Konferencja SEMAFOR to jedno z najważniejszych wydarzeń
dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce.

 

SEMAFOR to idealne miejsce do poznania najnowszych zagrożeń i starannie wybranych case studies z  zakresu cyberbezpieczeństwa. To wyjątkowa okazja do zgłębienia wiedzy oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT. To miejsce spotkania i platforma współpracy menedżerów cybersecurity z szerokim gronem dostawców rozwiązań z tego obszaru. Spotkajmy się 14-15 marca 2024 na PGE Narodowym w Warszawie.

SEMAFOR jest jednym z najważniejszych na rynku wydarzeń z obszaru cybersecurity i audytu IT w Polsce, które cieszy się ogromnym zainteresowaniem uczestników. Poprzednia edycja zgromadziła 425 uczestników.

Spotkanie kilkusetosobowego audytorium, szerokiego grona dostawców rozwiązań cybersecurity w Polsce i na świecie oraz najważniejszych organizacji zrzeszających menedżerów bezpieczeństwa ICT powoduje, że SEMAFOR to prawdziwe święto branży cybersecurity, wypełnione wiedzą, rozmowami kuluarowymi i spotkaniami towarzyskimi.

Na dwudniowy program złożą się sesje plenarne oraz 4 ścieżki merytoryczne umożliwiające personalizację programu. Ostatni rok był wielkim wyzwaniem dla nas wszystkich, a obszar cyberbezpieczeństwa stał się jednym z kluczowych elementów zapewnienia ciągłości działania i przetrwania wielu nowoczesnych przedsiębiorstw. Skala cyberataków stała się nieporównywalnie większa. Cyberprzestępcy wykorzystują innowacyjne techniki oraz narzędzia, które mają posłużyć ich celom i zagrozić funkcjonowaniu firm. Jakie zatem priorytety powinny przyświecać menedżerom cybersecurity w tych realiach? Jakie technologie wybrać dla zapewnienia bezpieczeństwa naszym przedsiębiorstwom i nam samym?

Wiele uwagi poświęcamy w tym roku także kwestiom organizacyjnym, by udział w wydarzeniu dostarczył wielu inspiracji merytorycznych i kontaktów biznesowych, ale był także intensywnym czasem towarzyskim. Zapraszamy!

Semafor 2024 to

2

dni

4

ścieżki programowe

60+

prelegentów

400+

uczestników

Dlaczego warto uczestniczyć w Semaforze 2024?

PROGRAM

2-dniowy program z 4 ścieżkami tematycznymi to możliwość personalizacji agendy zgodnie z własnymi zainteresowaniami.

FORMUŁA IN-PERSON

Zapewnia niezastąpiony networking, możliwość poszerzenia kontaktów zawodowych, większą otwartość na dzielenie się unikalną wiedzą.

SZEROKIE GRONO DOSTAWCÓW

Rozbudowana strefa wystawiennicza to okazja do rozmów z szerokim gronem najważniejszych dostawców rozwiązań cybersecurity w 1 miejscu.

SPOTKANIE INTEGRACYJNE

Wieczorne spotkanie integracyjne poza PGE Narodowym pozwoli na budowanie kontaktów w nieformalnej, towarzyskiej atmosferze.

Udział w wydarzeniu dostarczy wielu inspiracji merytorycznych, ale będzie także intensywnym czasem towarzyskim.

PUNKTY CPE

Udział w konferencji Semafor 2024 to 15 punktów CPE do certyfikatów: CISSP/ CISA/ CISM/ CRISC/ CGEIT

Program konferencji

Pierwszy dzień konferencji 14 marca 2024
08.00–09.00

Rejestracja uczestników, poranna kawa

09.00–09.10

Powitanie uczestników, rozpoczęcie konferencji

Paulina Chylewska Paulina Chylewska, dziennikarka telewizyjna i prezenterka
Adam Danieluk Adam Danieluk, Prezes Zarządu, ISSA Poland
Michał Hryciuk Michał Hryciuk, Prezes Zarządu, ISACA Warszawa Chapter
Adam Mizerski Adam Mizerski, President, ISACA Katowice Chapter
Magdalena Szczodrońska Magdalena Szczodrońska, Events Director, IDG Poland SA
Sesja plenarna
09.10–09.30

Artificial Intelligence, Misinformation, Deep Fakes and the complex legal terrain, a new era of business risk

In 2023, the world witnessed new and ongoing conflicts that have impacted global markets and economies. We have seen controversial leaders, governments and influencers use digital media platforms to manipulate opinions and alter behaviors. Cyber-attacks are becoming more complex, and the resources needed to combat these threats need to be even more complex.

In 2024, we will continue to see ransomware attacks, misinformation campaigns and advances in AI. People will have to determine the credibility of the digital media that they consume or are exposed to due to the onset of quality generated Deep Fakes. Governments are slow to address these issues legally which further impacts citizens and businesses. The presenter will discuss these topics and more!

Dr. Shawn P. Murray Dr. Shawn P. Murray, President, Information Systems Security Association, International Board of Directors
09.30–10.00

Built on Trust. Protecting what Windows and AV can’t

Corbett Hoxland Corbett Hoxland, Chief Technologist, HP
10.00–10.20

Bezpieczna przyszłość: wpływ Dyrektywy NIS 2 na strategie cyberbezpieczeństwa przedsiębiorstw

Wiele firm wciąż nie podjęło kroków, aby dostosować się do wymogów stawianych przez Dyrektywę NIS 2. Zastanawiają się, czy to konieczne, a przede wszystkim opłacalne. Dlatego podczas wystąpienia przedstawimy kluczowe zmiany regulacyjne oraz nowe wymogi dotyczące bezpieczeństwa. Podkreślone zostaną wyzwania, jakie przedsiębiorstwa muszą podjąć, adaptując się do nowych standardów, a także korzyści wynikające z wzmocnienia ochrony przed cyberatakami. Skupimy się również na aspektach kultury bezpieczeństwa oraz perspektywie przyszłych kierunków rozwoju regulacji w Unii Europejskiej. 

Artur Barankiewicz Artur Barankiewicz, Head of Security Business Development B2B Europe, Deutsche Telekom
10.20–10.40

Two-part Saga: Continuing the Journey of Hacking Malware C2s

C2 servers of mobile and Windows malware are usually left to their own fate after they have been discovered and the malware is no longer effective. We are going to take a deep dive into the rabbit hole of attacking and owning C2 servers, exposing details about their infrastructure, code bases, and the identity of the companies and individuals that operate and profit from them.

While understanding and reversing malware is a highly skilled procedure, attacking the C2 itself rarely requires a lot of technical skills. Most of the C2 servers have the same typical HTTP problems that can be detected by off-the-shelf vulnerability scanners.

By exploiting low-hanging fruit vulnerabilities, an attacker can obtain unauthorized access to administrative functions, allowing them to command thousands of devices and further explore other attack vectors. This can give them access to administrator panels and malware source code, and result in the identity of threat actors being exposed.

Continuing the journey of how C2s evolved after my Defcon talk and how they fell for similar errors that lead into their pwning again.

This talk will also cover the ethical stance of security researchers and the communication with LEA on how those criminals can be taked down.

Vangelis Stykas Vangelis Stykas, Chief Technology Officer, atropos.ai
10.40–11.00

Najciekawsze wpadki cyberprzestępców

Przykłady najbardziej spektakularnych wpadek cyberprzestępców, którzy ukradli miliardy i uwierzyli w anonimowość kryptowalut.

Adam Haertle Adam Haertle, Trener, twórca, redaktor naczelny, ZaufanaTrzeciaStrona.pl
11.00–11.40

Przerwa na kawę. Poczęstunek i rozmowy kuluarowe. Zapraszamy do odwiedzenia Stref Partnerskich

11.40–12.00

Czy Twoje audyty IT są naprawdę skuteczne?

W świecie dynamicznie pojawiających się zagrożeń cybernetycznych, audyty IT są kluczowym narzędziem w zapewnianiu bezpieczeństwa organizacji. Ale czy rzeczywiście są one wystarczająco skuteczne? Podczas mojej prelekcji, zgłębię zarówno aspekty techniczne, jak i nie-techniczne audytów, zadając fundamentalne pytanie: czy Twoje audyty IT stanowią realną barierę dla hakerów? Przeanalizuję zagadnienia zarządzania ryzykiem, wskazując na kluczowe elementy, których nie można ignorować. Przygotuj się na wyjątkowe spojrzenie na cyberbezpieczeństwo, które wykracza poza oczywiste fakty.

Joanna Wziątek Joanna Wziątek, Senior Security Engineer, Tenable
12.00–12.20

Czy Passkeys rozwiążą problem phishingu i nowoczesnych ataków z użyciem AI?

Podczas wystąpienia prelegenci pokażą na żywo nowoczesny atak phishingowy, który obchodzi MFA, wyjaśnią, jak Passkey i FIDO2 czynią tego typu ataki niemożliwymi. Wdrożą passkey skutecznie chroniąc aplikację przed phishingiem oraz pokażą, jak Twój telefon zamienić w kryptograficzne urządzenie uwierzytelniające. Ponad to udowodnią, że dzięki Passkeys wygoda i bezpieczeństwo mogą w końcu iść w parze oraz ”last but not least”... wskażą, jak podnosząc wygodę i bezpieczeństwo spełnić wymogi regulacji DORA i NIS2.

Bartosz Cieszewski Bartosz Cieszewski, Solutions Architect, Secfense
Damian Kuźma Damian Kuźma, Cybersecurity Specialist, Advatech
12.20–12.40

Wyzwania w zakresie bezpieczeństwa AI

Chat GPT pobił wszelkie rekordy, jeśli chodzi o tempo masowej popularyzacji. Jak w przypadku każdej nowej technologii, powszechnie brakuje wiedzy na temat ryzyk jakie wnosi. Mimo, że trudno mówić o niedoborze publikacji na temat bezpieczeństwa AI. Również w ramach organizacji OWASP pojawiło się w ostatnim czasie wiele ciekawych projektów, które pomagają rzucić więcej światła na ciemne strony AI. W trakcie prezentacji omówione zostaną główne zagrożenia dla AI oraz specyficzne wyzwania w zakresie zapewnienia bezpieczeństwa sztucznej inteligencji, przez pryzmat takich projektów OWASP jak: OWASP Top 10 for LLM Applications, OWASP AI Security & Privacy Guide, OWASP Machine Learning Security Top 10.

