafajeński

Chief Security Officer, Aegon, ISACA Warsaw Chapter

Marcin Romanowski

Channel Manager Europe, Vade Secure

Paweł Rzepa

Starszy konsultant ds. bezpieczeństwa, OWASP

Łukasz Staniak

Manager Cyber Security, KPMG Advisory

Marek Staniewski

Dyrektor Biura Bezpieczeństwa Informacji, Urząd Miasta Bydgoszczy

Piotr Stecz

Kierownik Działu Bezpieczeństwa Informacji, Adamed

Ireneusz Tarnowski

Ekspert ds. Cyberzagrożeń, Santander Bank Polska

Kash Valji

Director of Consulting Systems Engineering, Fortinet

Wojciech Wrona

CISA, CGEIT, Audytor wiodący ISO 27001, Innogy

Robert Żurakowski

Inspektor Ochrony Danych, Niezależny ekspert

PROGRAM KONFERENCJI

1 dzień konferencji 14 marca 2019
08.00–09.00

Rejestracja uczestników, poranna kawa, networking.

09.00–09.10

Rozpoczęcie konferencji.

09.10–09.35

COBIT 2019 - co nowego?

Po 6 latach od wprowadzenia poprzedniej edycji COBIT, ISACA opublikowała COBIT 2019. W czasie prelekcji słuchacze będą mieli okazję dowiedzieć się dlaczego taka zmiana jest potrzebna, na czym ona polega oraz jak może on wpłynąć na codzienną pracę korzystających z tego standardu organizacji? Na te i inne pytania dotyczące nowej edycji COBIT odpowie ekspert biorący bezpośredni udział w procesie jego aktualizacji.

Krzysztof Bączkiewicz Krzysztof Bączkiewicz, ISACA Warsaw Chapter
09.35–10.05

Incident and Breach Management: Building a Harmonized Response Plan for Privacy & Security Teams.

In the event of a breach, privacy and security professionals often approach incident response from two different outlooks. Whereas security teams are focused on threat vectors, privacy teams are concerned with personal data leaks and adhering to various global privacy laws. While the two come from different perspectives, it is possible to build an incident and breach response plan that addresses the needs of both teams. In this session, we’ll discuss how to build a harmonized response plan that addresses both the security team’s technical needs and privacy team’s regulatory requirements across the patchwork of US privacy laws, the GDPR and other global privacy regulations. We’ll also provide tips to help you map out a 72-hour personal data breach action plan and share practical advice to improve your privacy program.

Ian Evans Ian Evans, Managing Director, OneTrust EMEA
10.05–10.30

Badanie FortiGuard: Trendy i statystyki zagrożeń dla Polski.

A member of Fortinet's FortiGuard team will talk about how Threat Intelligence works within FortiGuard and what Cybersecurity trends FortiGuard have seen in regards to Poland and how these threats compare to the Global Market.  The presentation will also highlight how the Threat Intelligence produced by FortiGuard can be utilized and how best to use your Threat Intelligence Feeds.

Kash Valji Kash Valji, Director of Consulting Systems Engineering, Fortinet
10.30–10.55

Jak pogodzić obowiązki wynikające z UKSC, RODO, UOIN?

W zeszłym roku weszły w życie dwie nowe ustawy mające wpływ na bezpieczeństwo informacji. Najpierw w maju wszyscy śledziliśmy wdrażanie Rozporządzenia o Ochronie Danych Osobowych (RODO), natomiast od sierpnia ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Jeżeli do tych dwóch nowych regulacji prawnych dodamy obowiązującą od wielu lat ustawę o ochronie informacji niejawnych (UOIN) to krystalizuje się duża ilość obowiązków niezbędnych do wykonania w celu zabezpieczenia bezpieczeńśtwa przetwarzanych informacji. Wystąpienie ma na celu przedstawienie tych obowiązków oraz podjęcie próby ujednolicenia i pogodzenia najważniejszych obowiązków wynikających z UKSC, RODO oraz UOIN.

Borys Iwaszko Borys Iwaszko, CK, CSIRT MON
10.55–11.25

Przerwa na kawę i herbatę. Networking.

11.25–12.10

Prelekcja w trakcie ustaleń.

12.10–12.30

Droga od centralizacji logów do systemu SIEM : Elasticsearch, LogManagement, Wazuh, Bro.

Podczas wykładu porozmawiamy o budowaniu wydajnego środowiska centralizacji logów w oparciuo Energy Logserver. System pracuje na bazie Elasticsearch, dla którego zostaną omówione parametry skalowania oraz optymalnej konfiguracji. System zostanie zaprezentowany w integracji z modułem SIEM Wazuh oraz Bro IDS, które to projekty rozszerzają kompletność analizy o obszar bezpieczeństwa.

Artur Bicki Artur Bicki, CEO, EMCA
12.30–13.10

Prelekcja w trakcie ustaleń.

13.10–13.35

Modern cyber security; what we’ve learnt building a bank.

Traditional banks have a lot to answer for. They’ve charged us too much, took too long and lost our trust. Revolut is changing that by building a service which is beyond banking; a current account that lets you hold up to 150 currencies with no bad charges, send money for free worldwide and earn cashback up to 1% on your purchases. This has required a relentless approach to technology and security. In this talk we will share what we have learnt building these services from scratch and what modern cyber security looks like. By attending you’ll find out:

  • What are the ingredients of a security culture
  • How to integrate security into DevOps processes
  • What automation can and cannot fix
Paul Heffernan Paul Heffernan, CISO, Revolut
13.35–14.25

LUNCH

Audyt IT
14.25–14.55

W służbie bezpieczeństwa (danych, płatności).