Michał Kurek Michał Kurek, Członek Zarządu, OWASP Polska
12.40–13.00

Ochrona API z użyciem nowoczesnych systemów WAF F5

Każdego dnia używamy coraz większej ilości aplikacji, często nie zdając sobie sprawy z jak wielu, różnych interfejsów programistycznych (“APIs”) każda z nich korzysta. Niniejsza sesja przybliży uczestnikom problematykę ochrony API bazując na bardzo ciekawych wynikach badań opublikowanych w “State of Application Strategy Report (F5, 2023)”, a także zaprezentuje sposoby budowy skutecznej ochrony API z wykorzystaniem nowoczesnych systemów WAF, w tym systemów firmy F5.

Bartłomiej Anszperger Bartłomiej Anszperger, Solution Engineer Manager w Europie Wschodniej, F5
Bartłomiej Kilanowicz Bartłomiej Kilanowicz, Solution Architect, ASCOMP S.A.
13.00–13.20

SUSE - Hackowanie Kubernetesa

Chcesz pokoju w cyberświecie? Szykuj się do wojny! W Twoim arsenale nie może zabraknąć NextGen Firewalla dla skonteneryzowanych środowisk z Kubernetesem, samouczących się narzędzi do skanowania aplikacji nawet w siódmej warstwie sieci i wykrywania podatności w każdym zainstalowanym systemie oraz aplikacji. Czas na realizację zero trust w praktyce, kontrolę całego łańcucha dostaw oprogramowania i gwarancje bezpieczeństwa na poziomie EAL 4+. Na sesji SUSE pokażemy, jak to wszystko osiągnąć z pomocą rozwiązań open source.

Marcin Madey Marcin Madey, Prezes zarządu, SUSE Polska
13.20–13.40

Jak przekuć totalną porażkę (skuteczny atak ransomware) w umiarkowany sukces?

Często konsekwencje ataku ransomware nie kończą się na potencjalnym opłaceniu okupu, konieczności odtworzenia danych czy krótkoterminowym przestojem w biznesie. Podczas prezentacji prelegent dzieli się swoim doświadczeniem w obsłudze tego typu incydentów oraz wspólnie z uczestnikami omówi praktyczne wskazówki dotyczące minimalizowania negatywnych skutków ataku i transformowania totalnej porażki w umiarkowany sukces. Sposób i zakres informacji poruszanej w prezentacji jest wartościowy tak dla przedstawicieli biznesu, działów IT, bezpieczeństwa jak i osób pełniących funkcje audytorów.

Robert Bigos Robert Bigos, Członek Zarządu, ISACA Katowice Chapter
13.40–14.20

Debata: ITSec Stress Toolkit

Skutki incydentów ransomware na zdrowie psychofizyczne zespołów IT/Sec. Jakie ślady i skutki pozostawia ransomware w organizacji i ludziach?

Moderator:
Adam Mizerski Adam Mizerski, President, ISACA Katowice Chapter
Uczestnicy dyskusji:
Robert Bigos Robert Bigos, Członek Zarządu, ISACA Katowice Chapter
Marcin Kabaciński Marcin Kabaciński, Członek Zarządu, Fundacja CISO #Poland, CISO, PayPo
Artur Maciąg Artur Maciąg, Analityk, Inicjatywa Kultury Bezpieczeństwa
Anna Mazur-Kłucjasz Anna Mazur-Kłucjasz, Trenerka biznesu, Certyfikowana konsultantka Teorii Ról Zespołowych Belbina®, Coach, Arteterapeutka, Training Tree
Angelika Maria Piątkowska Angelika Maria Piątkowska, Prezeska, Polski Instytut Cyberpsychologii, Cyberpsychopatologii i Cyberpsychotraumatologii
dr Ścibór Sobieski dr Ścibór Sobieski, Doradca, Konsultant, Coach, Mentor, Wykładowca, Uniwersytet Dolnośląski DSW
14.20–15.10

Lunch

Sesje równoległe
Audyt IT

Prowadzenie: ISACA Warszawa Chapter

15.10–15.30

Rozwój sztucznej inteligencji – ewolucja czy rewolucja w audycie wewnętrznym?

Analiza wpływu sztucznej inteligencji (AI) na dziedzinę audytu wewnętrznego, w tym prześledzenie jak technologie AI doskonalą tradycyjne procesy audytorskie, wprowadzając m.in. automatyzację, analizę big data i predykcyjne narzędzia.

Zastanowienie się nad przyszłością audytu wewnętrznego w erze dynamicznego rozwoju sztucznej inteligencji, eksplorując wyzwania, korzyści i nowe możliwości dla profesjonalistów w tej dziedzinie. Podjęcie próby odpowiedzi na pytanie, czy rozwój sztucznej inteligencji w audycie to stopniowa ewolucja czy radykalna (rewolucyjna) zmiana oraz głęboka transformacja w postrzeganiu i wykonywaniu audytu wewnętrznego.

Dr Romana Kawiak-Ciołak Dr Romana Kawiak-Ciołak, Dyrektor Departamentu Audytu i Kontroli Wewnętrznej, Centralny Ośrodek Informatyki
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

15.10–15.30

Źródła podatności vs. proces zarządzania podatnościami

Kilkadziesiąt czy kilkanaście lat temu zapewne już każdy bezpiecznik dostrzegał znaczenie zarządzania podatnościami. Może nie każdy entuzjasta cybersec miał swój „wymarzony” skaner z prawdziwego zdarzenia, ale jeśli go miał i odpowiednio zarządzał podatnościami, to miał podstawę wnioskować, że jego infrastruktura i aplikacje są bezpieczne.

Czy w dzisiejszym świecie ten „wymarzony” skaner dalej daje nam poczucie bezpieczeństwa? A może trzeba mieć ileś „wymarzonych” skanerów, żeby jednak nie marzyć o bezpieczeństwie, ale mieć większą pewność, że nasza infrastruktura i aplikacje są bezpieczne? Czy ilość przekłada się na jakość czy jednak może wprowadzić bylejakość? Opowiemy jak zarządzamy podatnościami w BNP Paribas Bank Polska. S.A.

Zenon Biedrzycki Zenon Biedrzycki, Dyrektor Biura Projektowania i Architektury Rozwiązań CyberSecurity, BNP Paribas Bank Polska S.A.
Filip Brandt Filip Brandt, Security Architect, Zespół Architektury Systemów Bezpieczeństwa, BNP Paribas Bank Polska S.A.
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Katowice Chapter

15.10–15.30

Security in cloud na bazie doświadczeń w Huuuge Games

Odkryj skomplikowany świat bezpieczeństwa w chmurze w branży gier mobilnych! Prelegent przedstawi sztukę opanowania konfiguracji w chmurze, opowie, jak radzić sobie z pojawiającymi się wyzwaniami bezpieczeństwa oraz jak podążać za najlepszymi praktykami.

Prezentacja nie tylko rozwieje zawiłości operacji w chmurze w Huuuge Games, ale również dostarczy praktycznych wskazówek dla efektywnego zarządzania kosztami i optymalizacji zasobów w chmurze. Udział w prelekcji to okazja do zdobycia nowej wiedzy w zakresie zarządzania bezpieczeństwem od firmy, której cała infrastruktura już od ponad 10 lat jest w całości in cloud!

Marcin Safranow Marcin Safranow, VP of IT and Operations, Huuuge Games
Technologie i innowacje

Prowadzenie: ISSA Polska

15.10–15.30

Can chatGPT substitute auditors?

In a rapidly evolving world where artificial intelligence (AI) is revolutionizing many facets of our lives, the world of auditing is no exception. Our understanding of traditional auditing roles and responsibilities is being challenged as we explore the potential of AI technologies in enhancing efficiency and effectiveness. With these profound developments, a vital question emerges, can ChatGPT Substitute Auditors?

My presentation brings to light an innovative perspective and promises an engaging discourse on this contemporary issue. The presentation has been designed to offer a comprehensive understanding of AI technologies, specifically the Language Model (LLM), Deep Neural Networks, Reinforcement Learning, and Transformers. The focus then shifts to the application of AI in auditing. Participants will learn how to harness the power of AI tools like ChatGPT to become a 'Turbo-auditor', a term signifying increased efficiency in auditing activities. Furthermore, they will be provided with an opportunity to assess the potential risks and benefits associated with the implementation of LLMs like ChatGPT, with a key emphasis on data privacy. The presentation also includes hands-on, real-life examples of how AI can be used to significantly decrease effort in various audit activities, potentially reducing up to 80% of the associated effort. Ultimately, this presentation seeks to provoke thought, promote discussion, and provide clarity on the pivotal question: Can ChatGPT indeed substitute auditors? This innovative exploration not only elucidates the practicality of AI in auditing but also invites us to envision and prepare for a future where AI might become an integral part of the auditing process.

Jan Anisimowicz Jan Anisimowicz, Chief Portfolio Officer, Board Member, C&F SA
Audyt IT

Prowadzenie: ISACA Warszawa Chapter

15.30–15.50

Jak praktycznie zarządzać ryzykiem cyberbezpieczeństwa w przemyśle obronnym?

Jak praktycznie zarządzać ryzykiem cyberbezpieczeństwa w przemyśle obronnym w skład którego wchodzi kilkadziesiąt Spółek? Jak w związku ze wzmożoną aktywnością grup hackerskich zarządzać ryzykiem IT, aby nie była to tylko zbędna biurokracja?

Co robić, aby skutecznie przeciwdziałać nowe technikom ataków wykorzystywanych przez adwersarzy? Co robić, aby rzeczywiście to było przydatne w bieżącym działaniu, a nie tylko było realizowane tylko ze względu na wymogi. Na co warto zwrócić uwagę? Jakich błędów należy unikać? Jak podejść do obszarów IT, OT, czy też deweloperów? Kiedy poznamy, że dobrze zarządzamy ryzykiem cyberbezpieczeństwa?

Rafał Nikodym Rafał Nikodym, Menadżer, Dział Audytu Wewnętrznego, Departament Audytu i Kontroli, Polska Grupa Zbrojeniowa S.A.
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

15.30–15.50

18 błędów bezpieczeństwa, które mogą zniszczyć Twoją infrastrukturę

20 minut to czas, w którym można przedstawić siebie i swoją firmę. Albo opowiedzieć o 18 prostych do uniknięcia błędach, które ułatwiły włamywaczom przejęcie kontroli nad infrastrukturą, i które powtarzają się w większości analizowanych przez nas incydentów.

W ramach prezentacji prelegent pokaże, jak przez zaniedbanie, błąd w konfiguracji lub nadmierne zaufanie dostawcy usług umożliwiamy włamywaczom dobranie się do naszych danych.

Łukasz Jachowicz Łukasz Jachowicz, Ekspert ds. cyberbezpieczeństwa, Safesqr
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Katowice Chapter

15.30–15.50

"Całkiem pewny" to nie znaczy bezpieczny. Nie zakładaj. Weryfikuj!

Dzięki kolejnym elementom bezpieczeństwa, które dokładasz do swojej sieci czujesz się bardziej bezpieczny? Jesteś prawie pewny, że nic się nie stanie? "Prawie pewny" nie wystarczy. Tylko spojrzenie na organizację poprzez oczy atakującego pokaże mocne i słabe strony organizacji.

Sprawdź, czy pieniądze, które Twoja organizacja wydała na wszystkie rozwiązania cyberbezpieczeństwa, pracują tak jak trzeba, tj. w sposób bezpieczny, efektywny i ciągły…. sprawdź, czy Twoja organizacja jest gotowa na atak. Nie zakładaj. Nie symuluj. Weryfikuj!

Radek Kucik Radek Kucik, Dyrektor Sprzedaży w Europie Środkowo Wschodniej, Pentera
Technologie i innowacje

Prowadzenie: ISSA Polska

15.30–15.50

Ochrona przed atakami ransomware typu zero-day za pomocą uczenia maszynowego

Sztuczna inteligencja odgrywa coraz istotniejszą rolę w cyberbezpieczeństwie, jednak poleganie na skomplikowanych modelach „czarnej skrzynki” nie jest zawsze optymalne.

Jako ostatniej linii obrony przed cyberzagrożeniami takimi jak ransomware, potrzebujemy lekkich i szybkich modeli zdolnych do ciągłego monitorowania urządzeń użytkowników. Ponadto, kluczowa jest ich interpretowalność i modyfikowalność, aby nadążać za zmieniającymi się zagrożeniami i wymaganiami. Prelegenci przedstawią metodę wykrycia ransomware na podstawie wzorców zachowań, wykorzystującą modele podobne do GAM oraz złożone środowisko treningowe w chmurze.

Marcin Blaźniak Marcin Blaźniak, Pre-Sales Engineer, OVHcloud
dr Maja Goschorska dr Maja Goschorska, AI Specialist, Sagenso
Audyt IT

Prowadzenie: ISACA Warszawa Chapter

15.50–16.10

Audyt łańcucha dostaw w obliczu DORA – studium kilku przypadków, czyli risk based approach w praktyce

Poszerzony due diligence, ocena ryzyka koncentracji czy budowa strategii i planów wyjścia to tylko niektóre obowiązki, które wprowadza lub redefiniuje Rozporządzenie DORA względem procesów zarządzania relacjami z zewnętrznymi dostawcami usług ICT.

Jak zastosować się do nowej regulacji w obliczu różnego poziomu ryzyka i skali współpracy z dostawcami, a także jaki wpływ na działania podmiotów finansowych będzie miał bezpośredni nadzór organu nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT? W trakcie prelekcji omówione zostaną przykłady różnych form współpracy z dostawcami usług ICT – od globalnych dostawców usług chmury obliczeniowej po jednoosobowe działalności świadczące wyspecjalizowane usługi ICT. Na bazie case study poszukamy odpowiedzi na pytania: Czy wszystkie obowiązki należy stosować w takim samym zakresie i skali? W jaki sposób kompleksowa ocena ryzyka pozwala zdywersyfikować podejście do dostawców przy zachowaniu efektywności procesu?

Damian Jagusz Damian Jagusz, Chief Digital Operational Resilience Officer, Corporate IT Security Officer, ERGO Hestia
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

15.50–16.10

Vulnerability i Path Management – potwór w szafie

Podatności są i będą, czym większa infrastruktura tym jest ich więcej. Nie unikniemy ich, bywają groźne i trzeba z tym żyć. Porozmawiamy jak się zmierzyć z tym zagadnieniem, powiążę procesy path management z vulnerability management i skupię na priorytetyzowaniu zmian.

Odniosę się do mechanizmów analizy ryzyka i zarzadzania ekspozycją na ryzyko dla poszczególnych zasobów IT.

Krzysztof Szczepański Krzysztof Szczepański, Dyrektor, Departament Bezpieczeństwa i Ryzyka, Krajowa Izba Rozliczeniowa S.A.
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Katowice Chapter

15.50–16.10

Identyfikacja scenariuszy ryzyk (z sensem i bez sensu)

Zarządzanie ryzykiem niestety często jest traktowane jako sztuka dla sztuki. Rezultaty potrafią służyć jedynie do tego by zamieścić je w arkuszach, czego nie można traktować inaczej niż straty czasu.

Podczas prezentacji zostanie przedstawiony i mocno wzbogacony przykładami prosty, kilkustopniowy proces takiego identyfikowania scenariuszy ryzyk, by były one zrozumiałe dla kadry kierowniczej i przynajmniej miały szansę pozytywnie wpływać na kierunki rozwoju organizacji.

Dr inż. Jakub Syta Dr inż. Jakub Syta, Zastępca Dyrektora, Morskie Centrum Cyberbezpieczeństwa, Akademia Marynarki Wojennej
Technologie i innowacje

Prowadzenie: ISSA Polska

15.50–16.10

Backup ≠ Cyber Recovery

Kopia zapasowa to jedyna skuteczna metoda przywrócenia działania po ataku ransomware. Czy stosowane obecnie rozwiązania sprostają temu zadaniu? Prelegent przedstawi najczęściej spotykane słabości systemów backupu oraz dostarczy praktycznych wskazówek, jak przygotować się do nieuchronnego ataku.

Poruszone zostaną między innymi takie zagadnienia jak: bezpieczeństwo kopii zapasowej, przeszukiwanie repozytorium kopii zapasowych pod kątem zagrożeń, skuteczne wykrywanie anomalii, określanie zakresu ataku oraz raportowanie czy atak dotyczył danych wrażliwych. Dodatkowo przedstawione zostaną przykłady zastosowania AI w celu skrócenia czasu przywrócenia do normalnego funkcjonowania po ataku cybernetycznym.

Jarek Mikienko Jarek Mikienko, Konsultant Ochrony Danych, Rubrik
Audyt IT

Prowadzenie: ISACA Warszawa Chapter

16.10–16.30

Zarządzanie Ryzykiem w Sztucznej Inteligencji - wyzwania i strategie łagodzenia

W miarę jak sztuczna inteligencja (AI) coraz głębiej przenika do różnych sektorów przemysłu i życia codziennego, pojawia się krytyczna potrzeba skutecznego zarządzania ryzykiem.

Prelegent skupi się na złożonościach i wyzwaniach związanych z identyfikacją, oceną, łagodzeniem i monitorowaniem potencjalnych ryzyk w projektach AI.

Kluczowym elementem prezentacji jest praktyczne podejście do zarządzania ryzykiem, z naciskiem na realne przypadki, w których ryzyka materializują się, wpływając na etykę, technologię, operacje i prywatność. Każdy ze scenariuszy ryzyka jest analizowany, aby zilustrować możliwe konsekwencje i zasugerować skuteczne strategie łagodzenia ryzyka. Prezentacja podkreśla, że choć Ramy Zarządzania Ryzykiem (RMF AI NIST) służą jako użyteczne narzędzie, najważniejsze jest holistyczne i dynamiczne podejście do zarządzania ryzykiem w AI. Ten proces obejmuje ciągłą czujność, adaptację do zmieniających się warunków i zaangażowanie wszystkich interesariuszy, aby zapewnić, że systemy AI są bezpieczne, sprawiedliwe i wydajne. Użytecznym narzędziem w tym zakresie może być RAI Impact Assessment Guide opracowane przez Microsoft. Celem wystąpienia jest nie tylko uświadomienie istniejących ryzyk, ale zwrócenie uwagi uczestników na potrzebę pogłębiania wiedzy i wykorzystanie narzędzi potrzebnych do zarządzania ryzykami, promując proaktywną postawę i odpowiedzialność w dynamicznym i ekscytującym świecie sztucznej inteligencji.

Marcin Dublaszewski Marcin Dublaszewski, Prezes Zarządu, Instytut Audytorów Wewnętrznych IIA Polska
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

16.10–16.30

Threat Modeling, czyli modelowanie zagrożeń

Jedną ze strategii zapobiegania i zarządzania zagrożeniami cybernetycznymi jest modelowanie zagrożeń. W trakcie prezentacji omówione zostaną strategie, narzędzia i dobre praktyki służące do identyfikacji, analizy oraz zarządzania ryzykiem związanym z zagrożeniami dla systemów i aplikacji.

Podczas prezentacji prelegent opowie o kluczowych elementach, metodach oraz o korzyściach związanych z tym procesem oraz dostarczy praktyczne wskazówki dotyczące wdrożenia tego procesu w projektach informatycznych. Prezentacja skierowana jest do specjalistów ds. bezpieczeństwa informatycznego, programistów, architektów systemów, oraz wszystkich zainteresowanych zagadnieniami związanymi z identyfikacją i zarządzaniem zagrożeniami IT.

Jacek Grymuza Jacek Grymuza, Członek Zarządu, (ISC)² Poland Chapter
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Katowice Chapter

16.10–16.30

Universal ZTNA – kolejne rozwiązanie bezpieczeństwa zerowego zaufania?

Skrót ZTNA pojawia się w ofertach coraz to większej liczbie producentów rozwiązań bezpieczeństwa. ZTNA to rozwiązanie tzw. zerowego zaufania, które w przypadku producentów rozwiązań bezpieczeństwa często jest określane mianem VPN następnej generacji.

Pandemia zmieniła dotychczasowy sposób działania firm. Wielu pracowników nie powróciło do tradycyjnej pracy w firmie i przeszło na tryb pracy zdalnej lub hybrydowej. Migracja aplikacji biznesowych do chmury powoli staje się faktem. Działy IT stają przed nowymi wyzwaniami – muszą zapewnić dostęp pracowników gdziekolwiek się oni znajdują oraz do zasobów, które mogą się znajdować w Data Center w firmie oraz do aplikacji działających w chmurze u często różnych operatorów chmurowych. Wszystko to przy zapewnieniu bezpieczeństwa i z coraz mniejszymi zasobami IT. Extreme Networks chce zaproponować rozwiązanie Universal ZTNA, które oprócz tradycyjnej funkcjonalności ZTNA jest rozbudowane o system kontroli dostępu do sieci (NAC) oraz bezpieczeństwo zapewniane na poziomie przełączników sieciowych i punktów dostępowych sieci bezprzewodowej. Serdecznie zapraszamy na prezentację poświęconą rozwiązaniu UZTNA firmy Extreme Networks.