Podczas prezentacji przedstawione zostanie podejście do zarzadzania cyberbezpieczeństwem, uwzględniające podejście odnoszące się do czynności prewencyjnych i detekcyjnych oraz reakcyjnych. W pierwszej części prezentacji przedstawione zostanie podejście z perspektywy audytora IT, przeprowadzającego badanie zarządzania procesem cyberbezpieczeństwa i wykorzystującego narzędzia do skanowania podatności urządzeń. Natomiast w ramach drugiej części prezentacji przedstawione zostaną doświadczenia biegłego sądowego badającego sprawy cyberbezpieczeństwa.

Artur Gębicz Artur Gębicz, CFE, CFDA, biegły sądowy, Zastępca Dyrektora ds. Audytu IT, IPS-SGB
Techniczne aspekty bezpieczeństwa
14.25–14.55

Nowe oblicze phishingu.

Prezentacja zawierać będzie przypomnienie, na czym polega klasyczny phishing oraz zaprezentuje nowe techniki stosowane przez przestępców w celu pozyskania danych klientów bankowości internetowej i wyprowadzenia ich środków finansowych. Prelegent opowie jak przestępcy manipulują użytkownikami by zmusić ich do skorzystania z linku zawartego w mailu, komunikatorze lub SMS-ie. Prezentacja obejmie techniki manipulacji takie jak np. „na znajomego z Facebooka”, „na sprzedawcę OLX/Allegro”, czy opisze ostanie przypadki związane z morele.net.

Paweł Olszar Paweł Olszar, Ekspert ds. Monitoringu i Kontroli Procesów, ING Bank Śląski
Zarządzanie bezpieczeństwem informacji
14.25–14.55

KSC, główne bariery wdrożenia wymagań ustawy dla Operatora Usługi Kluczowej (OUK).

Przygotowanie Operatora Usługi Kluczowej do nowych zadań wg ustawy KSC, wymaga podjęcia szeregu działań w organizacji. Podczas prelekcji uczestnicy dowiedzą sią jakie bariery we wdrożeniu KSC mogą napotkać i jakie wiążą się z tym wyzwania - głównie związane z:  ograniczeniami w zasobach (dostępności i jakości kadry, technologii); stanem świadomości w zakresie celu i potrzeb cyberbezpieczeństwa; odpowiedzialności  finansowej  wg KSC  a realnymi możliwościami spełnienia wymogów ustawy.

Krzysztof Radecki Krzysztof Radecki, Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter
Gospodarka 4.0
14.25–14.55

Fake newsy vs. nauka.

W dzisiejszym świecie jesteśmy nagminnie atakowani fake newsami. Ich źródłem nie zawsze jest niewiedza, często są one celowymi działaniami. Czy istnieje realna szansa obrony przed nimi?

dr Maksymilian Karczewski dr Maksymilian Karczewski, Asystent, Instytut Chemii Organicznej PAN
14.55–15.15

Audyt dezinformacji.

14.55–15.15

Jak wykryć malware w ruchu zaszyfrowanym (bez odszyfrowywania)?

Ilość ruchu zaszyfrowanego rośnie każdego roku spędzając sen z powiek analityków cyberbezpieczeństwa. Odszyfrowywanie ruchu wzbudza wiele kontrowersji etycznych i jest kłopotliwe technicznie. Czy istnieje zatem alternatywa? W czasie swojej sesji pokażę opatentowaną technologię Cisco Encrypted Traffic Analytics (ETA) pozwalająca na wykrywanie złośliwego oprogramowania w ruchu zaszyfrowanym bez konieczności jego odszyfrowania.

Mateusz Pastewski Mateusz Pastewski, Cybersecurity Sales Manager, CISCO
14.55–15.15

Zarządzanie bezpieczeństwem informacji.

  • Czy koszt utraty danych powinien wpływać na ocenę ich wartości? 
  • Czy ich wartość powinna określać poziom zabezpieczeń? 
  • Czy istnieją niezawodne metody zabezpieczenia danych? 
  • Opisany tu proces postaramy się omówić na konkretnych przykładach, zachęcając do nieco świeższego podejścia do tego mocno przepracowanego już tematu.
Jakub Nowakowski Jakub Nowakowski, SoftCare Expert, COMPAREX Poland
14.55–15.15

Nowe zagrożenia dla infrastruktury przemysłowej.

15.15–15.45

COBIT2019 – Po co nam to? Rozprawa o zaletach i wadach wykorzystywania zdrowego rozsądku oraz nowego COBIT’u do zarządzania IT i do spełniania wymagań prawnych.

Regulacje prawne takie jak RODO, KSC, KRI, jak również najlepsze praktyki zarządzania wyrażone systemami zarządzania ISO (np. ISO/IEC 27001, ISO 22301) wprowadzają wymóg projektowania przetwarzania informacji w organizacji zobowiązując jednocześnie kierownictwo do rozliczenia się ze swych adekwatnych i skutecznych działań. Naprzeciw tym wymaganiom wychodzi COBIT2019, dostarcza zasady, metody, koncepcje i narzędzi aby całościowo podejść do tematu przetwarzania informacji w organizacjach:  przemyślana struktura, dobrze naoliwiony mechanizm od lat dostosowywany i ulepszany … oraz od lat niedoceniony, a może słusznie? Pragmatyzm podpowiada iż dobre zaprojektowanie (design) i nastawienie się na osiąganie zaplanowanych wartości, a w tym zgodności z wymaganiami prawnymi zawsze były, są i będą dobrą strategią. Działania zgodne z tą strategią świadczyć mogą o profesjonalnym, adekwatnym i starannym spełnianiu wymagań przez zarządzających. Tylko czy zawsze potrzebujemy czegoś tak skomplikowanego i oderwanego od naszych wyobrażeń? Może zdrowy rozsądek, doświadczenie, kreatywność i szczypta romantyzmu wystarczą?

dr Piotr Dzwonkowski dr Piotr Dzwonkowski, CISA, CISM, CRISC, ISACA Warsaw Chapter, ISSA Polska
Rafał Krakowski Rafał Krakowski, CISA, CISSP, ISO/IEC 27001 Lead Auditor, Certified Risk Manager, ISACA Warsaw Chapter, ISSA Polska
15.15–15.45

Jak MITRE ATT&CK może zostać wykorzystane w budowaniu monitoringu bezpieczeństwa aplikacji?