Piotr Szołkowski Piotr Szołkowski, Senior Systems Engineer, Extreme Networks
Technologie i innowacje

Prowadzenie: ISSA Polska

16.10–16.30

AI – czy to jedynie przygoda ludzkości w świecie przyszłości? Czy sztuczna inteligencja może zdominować świat w którym żyjemy? Czym jest Teoria Osobliwości Technologicznej i jaką rolę odgrywa tu AI?

Oto kilka faktów na temat sztucznej inteligencji i jej wpływu na przyszłość ludzkości:

Sztuczna inteligencja (AI) to dziedzina informatyki, która zajmuje się tworzeniem systemów, które potrafią wykonywać zadania wymagające inteligencji ludzkiej, pracują przy wykorzystaniu tej inteligencji.

AI jest już obecna w wielu dziedzinach, takich jak medycyna, marketing, sprzedaż, robotyka, medycyna, nasze codzienne życie i wiele innych.

Wraz z rozwojem technologii, AI staje się coraz bardziej zaawansowana i może mieć wpływ na przyszłość ludzkości. I tu pojawiają się wątpliwości: Niektórzy ludzie obawiają się, że AI może zdominować świat, natomiast inni uważają, że AI może pomóc ludzkości w rozwiązaniu wielu problemów.

Teoria Osobliwości Technologicznej to teoria, która mówi, że rozwój technologii może prowadzić do punktu, w którym AI stanie się bardziej inteligentna niż ludzie i zacznie kontrolować świat. Niektórzy uważają, iż sztuczna dorówna człowiekowi już przed rokiem 2030, natomiast przewyższy go do roku 2040. Czy istnieje już technologia która przejawia cechy samoświadomości? Jak może wyglądać nasz świat już w latach 2024-2025?

Teoria Osobliwości Technologicznej (ang. Technological Singularity) to hipotetyczny moment w przyszłości, w którym rozwój technologiczny stanie się niekontrolowany i nieodwracalny, doprowadzi to do nieprzewidywalnych na ten moment zmian w naszej cywilizacji . Głównym wydarzeniem, mającym do tego doprowadzić, byłoby stworzenie sztucznych inteligencji przewyższających intelektualnie ludzi. Takie sztuczne inteligencje mogłyby opracowywać jeszcze wydajniejsze sztuczne inteligencje, wywołując lawinową zmianę w technologii.

Stanisław Lem był polskim pisarzem i filozofem, znany głównie jako autor utworów fantastycznonaukowych. W swoich książkach często poruszał tematykę sztucznej inteligencji i przyszłości ludzkości. W swojej książce “Golem XIV” opisał, jak sztuczna inteligencja może stać się bardziej inteligentna niż ludzie i zacząć kontrolować świat. Ale czy jest to prawdopodobne? Podczas prezentacji prelegentka postara się poruszyć powyższe zagadnienia.

Magdalena Skorupa Magdalena Skorupa, Global IT&D Director, Global Technology & Security, Digital Workplace, Reckitt
Audyt IT

Prowadzenie: ISACA Warszawa Chapter

16.30–16.50

Bezpiecznik a użytkownik, trudne relacje pomiędzy audytorem a audytowanym

Jak wygląda audyt cyberbezpieczeństwa od strony audytowanego a jak od strony audytującego? Różnice między audytem "musimy przejść" a "chcemy się dowiedzieć"?

Jak przekonać użytkowników, aby mówili prawdę, a nie to co "audytor chce usłyszeć"? Jaka jest rola zarządu i wyższego kierownictwa? Przykłady "z życia" audytów naszych służb (ABW/SKW) oraz prowadzonych audytów wewnętrznych.

Jakub Walczak Jakub Walczak, Kierownik Biura Bezpieczeństwa, Pełnomocnik ds. Ochrony Informacji Niejawnych, Radmor S.A.
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

16.30–16.50

Budowanie Nieprzebitej Obrony API w Świecie Webaplikacji

W dobie rosnącej złożoności cyfrowej, gdzie aplikacje webowe stanowią kręgosłup nowoczesnych przedsiębiorstw, kluczowe staje się zabezpieczenie API - fundamentu, na którym te aplikacje są budowane.

Prezentacja "Budowanie Nieprzebitej Obrony API w Świecie Webaplikacji" będzie prowadzona przez eksperta z dwudziestoletnim doświadczeniem w branży IT, który przeprowadzi uczestników przez proces projektowania, implementacji i utrzymania bezpiecznych interfejsów API.

Podczas sesji poruszone zostaną następujące tematy:

  • analiza zagrożeń, strategie obronne, autentykacja i autoryzacja, szyfrowanie i bezpieczeństwo transportu, walidacja i sanitacja danych, monitoring i reagowanie na incydenty, przegląd narzędzi.

Uczestnicy prezentacji zyskają kompleksową wiedzę niezbędną do stworzenia silnych i odpornych na ataki systemów API, które będą mogły sprostać wyzwaniom bezpieczeństwa współczesnych aplikacji internetowych. Prezentacja będzie równocześnie zawierała studia przypadków, demonstrujące skuteczne zastosowanie omówionych technik w praktycznych scenariuszach.

Tomasz Janczewski Tomasz Janczewski, Wykładowca, Wydział Dowodzenia i Operacji Morskich, Akademia Marynarki Wojennej
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Katowice Chapter

16.30–16.50

Empatyczny CISO vs. CISO z wbudowaną sztuczną inteligencją

Porównanie "Empatycznego CISO" z "CISO z wbudowaną sztuczną inteligencją" rzuca światło na zróżnicowane podejścia do zarządzania cyberbezpieczeństwem. Oba podejścia mają swoje unikalne zalety i wyzwania. Oto jak można je porównać i zestawić.

Empatyczny CISO stawia na:

  • Zrozumienie ludzkiego aspektu bezpieczeństwa
  • Zarządzanie interesariuszami i komunikację

CISO z wbudowaną sztuczną inteligencją chce aby były wykorzystywane/a:

  • Zaawansowane analizy i rozpoznawanie zagrożeń
  • Automatyzacja i skalowanie

Jaki zatem powinien być idealny CISO, kiedy pracuje w określonej kulturze pracy i wartościach? Jak to wdrożyć kiedy to już nie tylko „AI hype” a jak to zrobić? Na co zwrócić uwagę - technologia? umiejętności? kompetencje?

Wykład skierowany do wszystkich, którzy uważają się za ludzi :-) a chcą poznać jakie TOP CECHY musi posiadać CISO i dlaczego są już nieaktualne. :-)

Podsumowując w trakcie spotkanie będzie okazja do omówienia jak empatyczny CISO może skutecznie zarządzać kulturą bezpieczeństwa i komunikacją w organizacji, podczas gdy CISO wykorzystujący AI może znacznie zwiększyć możliwości techniczne i operacyjne w dziedzinie bezpieczeństwa. Najskuteczniejszy będzie jednak CISO, który potrafi co zrobić?

Robert Pławiak Robert Pławiak, CIDO, CTO, Zakłady Farmaceutyczne Polpharma S.A.
Technologie i innowacje

Prowadzenie: ISSA Polska

16.30–16.50

AI i sieci SDN w służbie Cyberbezpieczeństwa

Prezentacja przedstawia rozwiązanie systemu ochrony sieci komputerowych przed atakami DDoS, opartego o paradygmat programowalnych sieci komputerowych SDN wykorzystujący algorytmy sztucznej inteligencji (AI) oparte o metodę uczenia maszynowego (ML) i głębokiego uczenia maszynowego (DL).

Uczestnicy zgłębią wiedzę na temat obrony przed atakami typu DDoS jak również w zakresie sieci SDN, w roli zaradzania i implementacji w sieciach komputerowych, operatorskich lub 5G.

Jarosław Homa Jarosław Homa, Zastępca Dyrektora Centrum Cyberbezpieczeństwa, Politechnika Śląska
Audyt IT

Prowadzenie: ISACA Warszawa Chapter

16.50–17.10

Czy PKI czekają zmiany?

Postęp obliczeń kwantowych otworzył możliwość przeprowadzania ataków w oparciu o algorytmy Grovera i Shora. Takie algorytmy zagrażają zarówno kryptografii klucza publicznego, jak i funkcjom skrótu.

Czy będziemy zmuszeni do przeprojektowania struktur PKI? A może należy działające systemy pozostawić bez zmian? Czy istnieją systemy, które wytrzymują ataki kwantowe, tworząc w ten sposób kryptosystemy znane pod nazwami: postkwantowe, kwantowe, bezpieczne kwantowo lub kwantowo-odporne?

Grzegorz Cenkier Grzegorz Cenkier, Sekretarz Zarządu, ISSA Polska
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Katowice Chapter

16.50–17.10

Wiedza - najlepsza broń do walki z cyberprzestępcami

Pracownik odgrywa kluczową rolę w systemie bezpieczeństwa, ale wciąż wiele firm nie wie, jak ich skutecznie edukować. Ostatni raport Verizon DBIR pokazuje, że pracowników jest odpowiedzialny za 74% naruszeń bezpieczeństwa, co pokazuje jak istotną rolę w zabezpieczaniu firm odgrywa skutecznym program edukacji w zakresie cyberbezpieczeństwa.

Kluczowym aspektem edukacji jest pokazanie pracownikowi, dlaczego jest to dla niego ważne, żeby zdobywać wiedzę (teoria Start with Why). Kolejnym aspektem jest zmiana zachowań pracowników. Można przygotować najbardziej atrakcyjne szkolenia na świecie, ale jeśli nie wpływa ono na zmianę zachowań pracowników, to w zasadzie jest ono bezużyteczne. W swojej prezentacji, bazując na swoim wieloletnim doświadczeniu w zakresie budowania pragramów edukacji pracowników, chciałbym pokazać, jak powinna wyglądać skuteczna edukacja oraz jak pokonywać wyzwania, które się z tym wiążą. W swojej prezentacji chciałbym oprzeć się na przykładach z mojej codziennej pracy oraz pokazać, co zrobić, aby pracownik stał się silnym ogniwem systemu bezpieczeństwa oraz poczuł się współodpowiedzialny za ochronę organizacji.

Marcin Ganclerz Marcin Ganclerz, Cybersecurity Awareness and Training Senior Analyst, PepsiCo
Technologie i innowacje

Prowadzenie: ISSA Polska

16.50–17.10

Cyberbezpieczeńswo w epoce sztucznej inteligencji czy sztuczna inteligencja w epoce cyberzagrożeń?

Sztuczna inteligencja „żywiąca się” danymi i bazująca na tym, co uda się jej pozyskać lub co jej dostarczymy, jest podatna na przyswajanie nieprawdziwych informacji i wnioskowanie na ich podstawie, podobnie jak człowiek.

Z drugiej strony potrafi także generować nieprawdziwe informacje na „zlecenie” człowieka lub samodzielnie. Już niebawem uchwalony zostanie AI Act, a na horyzoncie pojawia się jeszcze więcej wyzwań regulacyjnych oraz technologicznych związanych z dynamicznym rozwojem sztucznej inteligencji. Czy jesteśmy w stanie nadążać za wyzwaniami jakie AI stawia przed nami obecnie i będzie stawiać w najbliższej przyszłości?

dr inż. Ireneusz Wochlik dr inż. Ireneusz Wochlik, Członek Zarządu, AI LAW TECH
17.10

Zakończenie pierwszego dnia konferencji

18.00–22.00

Spotkanie integracyjne

Wieczorne spotkanie integracyjne odbędzie się w restauracjach Zachodni Brzeg oraz Kōhana Rum&Kitchen. Lokale mieszczą się w malowniczej przestrzeni nad samą Wisłą przy ulicy Wioślarskiej 10.

Miła dla oka przestrzeń, znakomite jedzenie oraz dobra muzyka pozwolą na budowanie kontaktów w nieformalnej atmosferze. Będzie to wspaniała okazja do integracji, swobodnej wymiany doświadczeń oraz inspiracji.

 

Drugi dzień konferencji 15 marca 2024
08.30–09.00

Rejestracja uczestników, poranna kawa

09.00–09.10

Otwarcie drugiego dnia konferencji

Paulina Chylewska Paulina Chylewska, dziennikarka telewizyjna i prezenterka
Sesja plenarna
09.10–09.40

Debata: Cyber HR - Future of work

Jakich kompetencji oraz kwalifikacji należy szukać u specjalistów ds. cyberbezpieczeństwa? Jak zrekrutować oraz utrzymać zespoły ds. cyberbezpieczeństwa?

Moderatorka:
Marzena Sawicka Marzena Sawicka, Co-Founderka, Dyrektorka Zarządzająca, HILLWAY Training & Consulting
Uczestnicy dyskusji:
Marta Barcicka Marta Barcicka, Wykładowca, Wyższa Szkoła Biznesu-NLU, Co - founder, Neuron Cube, Doradca Zarządu ds. Operacyjnych, Alma S.A.
Sylwia Buźniak Sylwia Buźniak, Starszy Partner Biznesowy HR, Kierownik Zespołu, EXATEL S.A.
Grzegorz Łunkiewicz Grzegorz Łunkiewicz, Zastępca Dyrektora Data Center, Kierownik Działu Bezpieczeństwa Teleinformatycznego, COIG S.A.
Jacek Skorupka Jacek Skorupka, CISO, Medicover
Marcin Tyrański Marcin Tyrański, IT Strategy & Data Platform Departament Director, UNIQA Insurance Group AG
09.40–10.00

Let’s Learn To Walk Before We Run With AI

Unlike cybersecurity, which took years for business leaders to take seriously, AI has caught their attention, imaginations and fears. Together, we are going to see what we – IT professionals, business leaders and business influencers – must provide as the sound foundations on which to use AI safely. We need a governance framework covering legislation, data, the algorithms, hardware, 3rd parties, supply chains and the environmental impacts. Let’s use AI to improve digital trust.

Sue Milton Sue Milton, ISACA UK Advocacy Task Force
10.00–10.20

Cyberbezpieczeństwo – redefinicja zagrożeń

Prezentacja przedstawia najnowsze i niekonwencjonalne zagrożenia oraz statystyki cyberbezpieczeństwa wraz z omówieniem wpływu nowej sytuacji geopolitycznej (atak Rosji na Ukrainę i jego konsekwencje dla cyberbezpieczeństwa Polski). Zawiera omówienie zagadnień ransomware wraz z charakterystyką grup przestępczych, ich sposobów działania oraz aspektów finansowych. Omówiona będzie również kwestia wpływu AI oraz CDBC na rynek cyberbezpieczeństwa. Punktem końcowym jest refleksja nad rolą CISO w dobie coraz bardziej skomplikowanego otoczenia technologicznego i coraz większej liczby zagrożeń.

Krzysztof Dyki Krzysztof Dyki, Prezes, ComCERT S.A.
10.20–10.40

Bezpieczne bankowanie – rola Grupy BIK i innowacyjnych rozwiązań w ochronie klientów

Andrzej Karpiński Andrzej Karpiński, Dyrektor ds. Bezpieczeństwa, Grupa BIK
10.40–11.00

Into the Stars and Beyond - Navigating the Beauty and Challenges of Integrated Satellite Systems

Join us for a captivating journey into the realm of satellite systems with Andrea, a seasoned professional with a unique blend of military and media expertise.

Delve into the complexities of satellite infrastructure, where the beauty of space exploration meets the practical demands of secure communication and broadcasting. Through personal anecdotes and professional insights, Andrea will illuminate the delicate balance between military necessity and civilian accessibility within satellite systems.

Discover the compelling narrative of Her career, from military deployments to media ventures, and uncover the underlying theme of trust that underpins the vision for the future. By the presentation's conclusion, attendees will gain a deeper understanding of the potential for collaboration and innovation in building a secure space that serves both military and civilian needs.

Take advantage of this opportunity to explore the stars and beyond a more interconnected and resilient satellite ecosystem

Andrea Polereczki Andrea Polereczki, Founder, Board Member, Women4Cyber Hungary
11.00–11.30

Przerwa na kawę. Poczęstunek i rozmowy kuluarowe. Zapraszamy do odwiedzenia Stref Partnerskich

11.30–11.50

Navigating Cyber Resilience Without a Compass: The Missing Role of the Cyber Resilience Officer

In the digital age, where cyber threats are increasingly complex, the role of a Cyber Resilience Officer (CRO) is crucial for guiding organizations towards strong cyber resilience.

This presentation explores the importance of creating a dedicated CRO position within the Information Security hierarchy, addressing the significant competency gap. It will examine the CRO's responsibilities, including developing cyber resilience strategies, communicating with key cross-functional stakeholders, and managing cyber risks, emphasizing the need for this role to ensure business continuity and integrity. The talk will also discuss the alignment of the CRO role with the NIST NICE Framework and the European Cybersecurity Skills Framework, highlighting proposals made to these institutions regarding the role itself.

Francesco Chiarini Francesco Chiarini, Chairman - Cyber Resilience SIG (Special Interest Group), Information Systems Security Association (ISSA)
11.50–12.10

Incydent i co dalej

Paweł Szczepski Paweł Szczepski, Architekt, Bank Gospodarstwa Krajowego
12.10–12.30

Bezwarunkowa gwarancja dostępu do danych - kwestia proaktywności czy reaktywności?

W trakcie prelekcji będziemy omawiać następujące aspekty wśród których speaker podzieli się spostrzeżeniami dotyczącymi różnic w działaniach działów IT/IS, z naciskiem na proaktywne i reaktywne podejście. Przeanalizujemy zarówno zalety, jak i wady takiego podejścia do zarządzania danymi. Skupimy się również na kluczowym podziale danych na obszary gorące i zimne, z identyfikacją korzyści związanych z tą praktyką. Przyjrzymy się także możliwościom powrotu do normalnego funkcjonowania po wystąpieniu awarii.

W ramach tej prezentacji dodatkowo poruszymy temat monitorowania usług, ze szczególnym uwzględnieniem Service Level Agreement (SLA), co pozwoli nam lepiej zrozumieć, jak skutecznie utrzymywać wysoki standard świadczonych usług.

Piotr Wyrzykowski Piotr Wyrzykowski, Senior Solution Consultant, Hitachi Vantara
12.30–12.50

W jaki sposób unijny program certyfikacji Common Criteria wpłynie na cyberbezpieczeństwo w Polsce?

Zaufanie jest kluczowym elementem bezpieczeństwa. Można je budować poprzez regularną współpracę, wspólne doświadczenie czy też zgodne cele, jednak w przypadku krytycznej dla firmy infrastruktury nie jest to wystarczające. Certyfikacja produktów i usług jest sposobem weryfikacji twierdzeń dostawców w sposób bezstronny i uczciwy, korzystając ze wspólnego języka i ustalonej metodyki. Certyfikacja Common Criteria (ISO/IEC 15408) jest obecna w Europie od lat, a niedługo zostanie zastąpiona nowym, unijnym programem certyfikacji. Program, do tej pory wykorzystywany do szerokiej gamy produktów (od paszportów z warstwą elektroniczną po routery), otrzyma nową podstawę prawną.

Certyfikacja produktów w nowej odsłonie będzie miała ogromne znaczenie dla operatorów usług kluczowych podlegających pod zapisy dyrektywy NIS i NIS2. Programy certyfikacji są z zasady dobrowolne, ale mogą zostać uczynione obowiązkowymi przez państwa członkowskie Unii.

Program zawiera szereg elementów: terminologia zostanie zaktualizowana i uzgodniona z Aktem o Cyberbezpieczeństwie (rozporządzenie (UE) 2019/881), podmioty oceniające zgodność będą podlegały autoryzacji (poza akredytacją), organy administracji zyskają nowe zadania. O ile zmiany mogą być oceniane mniej lub bardziej pozytywnie, do niewątpliwych zalet będzie należeć poszerzenie rynku o wszystkie państwa członkowskie Unii (nawet te, które nie były stroną porozumień CCRA i SOG-IS) oraz ujednolicenie zasad uznawania produktów między wszystkimi krajami Unii.

Interesująca będzie też obserwacja rozwoju kolejnych planowanych programów certyfikacji, obejmujących usługi chmurowe, sprzęt telekomunikacyjny sieci 5G oraz sztuczną inteligencję.

Prelegent w swojej prezentacji przybliży uczestnikom zasady funkcjonowania europejskich ram certyfikacji cyberbezpieczeństwa, zawartość pierwszego schematu certyfikacji (EUCC) oraz czego można oczekiwać w przyszłości w tym obszarze.

Jakub Dysarz Jakub Dysarz, Naczelnik Wydziału w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji, Policy Officer, Komisja Europejska
12.50–13.10

Automate elimination of external & internal cyber-attack surface across entire IT stack

Nowadays companies are facing to ever growing Cyber-Threats landscape with dynamics like ever before. Same time companies and institutions are growing size and complexity of their external and internal cyber-attack surface by implementing more diversified ICT technologies, including Virtualized, Cloud and Containerized environment and IT applications and services, extending to mobile and roaming devices and connecting more OT and IoT systems into internal ICT infrastructure, with remote access and management enabled. What are the key-elements for successful management, reduction and remediation of cyber-attack surface?