MITRE ATT&CK jako framework wskazuje jakimi metodami hackerzy mogą dostać się do infrastruktury informatycznej naszej organizacji. Szczególnie istotnym wydaje się to w jaki sposób fazy ataku na środowiska systemów operacyjnych mogą posłużyć do budowania scenariuszy wyłapujących ataki na krytyczne aplikacje firmowe. Podczas prelekcji słuchaczom zostaną zaprezentowane stworzone i przetestowane scenariusze wyłapujące ataki hackerskie w narzędziach typu SIEM.

Krzysztof Cudak Krzysztof Cudak, IT Security Chapter Lead, ING TECH Poland
15.15–15.45

Security by design

15.15–15.45

Sztuczna inteligencja, blockchain, metody zwinne – czy audyt jest na nie gotowy?

W prezentacji prelegent przedstawi jak zwinne metody i ich innowacyjność przyczyniły się do zwiększenia wskaźników sukcesu w rozwoju oprogramowania, poprawy jego jakości i szybkości wprowadzania rozwiązań na rynek, a także zwiększyły motywację i wydajność zespołów IT. Metody te rozprzestrzeniają się na inne branże i funkcje. Przedstawione zostanie jak można promować i korzystać ze zwinności, także w podejściu do nowoczesnych audytów. W trakcie prelekcji ekspert omówi możliwe wpływy nowych technologii na pracę audytorów oraz  jak sztuczna inteligencja będzie mogła wspierać audyt w sposób ciągły, tak by w automatyczny sposób mitygować ryzyka, które mogą wystąpić w przyszłości. Mechanizmy samokontroli i weryfikacji zaimplementowane w nowych technologiach (jak blockchain) mogą zmienić sposób pracy działów audytu. Czy audytorzy zamiast głównej koncentracji na analizie przeszłości, będą mieli odpowiednie narzędzia by przewidywać możliwe przyszłe zdarzenia i ewentualnie korygować błędy, które mogłyby się pojawić w przyszłości? Nowe technologie wymagają zmiany myślenia i nowego podejścia do działań audytowych, jak i inwestycji w nowe obszary. Powstaną nowe wyzwania i nowe ryzyka, na które najlepszym rozwiązaniem wydaje się ciągłe śledzenie zmian technologicznych i odpowiadanie na nie w sposób zwinny.

Łukasz Krzewicki Łukasz Krzewicki, Audit, Risk & Compliance Expert, ISACA Warsaw Chapter
15.45–16.10

Przerwa na kawę i herbatę. Networking.

16.10–16.40

Zarządzanie bezpieczeństwem informacji w aspekcie projektów informatycznych realizowanych w administracji publicznej ze środków UE.

W czasie prelekcji dowiemy się w jaki sposób na poprawę poziomu bezpieczeństwa wpływają projekty finansowane ze środków unijnych na szczeblach:  centralnym, regionalnym i lokalnym  wynikających z kryteriów oceny projektów Programu Operacyjnego Polska Cyfrowa oraz Regionalnych Programów Operacyjnych. Dodatkowo omówione zostanie kompleksowe podejście do zarządzania bezpieczeństwem Informacji nie tylko w zakresie przetwarzania danych, lecz także w połączeń dla potrzeb interoperacyjności systemów lokalnych, regionalnych i centralnych oraz systemów komunikacji elektronicznej. Ponadto prześledzimy wpływ technologii oraz rozwoju sieci telekomunikacyjnej w kierunku ALL IP na rozwiązania systemów  informatycznych i systemów komunikacji elektronicznej w administracji publicznej. Na zakończenie zostaną przedstawione proponowane kierunki działań, dotyczące tych kwestii.

Jerzy Paczocha Jerzy Paczocha, Główny specjalista, Instytut Łączności – PIB
16.10–16.40

Testowanie bezpieczeństwa chmury na przykładzie AWS.

W dzisiejszych czasach powszechną praktyką jest przeprowadzanie okresowych testów bezpieczeństwa lokalnej sieci, jednakże rzadko kiedy właściciele firm decydują się na podobne testy ich środowisk chmurowych. Musimy zrozumieć nowe zagrożenia i ryzyka, które pojawiły się wraz z usługami chmurowymi oraz jak powinniśmy zmienić nasze podejście do ich testowania. Celem prezentacji jest pokazanie konieczności testowania środowiska chmurowego oraz jak bardzo różni się ono od testów środowiska opartego o klasyczną architekturę. W formie dema przedstawiony zostanie przykładowy atak na firmę wykorzystującą usługi AWS. Wykorzystując podatność w aplikacji webowej, a następnie szereg drobnych zaniedbań w konfiguracji AWS, prelegent pokaże jak potencjalny atakujący może krok po kroku przejąć rolę administratora AWS, a następnie usunąć wszystkie dowody swojej aktywnności. Na podstawie przeprowadzonego ataku i zebranych wniosków odpowie na pytanie "jak powinien wyglądać test bezpieczeństwa chmury?".

Paweł Rzepa Paweł Rzepa, Starszy konsultant ds. bezpieczeństwa, OWASP
16.10–16.40

Ochrona informacji w firmie farmaceutycznej – jak znaleźć balans między bezpieczeństwem, a elastycznością działania.