How TruRisk's platform, prioritization and automation can help solve this problem from both risk monitoring and remediation side?

 

Marek Skalicky, CISM, CRISC Marek Skalicky, CISM, CRISC, Technical Account Manager for Enterprise CEE, Qualys
13.10–13.30

Rozporządzenie DORA w „ekosystemie” dyrektywy NIS2 – o relacji i zależnościach między nowymi regulacjami w obszarze cyberbezpieczeństwa

Wystąpienie ma na celu omówienie relacji i zależności między rozporządzeniem DORA a dyrektywą NIS2, uwzględniając ujęcie sektora bankowości i infrastruktury rynków finansowych jako jednego z sektorów objętych w/w dyrektywą, przy jednoczesnym istnieniu sektorowego aktu prawnego w obszarze cyberbezpieczeństwa dla rynku finansowego, tj. rozporządzenia DORA. W wystąpieniu poruszony zostałby szereg zagadnień dotyczących relacji i zależności między rozporządzeniem DORA a dyrektywą NIS2 – m.in.: możliwy wpływ art. 4 dyrektywy NIS2 na zakres zastosowania przepisów ją implementujących w stosunku do podmiotów kluczowych lub ważnych z sektora bankowości i infrastruktury rynków finansowych; ustalanie statusu MSP podmiotów nadzorowanych na gruncie obu regulacji, w tym zasady jego ustalania i implikacje dla zakresu obowiązków podmiotów nadzorowanych; współpraca między organami właściwymi pełniącymi role nadzorcze w ramach obu w/w regulacji, m.in. w obszarze nadzoru nad zewnętrznymi dostawcami usług ICT i nakładania sankcji; zgłaszanie poważnych incydentów związanych z ICT i wsparcie udzielane przez zespoły CSIRT na rzecz podmiotów finansowych; wpływ pojęć zdefiniowanych w dyrektywie NIS2 na zakres obowiązków określonych w rozporządzeniu DORA, w szczególności w kontekście zgłaszania incydentów; oraz inne zagadnienia pozostające „na styku” obu regulacji.

Michał Ochnio Michał Ochnio, Ekspert w Departamencie Cyberbezpieczeństwa, Urząd Komisji Nadzoru Finansowego
13.30–14.00

Generative AI in Cybersecurity

This presentation dives into the dynamic intersection of Generative AI and cybersecurity, showcasing its transformative influence in modern digital defense strategies. It highlights how Generative AI is redefining threat detection, streamlining policy frameworks, and enhancing training approaches in cybersecurity. The session will also illuminate the complex ethical questions and privacy challenges posed by advanced AI technologies. Attendees will explore how these intelligent systems can be leveraged responsibly, ensuring robust cyber defenses while maintaining ethical integrity. The discussion will include real-world applications, demonstrating the practical impact of Generative AI in cybersecurity. This insightful exploration is designed to provide a deeper understanding of AI's role in shaping future cybersecurity landscapes.

Jim Wiggins Jim Wiggins, Founder, CEO, Federal IT Security Institute (FITSI)
14.00–14.50

Lunch

Sesje równoległe
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

14.50–15.10

25000 IP - Program zarzadzania podatnościami w kilku spółkach

Prezentacja opowie o doświadczeniu zespołu odpowiedzialnego za zarządzanie i wdrożenie w kilku spółkach kolejowych systemu zarządzania podatnościami. Będzie mówiła o problemach i wyzwaniach związanych z chęciami uruchomienia systemu przez zespoły bezpieczeństwa a zderzeniem się z niechętnym IT.

Prezentacja będzie podsumowywała prace 6 lat funkcjonowania zespołu wdrożeniowo-utrzymującego system, pokaże jakie były trudności, w jaki sposób z nimi radzić, w jaki sposób przekonywać IT oraz biznes.

Artur Ślubowski Artur Ślubowski, Dyrektor Projektu, PKP Informatyka
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Warszawa Chapter

14.50–15.10

W 180 dni do zgodności z NIS2

Mamy nadzieję, iż implementacja dyrektywy NIS2 nastąpi już niedługo. Nie czekając na aktualizację Ustawy o KSC spójrzmy co NIS2 przynosi ze sobą, oraz jak możemy się przygotować.

Prelekcja będzie zawierała najważniejsze informacje o obowiązkach wynikających z NIS2 oraz będzie dawała plan działania na najbliższe 180 dni. Uczestnicy dowiedzą się między innymi:

  • jak sprzedać NIS2 zarządowi?
  • czy współpraca z działem prawnym jest niezbędna?
  • jak zweryfikować czy podlegam NIS2?

Radosław Gnat Radosław Gnat, Senior Manager, Cyber Resilience, GSK
Technologie i innowacje

Prowadzenie: ISSA Polska

14.50–15.10

Biometrics vs. Deepfake

W trakcie prelekcji prelegent przedstawi aktualny stan dziedziny z zakresu biometrii oraz deepfake, a także zaprezentuje możliwości ataku (Deepfake audio/obrazu/wideo) i obrony (detekcja żywotności).

Adrian Kapczyński, CISA, CISM, Ph.D. Adrian Kapczyński, CISA, CISM, Ph.D., Koordynator podobszaru badawczego"Cyberbezpieczeństwo", Politechnika Śląska
Dyskusje Roundtables
14.50–15.50

I tura

STOLIK DYSKUSYJNY nr 1

Cyberprawo – co się zmienia w teorii (NIS2, DORA, ENISA, polskie ustawy) i praktyce (AI, łańcuchy dostaw)

Artur Piechocki, Radca Prawny, Założyciel Kancelarii, APLAW

 

STOLIK DYSKUSYJNY nr 2

Cyberbezpieczeństwo OT – główne wyzwania

Piotr Chmielewski, Menedżer w KPMG, Ekspert w zakresie cyberbezpieczeństwa OT

 

STOLIK DYSKUSYJNY nr 3

Hasła to przeżytek - jak szybko pozbyć się ich z organizacji?

Kamil Drzymała, Architekt bezpieczeństwa IT, ISSA Polska

Wdrożenie MFA/passwordless wymaga czasami wielu zmian w infrastrukturze, ale po co się męczyć skoro można zrobić to prościej ? Na to pytanie będzie można dostać nie tylko teoretyczną odpowiedź, ale też przykład jak taką implementację wykonać. Jesteś gotowy na świat bez haseł?


STOLIK DYSKUSYJNY nr 4

Cloud Security - Bezpieczeństwo w chmurze 

Wiktor Markiewicz, Starszy analityk, Polska i Kraje Bałtyckie, IDC Polska

Bezpieczeństwo w chmurze jest dużym wyzwaniem.  Chcielibyśmy zaproponować  dyskusję, która skupi się na tym jak rozwiązać ten  skomplikowany problem poprzez analizę i rozłożenie go na czynniki pierwsze. Omówimy kluczowe aspekty takie jak Disaster Recovery,  Zarządzanie Dostępem,  Data Governance i Data Security. Uczestnicy podzielą się się swoimi doświadczeniami, najlepszymi praktykami i strategiami dotyczącymi zapewnienia bezpieczeństwa w chmurze obliczeniowej.

 

 

STOLIK DYSKUSYJNY nr 5

What do you really know about low-level - fun facts/tricks about low-level stuff (and not just them)?

Mateusz Nosek, Członek, ISSA Polska

Wystąpienie będzie się składać z serii przykładów zagadnień 'nieoczywistych' związanych głównie z programowaniem niskopoziomowym w C\C++. Celem jest zwiększenie świadomości w szczególności osób nadzorujących zespoły niskopoziomowe na nieoczywiste kwestie które mogą napotkać w pracy.

 

STOLIK DYSKUSYJNY nr 6

Strategie walki z Ransomware

Jarosław Smulski, Senior Program Manager, Systems & Infrastructure Solutions, IDC Polska

Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

15.10–15.30

NIE/BEZPIECZNA biometryka w urządzaniach mobilnych z perspektywy użytkownika i informatyki śledczej

Biometria, którą znamy i stosujemy, taka jak rozpoznawanie twarzy i skanowanie odcisków palców staje się coraz bardziej powszechna.

Ale czy te technologie faktycznie zapewniają bezpieczeństwo, spojrzymy z perspektywy  korzystania z telefonów iPhone. Spróbujemy spojrzeć na bezpieczeństwo aplikacji i danych z perspektywy użytkownika i informatyki śledczej.

Krzysztof Bińkowski Krzysztof Bińkowski, Konsultant i szkoleniowiec IT Security and Forensics, ISSA Polska
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Warszawa Chapter

15.10–15.30

DLP - jak wdrażać i jakie daje efekty

Prelegent zaprezentuje projekt wdrożenia systemu klasy DLP w którym był liderem technicznym i głównym architektem rozwiązania. Wdrożenie miało miejsce w infrastrukturze ponad 200 serwerów, oraz ponad 3000 użytkowników. Firma "Matka" posiada spółki z najróżniejszych branż (dookoła healthcare) dlatego zaprojektowanie i wdrożenie było wyzwaniem.

Osoby zarządzające musiały zostać przekonane do używania takiego oprogramowania, tak samo jak odpowiednie poinformowanie użytkowników o systemie klasy DLP celem zrozumienia moźliwości. Wyzwaniem wdrożenia były nie tylko technikalia ale również procesy wraz z identyfikacja i określeniem wrażliwych danych. Wdrożenia udało się dokonać w rekordowym czasie 3 miesięcy. Na zakończenie zostaną opisane i przedstawione rezultaty m. in. mierniki prób transferu danych/informacji oznaczonych jako wrażliwe.

Michał Grobelny Michał Grobelny, Architekt Cyberbezpieczeństwa, NASK-PIB
Technologie i innowacje

Prowadzenie: ISSA Polska

15.10–15.30

Od DNA do Cyberbezpieczeństwa: czy metody kryptografii biologicznej pozwolą połączyć świat realny z wirtualnym?

Możliwość generowania syntetycznych nici DNA, a następnie kodowania informacji w postaci sekwencji nukleotydowej stwarza możliwości ich potencjalnych zastosowań w dziedzinie kryptografii.