Ochrona informacji w firmach komercyjnych, które nie podlegają ścisłym regulacjom w tym zakresie (jak np. banki) nie jest łatwa, niemniej jednak konieczna. Podczas prelekcji prelegent postara się znaleźć odpowiedź na pytanie: „Jak zrównoważyć bezpieczeństwo z elastycznością działania biznesu?”. Prezentacja będzie poruszała kwestie specyfiki bezpieczeństwa informacji w farmacji na podstawie case study (Marketing, R&D, Badania Kliniczne, Internet of Things). W czasie prelekcji uczestnicy dowiedzą się w jaki sposób budować pozycję działów bezpieczeństwa informacji w organizacji, świadomość bezpieczeństwa informacji oraz jak w tym wszystkim zachować umiar i zdrowy rozsądek.

Piotr Stecz Piotr Stecz, Kierownik Działu Bezpieczeństwa Informacji, Adamed
16.10–16.40

Na co ty znowu chcesz ode mnie pieniędzy? - Jak analiza ryzyka może pomóc znaleźć sens w wydatkach na bezpieczeństwo.

Przed 25 maja 2018 każda inwestycję w bezpieczeństwo można było uzasadnić przygotowaniem do RODO. Teraz niezbędne wydatki trzeba już uzasadniać inaczej. W prezentacji prelegent postara się pokazać jak analiza ryzyka i podejście GRC pozwala nie tylko uzasadnić wydatki na bezpieczeństwo ale także określić, które z nich są ważniejsze.

Paweł Kulpa Paweł Kulpa, Architekt rozwiązań bezpieczeństwa, ISACA Warsaw Chapter
16.40–17.00

Certyfikacja audytorów

16.40–17.00

Ataki na aplikacje webowe.

16.40–17.00

A new approach to email security for Office 365 For hackers, Office 365 is the new black!

Because a simple set of Office 365 credentials can unlock a treasure trove of sensitive documents, applications and confidential business information, Office 365 is now the #1 target for cybercriminals looking to make a fast profit. Each day these hackers implement new and ever-more creative phishing and spear phishing attacks that easily bypass traditional email security solutions. Discover the latest threats and techniques, and learn what you can do to prevent cybercriminals from breaking into your organization with just a single email.

Marcin Romanowski Marcin Romanowski, Channel Manager Europe, Vade Secure
16.40–17.00

Aktywna ochrona w infrastrukturze automatyki przemysłowej.

Prezentacja będzie dotyczyła możliwych sposobów monitorowania infrastruktury automatyki przemysłowej. W trakcie wystąpienia zostaną przedstawione główne wyzwania związane z monitorowaniem zdarzeń w środowisku IACS, a zaprezentowane przykłady będą stanowiły praktyczne wskazówki umożliwiające podniesienie dojrzałości organizacji w odniesieniu do zagadnień związanych z cyberbezpieczeństwem.

Łukasz Staniak Łukasz Staniak, Manager Cyber Security, KPMG Advisory
17.00–17.30

Zarządzanie bezpieczeństwem informacji poprzez budowanie świadomości zagrożeń.

Prowadzący zabierze uczestników w podróż wokół przekazu rządzonego zasadą Pareta, wyjaśni dlaczego białko łączące krzesło z klawiaturą należy upodmiotowić, opowie kiedy mniej znaczy więcej i zdradzi czego można się dowiedzieć, jeśli będzie się słuchać. W trakcie panelu zaprezentowane zostaną najlepsze praktyki przekazywania pracownikom wiedzy dotyczącej zasad zachowania bezpieczeństwa informacji oraz scenariuszy, wektorów i mechanizmów ataków.

Wojciech Wrona Wojciech Wrona, CISA, CGEIT, Audytor wiodący ISO 27001, Innogy
17.00–17.30

Czy S w PSD2 znaczy Secure?

Rok 2019 może dużo zmienić w świecie bankowości, fintechów, e-commerce i płatności elektronicznych, również w zakresie bezpieczeństwa. W tym roku wejdą w życie regulacje dyrektywy PSD2 dotyczące interfejsów API które banki muszą udostępnić dla podmiotów trzecich oraz silnego, wieloskładnikowego uwierzytelniania i autoryzowania operacji finansowych. Jak to wpłynie na bezpieczeństwo usług bankowych i płatności elektronicznych? Tak jak przy każdej zmianie, wiele zależy od szczegółów. Przede wszystkim od sposobu implementacji interfejsów API i funkcji uwierzytelniania wieloskładnikowego. Testując bezpieczeństwo nowych aplikacji finansowych ekspert miał okazje zaobserwować niektóre trendy i zebrać informacje o typowych błędach popełnianych podczas implementacji. Podczas prezentacji prelegent przyjrzy się technicznym wyzwaniom związanym z bezpieczeństwem w kontekście PSD2. Omówione zostaną niektóre podatności spotykane w funkcjonalności uwierzytelniania dwuskładnikowego (2FA) i autoryzacji transakcji (w tym w zastosowaniach biometrii) oraz w interfejsach API do usług bankowych. Przedstawione zostaną również dobre praktyki odnośnie implementacji 2FA i interfejsów PIS/AIS.

Wojciech Dworakowski Wojciech Dworakowski, Członek Zarządu, OWASP
17.00–17.30

Cyberbezpieczeństwo, jako niezbędny element autonomii informacyjnej - również Twojej osobistej.

Uczestnicy będą mieli okazję pogłębienia swojej wiedzy na temat ścisłego związku cyberbezpieczeństwa z prywatnością. Prezentacja ma skłonić do rozważań dotyczących roli słuchacza oraz reprezentowanej przez niego organizacji w zachodzących procesach wykorzystujących Infinite Data, AI, korelacje oraz profilowanie. Prowadzący wskaże niebezpieczeństwa i kierunki postępowania wynikające z prawa, norm i racjonalnego przeciwdziałania zagrożeniom.