Tworząc zakodowane dane we fragmentach DNA sprawiamy, że informacje te są niedostrzegalne gołym okiem i ogromnym wyzwaniem jest odszyfrowanie tych danych. Technologia ta ma potencjał do zastosowania w różnych obszarach bezpiecznego przechowywania danych, wrażliwej komunikacji, oraz zagwarantowania integralności i niezaprzeczalności obiektów fizycznych w świecie Cyber. Podczas prezentacji prelegent przedstawi szczegóły działania technologii znakowania DNA wraz z praktycznymi studiami przypadków.

dr hab. Bogdan Księżopolski dr hab. Bogdan Księżopolski, Pełnomocnik ds. Rozwoju Informatyki, Akademia Leona Koźmińskiego
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

15.30–15.50

To co się dzieje naprawdę nie istnieje - trudności dowodowe dla pamięci masowych

W trakcie prezentacji zostanie przedstawiony problem pozyskiwania jednoznacznych materiałów dowodowych tworzonych w postaci obrazów pamięci masowych wynikający z mnogości niskopoziomowych protokołów sterowania dostępem do tych nośników, emulacją innych typów pamięci, ukrytych obszarów, nowych technologii niekompatybilnych wstecznie takich jak NVMe, a także bardzo starymi technologiami będących wciąż w użyciu.

Na podstawie wybranych przykładów zostanie zaproponowane podejście i jego obrona w postepowaniu sądowym.

Marek Ujejski Marek Ujejski, CISM, CDPSE, LA 27001, LA 22301, COIG S.A.
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Warszawa Chapter

15.30–15.50

Cyberwojna w Ukrainie - jak hackerzy z służb specjalnych omijają zabezpieczenia i włamują się do firm?

Informacje z wywiadu cybernetycznego na temat włamań do systemów informatycznych w Ukrainie dostarczają nam cennych wskazówek, jak testować i budować bardziej skuteczne zabezpieczenia systemów informatycznych polskich firm.

W czasie prezentacji zostaną omówione różne techniki omijania zabezpieczeń antywirusowych i EDR oraz możliwości im przeciwdziałania.

Technologie i innowacje

Prowadzenie: ISSA Polska

15.30–15.50

Nie trać czasu na Backup & Disaster Recovery!

Backup i Disaster Recovery to podstawa bezpieczeństwa danych i koło ratunkowe w przypadku, gdy pozostałe rozwiązania z zakresu security zawiodą. Nikt nie chce tracić czasu na bezpieczeństwo, które wciąż (o zgrozo!) potrafi być uważane za zbędny koszt.

W czasie tej prezentacji dowiesz się, jak szybko i sprawnie przygotować Business Continuty Plan, dobrać właściwie rozwiązanie kopii zapasowych i odtwarzania awaryjnego, a także jak osiągnąć najlepsze czasy RTO. Przypomnę Ci również zasadę 3-2-1, a przede wszystkim opowiem co zrobić, by zarządzanie kopiami zapasowymi, zabezpieczanie kolejnych systemów, czy przywracanie danych w przypadku utraty nie zabierało za wiele cennego czasu!

 

Grzegorz Bąk Grzegorz Bąk, Chief of R&D, Xopero Software & GitProtect.io
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

15.50–16.10

Nowe źródła w informatyce śledczej

W informatyce śledczej i analizach danych coraz częściej będziemy mieć do czynienia z nietypowymi źródłami informacji cyfrowej. Jakie to są źródła? Jak je scharakteryzować, opisać - i przede wszystkim w jaki sposób wydobyć z nich interesujące informacje?

To już nie dyski z komputerów, to już źródła chmurowe, systemy IoT i...? W prezentacji znajdą się dane uzyskane z różnych urządzeń - oraz sposoby, jak dobrać się do tych danych.

Marcin Kaczmarek, CISA, CCSP Marcin Kaczmarek, CISA, CCSP, Wykładowca, Wydział Informatyki i Telekomunikacji, kierunek Cyberbezpieczeństwo, Politechnika Wrocławska, ISACA Katowice, ISSA Polska
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Warszawa Chapter

15.50–16.10

Niszczenie danych - regulacje, a rzeczywista skuteczność

Od czasu do czasu stykamy się z koniecznością zniszczenia jakichś informacji. Zwykle korzystamy wtedy z jakichś procedur lub standardów. Ale czy możemy mieć do tych regulacji zaufanie? Czy faktycznie opisane w nich metody skutecznie niszczą dane?

Jeśli tak, to dlaczego niektóre z nich przewidują wieloetapowe niszczenie danych, łączące różne metody? I dlaczego różne regulacje stawiają przed nami różne wymagania co do sposobów niszczenia danych? Jak wyjaśnić rozbieżności pomiędzy różnymi standardami? Czy wybierając bardziej wymagającą procedurę podnosimy poziom bezpieczeństwa danych, czy jedynie zwiększamy koszty? I czym się różni niszczenie danych od niszczenia nośników?

Paweł Kaczmarzyk Paweł Kaczmarzyk, Prezes, Specjalista odzyskiwania danych, Kaleron Sp. z o. o.
Technologie i innowacje

Prowadzenie: ISSA Polska

15.50–16.10

Zarządzanie Secure SDLC, pierwszy kontakt

Prelegent zaprezentuje, jak bezpieczeństwo techniczne organizacji i developmentu jest strukturyzowane w warstwy. Zajmie się opisem wybranych warstw w taki sposób, by można było zrozumieć co z czego wynika i dlaczego.

Omówi jak mona zintegrować repozytoria z narzędziami skanującymi oraz omówi wysokopoziomowo różnice między metodami SAST, DAST, poszukiwaniem sekretów i zarządzaniem zależnościami. Wyjaśni kryteria wyboru między wdrożeniem w chmurze a rozwiązaniami lokalnymi, z akcentem na korzyści i wyzwania związane z całym tematem Secure SDLC. Pokaże parę wbudowanych funkcji w GitHub, GitLab, ale także jakie moduły są w AWS oraz Azure, podzieli się również doświadczeniami z wdrożeń, zarówno udanymi, jak i mniej udanymi. Rozszerzy zakres omawianych kwestii, wykraczając poza same błędy w kodzie lub metodach, aby skupić się na zabezpieczaniu całego cyklu życia oprogramowania – od etapu projektowania, przez implementację, aż po utrzymanie aplikacji w stanie zapewniającym odporność na audyty i spełniającym oczekiwania klientów.

Paweł Borowski Paweł Borowski, Senior Security Operations Officer, Paymentology
Dyskusje Roundtables
15.50–16.50

II tura

STOLIK DYSKUSYJNY nr 1

Cyberprawo – co się zmienia w teorii (NIS2, DORA, ENISA, polskie ustawy) i praktyce (AI, łańcuchy dostaw)

Artur Piechocki, Radca Prawny, Założyciel Kancelarii, APLAW

 

STOLIK DYSKUSYJNY nr 2

Cyberbezpieczeństwo OT – główne wyzwania

Piotr Chmielewski, Menedżer w KPMG, Ekspert w zakresie cyberbezpieczeństwa OT

 

STOLIK DYSKUSYJNY nr 3

Hasła to przeżytek - jak szybko pozbyć się ich z organizacji?

Kamil Drzymała, Architekt bezpieczeństwa IT, ISSA Polska

Wdrożenie MFA/passwordless wymaga czasami wielu zmian w infrastrukturze, ale po co się męczyć skoro można zrobić to prościej ? Na to pytanie będzie można dostać nie tylko teoretyczną odpowiedź, ale też przykład jak taką implementację wykonać. Jesteś gotowy na świat bez haseł?


STOLIK DYSKUSYJNY nr 4

Cloud Security - Bezpieczeństwo w chmurze 

Wiktor Markiewicz, Starszy analityk, Polska i Kraje Bałtyckie, IDC Polska

Bezpieczeństwo w chmurze jest dużym wyzwaniem.  Chcielibyśmy zaproponować  dyskusję, która skupi się na tym jak rozwiązać ten  skomplikowany problem poprzez analizę i rozłożenie go na czynniki pierwsze. Omówimy kluczowe aspekty takie jak Disaster Recovery,  Zarządzanie Dostępem,  Data Governance i Data Security. Uczestnicy podzielą się się swoimi doświadczeniami, najlepszymi praktykami i strategiami dotyczącymi zapewnienia bezpieczeństwa w chmurze obliczeniowej.

 

 

STOLIK DYSKUSYJNY nr 5

What do you really know about low-level - fun facts/tricks about low-level stuff (and not just them)?

Mateusz Nosek, Członek, ISSA Polska

Wystąpienie będzie się składać z serii przykładów zagadnień 'nieoczywistych' związanych głównie z programowaniem niskopoziomowym w C\C++. Celem jest zwiększenie świadomości w szczególności osób nadzorujących zespoły niskopoziomowe na nieoczywiste kwestie które mogą napotkać w pracy.


 STOLIK DYSKUSYJNY nr 6

Strategie walki z Ransomware

Jarosław Smulski, Senior Program Manager, Systems & Infrastructure Solutions, IDC Polska

Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

16.10–16.30

Korzystasz z U2F? Czy aby na pewno możesz spać spokojnie?

Często przeprowadzony skuteczny atak na dane użytkownika skrywane w różnych przestrzeniach Internetu może mieć dla niego jak i jego firmy opłakane skutki. Stosowanie popularnych zabezpieczeń typu 2FA przez bardziej świadomych użytkowników nie do końca sprawdza się w dzisiejszym świecie.

No cóż sam klucz UFA czasami też może zawieść. Na co zwrócić uwagę i co zrobić aby się o tym nie przekonać na własnej skórze? Dobre rady mają bowiem to do siebie, że można z nich skorzystać lub nie. Ale lepiej ich wysłuchać niż żyć w nieświadomości istniejącego zagrożenia.

Tadeusz Harla Tadeusz Harla, Starszy Specjalista, RON
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Warszawa Chapter

16.10–16.30

AWS Security Culture

Jak budujemy kulturę bezpieczeństwa w całej organizacji AWS? Prezentacja skupi się na omówieniu czym jest kultura i jak możemy zdefiniować kulturę bezpieczeństwa w organizacji oraz z jakich elementów się składa, dlaczego tak trudno jest ją zbudować i jakie bariery napotykamy.

Użyję przykładu AWS jako organizacji, w której bezpieczeństwo jest bardzo ważne, jest wręcz podstawą działalności. Przedstawię AWS jako przykład, aby pokazać, jak nasza kultura zespołu ds. bezpieczeństwa i kultura organizacji jaką jest Amazon Web Services pozwalają nam rozwijać się i zmieniać w takim tempie, w jakim to robimy, jednocześnie zapewniając bezpieczne usługi dla naszych klientów.