Robert Żurakowski Robert Żurakowski, Inspektor Ochrony Danych, Niezależny ekspert
17.00–17.30

RODOBOT, czyli jak sztuczna inteligencja może pomóc w wyszukiwaniu danych osobowych.

W ramach prezentacji uczestnicy dowiedzą się, w jaki sposób można ograniczyć ryzyko związane z danymi osobowymi w zbiorach Big Data gromadzonymi przez organizację, przy wykorzystaniu zautomatyzowanego, samouczącego się BOT-a. Zaproponowana w czasie prezentacji koncepcja jest oparta na autentycznie wdrożonym rozwiązaniu, które zostało przetestowane w dynamicznie zarządzanej chmurze obliczeniowej AWS. Szczególną uwagę należy zwrócić na efektywność kosztową prowadzenia wyszukiwania danych osobowych w terabajtach danych niestrukturalnych (o różnych formatach), korzystając z dziesiątek procesorów, która jest bardzo niska. Prezentacja ma zainspirować uczestników do podjęcia własnych działań, w tym obszarze.

Jan Anisimowicz Jan Anisimowicz, Director, Audit Risk & Compliance, C&F, ISACA Warsaw Chapter
20.00

Spotkanie integracyjne uczestników konferencji.

2 dzień konferencji 15 marca 2019
08.30–09.00

Rejestracja uczestników. Poranny poczęstunek i networking.

09.00–09.25

Dlaczego należy się przejmować XSS-em?

Cross-Site Scripting (XSS) to jedna z najpopularniejszych podatności aplikacji webowych. Często jest ona niedoceniana i kojarzona wyłącznie z osławionym kodem „alert(1)”. Można zadać sobie pytanie: jakie skutki może przynieść XSS w realnej aplikacji? Co napastnik może osiągnąć?

W prezentacji odpowiem na te pytania, pokazując w jaki sposób XSS można wykorzystać do:

  • Wykonywania dowolnych akcji na stronie bez zgody użytkownika,
  • Kradzieży danych użytkownika,
  • Tworzenia zrzutów ekranu z atakowanej webaplikacji,
  • Przekierowywania ruchu w przeglądarce napastnika przez przeglądarkę ofiary, wykorzystując technikę znaną jako XSS proxy,
  • Atakowania innych usług z sieci lokalnej ofiary.

Wszystkie te przykłady zostaną zaprezentowane na żywo na działającej aplikacji. Omówione zostaną również podstawowe sposoby zabezpieczenia przed XSS-ami. 

Michał Bentkowski Michał Bentkowski, Sekurak.pl
09.25–09.45

DNS jako narzędzie walki.

W trakcie prezentacji na bazie realnych przypadków przyjrzymy się w jaki sposób, na których etapach i dlaczego protokół DNS jest wykorzystywany w cyberatakach. Szczególny nacisk zostanie położony na wykorzystanie DNS do komunikacji Command and Control oraz do eksfiltracji danych. Rozważone zostanie również w jaki sposób DNS może być wykorzystany jako środek obrony oraz jak może wzbogacić zespoły SOC o dodatkowe informacje przydatne w reakcji na różne rodzaje zdarzeń.

Piotr Głaska Piotr Głaska, Senior Systems Engineer, Infoblox
09.45–10.05

SCADA i IoT - bezpieczeństwo poza perymetrem.

Prezentacja przedstawia zagrożenia dla systemów automatyki przemysłowej oraz Internet of Things na podstawie zdarzeń napotkany u naszych Klientów w całej Europie. Uczestnicy dowiedzą się:

  • W jaki sposób badać nieinwazyjnie (bez konieczności aktywnego skanowania) systemy automatyki przemysłowej 
  • Nawet fizyczna separacja systemów automatyki przemysłowej od sieci LAN nie utrudnia przeprowadzenia ataku skutkującego skutecznym wstrzymaniem produkcji - przykład z życia wzięty
  • Czemu pojęcie Shadow Security jest szczególnie ważne w wypadku IoT i SCADA
  • Jak dostawca urządzeń zmusił hutę szkła do zapłacenia okupu i czemu analiza SCADA powinna odbywać się w sposób ciągły i w czasie rzeczywistym
  • Czemu analiza wyłącznie stacji zarządczych SCADA jest błędem w sztuce i czego można dowiedzieć się z ruchu generowanego przez PLC i RTU
  • Czemu punkt styku z siecią publiczną wcale nie musi być jedynym punktem styku i jaki wpływ miało to na duży zakład produkcyjny na południu Europy
Cezar Cichocki Cezar Cichocki, Szef Centrum Kompetencyjnego, OpenBIZ
10.05–10.25

Oczekujemy na potwierdzenie prelegenta.

10.25–10.50

How to defend IIOT’s?

  • How is IIOT (using OT) different from IT – and why should they be kept separate?
  • What are the vulnerabilities?
  • Is Shodan primarily a benefit or a threat?
  • What are the latest threats targeting the Industrial Internet of Things (IIOT)?
  • What can we learn from previous attacks?
10.50–11.20

Przerwa na kawę i herbatę. Networking.

11.20–11.45

Incydenty duże i bardzo duże, czyli administrator też człowiek.

Omówione zostanie kilkadziesiąt mniejszych i większych incydentów bezpieczeństwa, których przyczyną była wrodzona niedoskonałość rodzaju ludzkiego. Wraz z pprelegentem uczestnicy przejdą wspólnie przez historie wielu firm, w których doszło (lub mogło dojść) do nieprzyjemnych wydarzeń na skutek ludzkich błędów i zaniedbań. Będzie smiesznie, będzie strasznie, będzie ciekawie.

Adam Haertle Adam Haertle, Trener, wykładowca, redaktor naczelny, ZaufanaTrzeciaStrona.pl
11.45–12.05

Oczekujemy na potwierdzenie prelegenta.

12.05–12.25

SOAR kaprys czy już konieczność.

Jakub Jagielak Jakub Jagielak, Dyrektor ds. Rozwoju Cyberbezpieczeństwa, Atende
12.25–12.50

Oczekujemy na potwierdzenie prelegenta.

12.50–13.05

Wyzwania w obszarze cyberbezpieczeństwa.

Marek Bieńkowski Marek Bieńkowski, Dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego, Najwyższa Izba Kontroli
13.05–13.55

LUNCH

Audyt
13.55–14.25

Pomiar bezpieczeństwa - organizacje muszą zmierzyć się z problemem pomiaru.

Pomiar jest fundamentem poznania rzeczywistości, stanu faktycznego. Jego brak powoduje błędne decyzje, a konwencjonalne metody tworzą dezinformacje i decyzje gorsze niż ich brak. Nie każda informacja to władza, podobnie jak metryki funkcjonalne nie są miarą bezpieczeństwa. Autor przedstawi niezwykle ważny temat pomiaru bezpieczeństwa, który przechodzi przez wszystkie dyscypliny nauki, nie tylko zarządzanie bezpieczeństwem, audytu czy technicznych aspektów cyber-bezpieczeństwa. Jak skuteczne są nasze linie obrony? Jak nowe wektory ataków wpływają na dane, które chronimy? Które wdrożenie jest priorytetem? Autor przedstawi klasyczne podejście do pomiaru w organizacjach, oraz powody, dlaczego jest ono niedopuszczalne. Podczas prezentacji nie zabraknie matematyki, uczenia maszynowego, logiki czy niespodziewanych wyników. Teoria i praktyka pozwolą słuchaczom rozpocząć zmiany w firmach w kierunku mierzalnego bezpieczeństwa. Oznacza to obiektywne decyzje, efektywne finansowanie, a także wreszcie dobrą strategię bezpieczeństwa. Wojny informacyjne zaczynają się od wojen matematycznych i tam też mierzą się losy organizacji.

Filip Nowak Filip Nowak, MBA, Cybersecurity Architect, Santander Bank Polska
Techniczne aspekty bezpieczeństwa
13.55–14.25

Zaprojektowanie, utworzenie i utrzymanie globalnego SOC.

Wiele organizacji zastanawia się nad Security Operations Centre. W czasie prezentacji uczestnicy dowiedzą co należy wziąć pod uwagę planując uruchomienie SOC, m. in. czy należy skorzystać z gotowych usług czy lepiej zbudować własny zespół w swojej organizacji. Dodatkowo przedstawione zostaną zalety i wady obu rozwiązań oraz ich orientacyjne koszty. Ekspert odpowie również na pytanie czy możliwe jest przejście z jednego modelu do drugiego lub też praca w trybie hybrydowym.

Adam Rafajeński Adam Rafajeński, Chief Security Officer, Aegon, ISACA Warsaw Chapter
Zarządzanie bezpieczeństwem informacji
13.55–14.25

Najczęstsze ataki na użytkowników Internetu w Polsce - z perspektywy organów ścigania.

Podczas prezentacji omówione zostaną najczęstsze ataki na użytkowników Internetu w Polsce – w tym w szczególności związane z dystrybucją ransomware oraz phishingiem ukierunkowanym na klientów banków. Zostaną również poddane analizie wybrane przepisy określające odpowiedzialność karną za poszczególne czyny. Uczestnicy wykładu dowiedzą się ponadto czego unikać aby nie stać się ofiarą cyberprzestępców oraz jak złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa – w tym jakie dokumenty i dane dostarczyć aby zwiększyć prawdopodobieństwo wykrycia i doprowadzenia do odpowiedzialności karnej sprawcy.

Dr inż. Agnieszka Gryszczyńska Dr inż. Agnieszka Gryszczyńska, UKSW, Prokuratura Regionalna w Warszawie
Warsztat
13.55–15.35

NETWORK FORENSICS jako element procesu zarządzania incydentami.

Krzysztof Bińkowski Krzysztof Bińkowski, Ekspert informatyki śledczej, ISSA Polska
14.25–14.45

Audyt cyberbezpieczeństwa w kontekście Ustawy o krajowym systemie cyberbezpieczeństwa.

14.25–14.45

Bezpieczeństwo sieci mobilnych.

14.25–14.45

Bezpieczeństwo ALBO prywatność? Czy naprawdę musimy wybierać?

Zabezpieczenie danych firmowych vs. ochrona prywatności użytkownika to jak konfrontacja czegoś niezbędnego z czymś absolutnie koniecznym. Oba obszary, tak samo ważne, koncentrują się na jednym wspólnym celu: bezpieczeństwie. Czy naprawdę musimy wybierać pomiędzy jednym a drugim?

Bartosz Leoszewski Bartosz Leoszewski, Współzałożyciel, Prezes, FancyFon
14.45–15.15

Cyber risk - wsparcie zarządzania firmą czy zapewnienie zgodności.

Podejście do zarządzania cyberprzestrzenią bazujące na ryzyku jest jednym z głównych założeń oraz powszechnie uznaną praktyką wśród firm cyfrowego świata. W rzeczywistości, często stosowaną w sposób niesformalizowany. Zarządzanie ryzykiem staje się nie tylko działaniem wspierającym efektywne zarządzanie i podejmowanie decyzji, jest także koniecznie dla zapewnienia zgodności z przepisami prawa czy deklarowanymi standardami. W trakcie prezentacji przedstawię praktyki strukturalnego podejścia do opracowania, wdrożenia i utrzymywania procesów zarządzania ryzykiem związanym z cyberprzestrzenią.

Sebastian Pikur Sebastian Pikur, Ekspert ds. zarządzania ryzykiem, Blog ryzykoIT.pl, ISACA Warsaw Chapter
14.45–15.15

Cyberbezpieczeństwo z perspektywy inżyniera oprogramowania.

Cyberbezpieczeństwo jest obecnie jednym z najczęściej pojawiających się pojęć w przestrzeni. Obserwacja rzeczywistości skłania do refleksji i postawienia pytania czy ludzie rozumieją,  że cyberbezpieczeństwo to jest proces a nie zjawisko. Odnosząc faktyczne działania do zdobyczy nauki można postawić  tezę, że cyberbezpieczeństwo to w wielu przypadkach cyberMODA i cyberŚCIEMA. Cyberbezpieczeństwa nie można zadekretować, ani kupić. Cyberbezpieczeństwo musi być rozpatrywane w powiązaniu z budową i funkcjonowaniem systemów teleinformatycznych. Jeżeli tylko 30%-40% projektów związanych z budową systemów teleinformatycznych jest zakończonych sukcesem to podobna skala przekłada się na projekty związane z cyberbezpieczeństwem. Przykłady „z życia” i konkluzja – czy i jak możemy to zmienić? 

Tomasz Mikołajczyk Tomasz Mikołajczyk, Inżynier oprogramowania, Specjalista bezpieczeństwa informacji, ISACA Warsaw Chapter
14.45–15.15

Czy jesteś gotowy na bezpieczną sieć SD-WAN.

SD-WAN czyli "Software-Defined Wide Area Network" jest stosunkowo nowym ale obecnie bardzo modnym pojęciem w świecie IT. SD-WAN umożliwia budowę sieci rozległych odpornych na awarie oraz zachowanie wysokiej jakości usług przy wykorzystaniu różnych typów połączeń. Takie sieci oprócz posiadania licznych zalet stawiają również konkretne wyzwania związane z zapewnieniem odpowiedniego poziomu bezpieczeństwa i ciągłości działania aplikacji. Podczas prezentacji przedstawione zostaną podstawowe zasady funkcjonowania SD-WAN oraz aspekty bezpieczeństwa, na które szczególnie warto zwrócić uwagę przy projektowaniu tego rodzaju sieci.

Piotr Bienias Piotr Bienias, Systems Engineer, Fortinet
15.15–15.35

Przerwa na kawę i herbatę. Networking.

15.35–16.05

Czy zgodność regulacyjna to nowa podatność? Pakiet Cyber Regulacji - turbo przyspieszenie, czy mega spowolnienie. Jakie niesie za sobą szanse, a jakie zagrożenia?

W czasie prelekcji ekspert odpowie na pytanie jak przedsiębiorstwa z segmentu SMB mogą sprostać zgodności z Pakietem Cyber Regulacji. Implementacja w usługi mechanizmów zapewniających zgodność dostarczane biznesowi to jedno, pytanie kto miałby je obsługiwać oraz jak podnieść poziom rzeczywistego bezpieczeństwa w organizacji i ludzi w samym „systemie”. Ekspert wskaże również rolę człowieka jako podmiotu, którego nie powinno się eliminować w rozważaniach nt. przyszłości: „Ostatnio zbyt często idziemy na skróty zachwycając się rozwojem technologicznym i możliwościami systemów, które sami tworzymy. Sztuczna Inteligencja (i jej pochodne takie jak deep learning, machine learning, predykcja, czy analizy behawioralne) czasami przesłaniają istotę sprawy i to czemu mają służyć. Pora zadać sobie pytanie czy już nie czas zacząć na poważnie inwestować w ludzi? Nie zatrzymamy postępu technologicznego ani też nie zastąpimy człowieka - zmieni się po prostu jego rola. Musimy włączyć nowe myślenie i przejść na nowe podejście podobne temu jakie miało miejsce w XIX wieku w związku z rewolucją przemysłową i rozwojem wiedzy. Odpowiedzi i podejścia jakie znaliśmy do tej pory nie wystarczą.”.

Klaudiusz Kosidło Klaudiusz Kosidło, Ekspert Ochrony Danych Osobowych/ Audytor ISO 27001, ISACA Warsaw Chapter
15.35–16.05

Bezpieczeństwo informacji - kultura i niewiedza.

Aby skutecznie budować cyberbezpieczeństwo organizacji, należy wiedzieć, przed kim się ona broni, jakie są cele adwersarzy oraz jakie stosują techniki, by osiągnąć swój cel. Prezentacja przybliża sposoby, w jaki sponsorowane grupy hakerskie wybierają cel, budują infrastrukturę ataku oraz techniki, które stosują. Pokazane zostanie w jaki sposób analitycy śledzą przygotowania do ataku i próbują wyprzedzić ruchy przestępców. Całość prezentacji zostanie oparta na analizie wybranych rozpoznanych grup APT działających w światowej cyberprzestrzeni. Zostanie poruszony problem skuteczności obecnych metod obrony w kontekście tradycyjnego modelu budowania infrastruktury bezpieczeństwa. Budowa cyberbezpieczeństwa organizacji to budowa wiedzy i potencjału do reagowania na zagrożenia i incydenty.  Mając tę wiedzę można opracować plany jak się bronić, jak planować reagowanie na incydenty.  Prezentacja przybliży jak wykorzystać skutecznie analizę zagrożeń (Cyber Threat Inetlligence) w procesach zarządzania incydentami w skali organizacji, analizując znane techniki ataków oraz jak przygotować się do ich wykrycia i zneutralizowania.

Wojciech Józefowicz Wojciech Józefowicz, Dyrektor Departamentu Korporacyjnego Bezpieczeństwa ICT, Grupa Azoty
15.35–16.05

Analiza ryzyka a ocena skutków przetwarzania (DPIA).

Analiza ryzyka dla wielu organizacji jest nie tylko wynikającym ze stosowanych dobrych praktyk elementem zarządzania, ale również obowiązkiem wynikającym z przepisów prawa. Wejście w życie RODO stało się kolejną przesłanka obligującą firmy i instytucje do wdrożenia procesu zarządzania ryzykiem oraz oceny skutków przetwarzania. Często spotykamy się ze zjawiskami silosowości w podejściu do zarządzania ryzykiem. Stosujemy różne metodyki i procesy dla zarządzania ryzykiem bezpieczeństwa informacji i ryzyk operacyjnych. Czy tak być musi? Prelegent postara się przekonać uczestników, że nie. Bazując na zastosowanym w Urzędzie Miasta Bydgoszczy podejściu GRC (governance risk compliance) pokaże jak można zbudować spójny system zarządzania ryzykiem angażujący wszystkie komórki organizacyjne.

Marek Staniewski Marek Staniewski, Dyrektor Biura Bezpieczeństwa Informacji, Urząd Miasta Bydgoszczy
16.05–16.35

RODO - zmarnowana szansa dla cyberbezpieczeństwa.

Czy RODO wymaga cyberbezpieczeństwa? TAK! Czy RODO pomogło cyberbezpieczeństwu? NIE! Dlaczego nie wykorzystano zgiełku wokół RODO, by podnieść poziom świadomości i bezpieczeństwa informacji i ochronę danych osobowych w cyberprzestrzeni? Gdzie popełniono błędy? W trakcie prezentacji pokazane zostaną luki w postępowaniu oraz różnice pomiędzy podejściem prawniczym i informatycznym do cyberbezpieczeństwa.

Joanna Karczewska Joanna Karczewska, ISACA Warsaw Chapter
16.05–16.35

Cyber Threat Intelligence jako niezbędny element budowy cyberbezpieczeństwa

Aby skutecznie budować cyberbezpieczeństwo organizacji, należy wiedzieć, przed kim się ona broni, jakie są cele adwersarzy oraz jakie stosują techniki, by osiągnąć swój cel. Prezentacja przybliża sposoby, w jaki sponsorowane grupy hakerskie wybierają cel, budują infrastrukturę ataku oraz techniki, które stosują. Pokazane zostanie w jaki sposób analitycy śledzą przygotowania do ataku i próbują wyprzedzić ruchy przestępców. Całość prezentacji zostanie oparta na analizie wybranych rozpoznanych grup APT działających w światowej cyberprzestrzeni. Zostanie poruszony problem skuteczności obecnych metod obrony w kontekście tradycyjnego modelu budowania infrastruktury bezpieczeństwa. Budowa cyberbezpieczeństwa organizacji to budowa wiedzy i potencjału do reagowania na zagrożenia i incydenty.  Mając tę wiedzę można opracować plany jak się bronić, jak planować reagowanie na incydenty.  Prezentacja przybliży jak wykorzystać skutecznie analizę zagrożeń (Cyber Threat Inetlligence) w procesach zarządzania incydentami w skali organizacji, analizując znane techniki ataków oraz jak przygotować się do ich wykrycia i zneutralizowania.

Ireneusz Tarnowski Ireneusz Tarnowski, Ekspert ds. Cyberzagrożeń, Santander Bank Polska
16.05–16.35

Business Impact Assessment, czyli jak przełożyć wymagania biznesowe na stosowane środki bezpieczeństwa aplikacji.

Słuchacze będą mieli okazję zapoznać się z procesem BIA, czyli Business Impact Assessment. Zaprezentowany zostanie sposób w jaki przeprowadzać i analizować wyniki BIA, oceniać Poufność, Integralność i Dostępność danych oraz jak przekładać wynik takiej oceny na konkretne środki techniczne.

Marcin Kazimierczak Marcin Kazimierczak, Information Risk Manager, Nationale-Nederlanden TUNŻ
16.35

Zakończenie konferencji.

Organizatorzy dołożą wszelkich starań, aby konferencja odbyła się zgodnie z prezentowanym programem, jednak zastrzega się możliwość częściowych zmian.

DO UDZIAŁU ZAPRASZAMY:

Udział w konferencji Semafor 2019 to
13 punktów CPE do certyfikatów: CISSP/ CISA/ CISM/ CRISC/ CGEIT

NAJLEPSZĄ REKOMENDACJĄ SĄ OPINIE UCZESTNIKÓW POPRZEDNICH EDYCJI:

TAK WYGLĄDAŁA POPRZEDNIA EDYCJA KONFERENCJI SEMAFOR

Organizatorzy

Partnerzy generalni

Mecenasi

Partnerzy merytoryczni

Wystawcy

Patroni medialni

LOKALIZACJA KONFERENCJI

STADION PGE NARODOWY W WARSZAWIE
Warszawa, al. Księcia Józefa Poniatowskiego 1

Noclegi

 

Ibis Warszawa Stare Miasto***

ul. Muranowska 2,
00-209 WARSZAWA

więcej informacji

Novotel Centrum

ul. Marszałkowska 94/98
WARSZAWA

więcej informacji

JESTEŚMY DO PAŃSTWA DYSPOZYCJI:



Aleksandra Zygarska
Tel. 662 287 872
Aleksandra_Zygarska@idg.com.pl

Klaudia Kałuska
Tel. 662 287 865
Klaudia_Kaluska@idg.com.pl

Filip Walicki
Tel. 662 287 904
filip_walicki@idg.com.pl

Włodzimierz Duszyk
Tel. 662 287 870
Wlodzimierz_Duszyk@idg.com.pl