Daniel Grabski Daniel Grabski, Principal Security Strategist, AWS CEE Lead
Sesja warsztatowa
16.10–16.50

Praktyczne zastosowanie technologii VR w szkoleniach awareness

Podczas sesji:

  • Na czym polega fenomen szkoleń VR? 
  • Podwójna misja szkoleniowa cyberbezpieczeństwo i nowe technologie VR/AR
  • Dlaczego kursant musi być zawsze ofiarą na szkoleniach z cyberbezpieczeństwa? Na czym polega i co daje odwrócenie ról 
  • Pokaz Live szkolenia, praktyczne zastosowanie aplikacji szkoleniowej VR na przykładzie 2 scenariuszy szkoleniowych/hakerskich
  • #naukaprzezzabawe jako efektywna forma szkoleń z dedykacją nie tylko dla dzieci 
  • NIS2 i praktyczne zastosowanie szkoleń VR w biznesie

Krzysztof Konieczny Krzysztof Konieczny, Trener w Cyfrowy Skaut, Członek, ISSA Polska
Cyberbezpieczeństwo, Hacking i Forensic

Prowadzenie: ISSA Polska

16.30–16.50

Bezpieczeństwo chatGPT

Przegląd ryzyk i ataków na aplikacje zbudowane na LLMs (Large Language Models), na przykładzie chatGPT. Krótkie wprowadzenie do LLM (Large Language Model), mapa zagrożeń aplikacji bazujących na LLM, typy ataków na LLM, przegląd wybranych ataków na LLM, jak chronić LLM przed atakiem?

Jacek Wojcieszyński Jacek Wojcieszyński, Założyciel, Jomsborg Lab
Zarządzanie bezpieczeństwem informacji

Prowadzenie: ISACA Warszawa Chapter

16.30–16.50

Maskowanie danych wrażliwych - case study

Prezentacja będzie skupiać się na doświadczeniach wyniesionych z pierwszego na polskim rynku wdrożenia systemu do maskowania danych wrażliwych z zachowaniem ich spójności. Bardzo często stykamy się z koniecznością udostępnienia naszych baz danych podmiotom zewnętrznym: partnerom biznesowym, firmom marketingowym, deweloperom, testerom, audytorom itp.

Jednak zawarte w tych bazach informacje mają często charakter ściśle poufny (np. dane osobowe, finansowe, medyczne), które nie powinny, a nawet w myśl regulacji prawnych nie mogą, być dostępne poza ścisłym kręgiem osób uprawnionych. Jak pokazuje wiele przykładów udostępnienie firmie trzeciej poufnych danych klientów może mieć fatalne skutki.

Wspierany przez uczenie maszynowe (ML) system wykrywania, klasyfikacji i maskowania wrażliwych informacji w bazach danych, zapewnia:

1. Wyszukiwanie i Klasyfikowanie Danych (Data Discovery and Classification) – skanowanie baz danych pod kątem wyszukiwania i klasyfikacji zawartych w nich wrażliwych danych zgodnie z założonymi priorytetami i potrzebami organizacji.

2. Maskowanie Danych (Data Masking) – automatyczne zastępowanie rzeczywistych danych alternatywnymi, a przy tym wartościowymi produkcyjnie i spójnymi danymi. System tworzy kopię bazy danych, która jednak nie zawiera informacji wrażliwych i dlatego może być udostępniana osobom trzecim i wystawiana w środowiskach nieprodukcyjnych bez ryzyka wycieku danych lub naruszenia przepisów dotyczących prywatności, bezpieczeństwa i ochrony danych. Jednocześnie zaś zachowana jest spójność, integralność i wiarygodność danych.

3. Weryfikację (Verification) – możliwość przeprowadzania automatycznego, okresowego skanowania baz danych w celu wykrycia i ostrzegania o zmianach w danych wrażliwych. Zapewnia to zespołom audytu, cyberbezpieczeństwa, zgodności z regulacjami, ochrony danych osobowych itp. pełną widoczność i kontrolę nad wszystkimi wrażliwymi danymi we wszystkich bazach organizacji.

Realizując powyższe funkcje system zmniejsza powierzchnię ataku na bazy danych poprzez tworzenie środowisk niewrażliwych, które nie zawierają prawdziwych, newralgicznych informacji.

Zrealizowaliśmy wdrożenie tego systemu w jednej z największych firm w Polsce. Dopracowaliśmy system do wyszukiwania i maskowania specyficznych dla naszego obszaru i języka danych (polskich nazwisk, adresów, numerów PESEL i NIP, numerów dokumentów tożsamości i wielu innych) i teraz system jest w 100% gotowy do spełnienia wymogów i potrzeb polskiego rynku. W trakcie wdrożenia zetknęliśmy się też z wieloma wyzwaniami i problemami, których rozwiązanie było kluczowe dla powodzenia projektu. W trakcie wystąpienia pokażemy, jak przygotować organizację do takiego wdrożenia, jak uniknąć różnych pułapek w jego trakcie i na co zwrócić szczególną uwagę.

Piotr Brogowski Piotr Brogowski, Członek, ISSA Polska
Warsztaty
14.50–16.50

Ćwiczenia sztabowe z obsługi incydentu ransomware

2-godzinny warsztat dla 15 osób

 

Ćwiczenia sztabowe są przeznaczone dla Członków Zarządów, przedstawicieli biznesu, zespołów IT oraz zespołów ds. cyberbezpieczeństwa pracujących w organizacji o niskim i średnim poziomie dojrzałości procesu zarządzania bezpieczeństwem informacji. Warsztaty mają na celu zasymulować pracę Organizacji , która ulega atakowi ransomware,  spotyka się z szantażem upublicznienia danych oraz przerwą w ciągłości biznesu spowodowanej brakiem dostępu do danych.

Jeśli jesteś Członkiem Zarządu lub przedstawicielem biznesu, dowiesz się jak atak ransomware może wpływać na Twój biznes, jakie są kluczowe etapy obsługi takiego incydentu, jaka jest Twoja rola w obsłudze incydentu i czego wymagać od służb prawnych, marketingu, komunikacji i zespołów technicznych IT/cyberbezpieczeństwa. Podczas warsztatu zapoznasz się z kluczowymi krokami do przywrócenia ciągłości biznesu oraz poznasz kluczowe punkty pomiaru skuteczności ochrony przed ponownym atakiem.

Jeśli jesteś przedstawicielem zespołu IT, cyberbezpieczeństwa lub pełnisz rolę audytora  dowiesz się o dobrych i złych praktykach podczas takiego incydentu i zobaczysz szerszą perspektywę, w której Twoja praca minimalizuje tylko część zagrożeń stojących przed Organizacją.

Jeśli masz problem z oceną dojrzałości procesu zarządzania bezpieczeństwem informacji, to odpowiedz sobie na dwa pytania:

(a) czy dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji w Twojej organizacji jest praktyczną skarbnicą wiedzy o politykach ochrony informacji i powiązanych praktycznych procedurach prewencji, detekcji i korekcji?

(b)  czy jako Zarząd/Biznes/IT/audytor bierzesz czynny udział w analizie ryzyka kluczowych zasobów informacyjnych i poświęcasz temu zadaniu pełne swoje zaangażowanie ?

Jeśli obie odpowiedzi brzmią na TAK to jesteś na dobrej drodze, trzymaj kurs i pojaw się na warsztacie, jeśli chcesz podzielić się swoim doświadczeniem. Jeśli Twoje odpowiedzi zmierzają do NIE to warsztat z całą pewnością będzie dla Ciebie wartościowy.

Robert Bigos Robert Bigos, Członek Zarządu, ISACA Katowice Chapter
16.50–17.00

Zakończenie konferencji SEMAFOR 2024

Organizatorzy dołożą wszelkich starań, aby konferencja odbyła się zgodnie z prezentowanym programem, jednak zastrzega się możliwość częściowych zmian godzin poszczególnych wystąpień.

Prowadząca konferencję

Paulina Chylewska

dziennikarka telewizyjna i prezenterka

Wśród Keynote speaker'ów tegorocznej edycji

Corbett Hoxland

Chief Technologist, HP

Sue Milton

ISACA UK Advocacy Task Force

Dr. Shawn P. Murray

President, Information Systems Security Association, International Board of Directors

Andrea Polereczki

Founder, Board Member, Women4Cyber Hungary

Vangelis Stykas

Chief Technology Officer, atropos.ai

Jim Wiggins

Founder, CEO, Federal IT Security Institute (FITSI)

W gronie prelegentów i prelegentek

Jan Anisimowicz

Chief Portfolio Officer, Board Member, C&F SA

Bartłomiej Anszperger

Solution Engineer Manager w Europie Wschodniej, F5

Artur Barankiewicz

Head of Security Business Development B2B Europe, Deutsche Telekom

Marta Barcicka

Wykładowca, Wyższa Szkoła Biznesu-NLU, Co - founder, Neuron Cube, Doradca Zarządu ds. Operacyjnych, Alma S.A.

Grzegorz Bąk

Chief of R&D, Xopero Software & GitProtect.io

Zenon Biedrzycki

Dyrektor Biura Projektowania i Architektury Rozwiązań CyberSecurity, BNP Paribas Bank Polska S.A.

Robert Bigos

Członek Zarządu, ISACA Katowice Chapter

Krzysztof Bińkowski

Konsultant i szkoleniowiec IT Security and Forensics, ISSA Polska

Marcin Blaźniak

Pre-Sales Engineer, OVHcloud

Paweł Borowski

Senior Security Operations Officer, Paymentology

Filip Brandt

Security Architect, Zespół Architektury Systemów Bezpieczeństwa, BNP Paribas Bank Polska S.A.

Piotr Brogowski

Członek, ISSA Polska

Sylwia Buźniak

Starszy Partner Biznesowy HR, Kierownik Zespołu, EXATEL S.A.

Grzegorz Cenkier

Sekretarz Zarządu, ISSA Polska

Francesco Chiarini

Chairman - Cyber Resilience SIG (Special Interest Group), Information Systems Security Association (ISSA)

Piotr Chmielewski

Manager w zespole cyberbezpieczeństwa, ekspert w obszarze cyberbezpieczeństwa OT, KPMG

Bartosz Cieszewski

Solutions Architect, Secfense

Adam Danieluk

Prezes Zarządu, ISSA Poland

Kamil Drzymała

Architekt bezpieczeństwa IT, ISSA Polska

Marcin Dublaszewski

Prezes Zarządu, Instytut Audytorów Wewnętrznych IIA Polska

Krzysztof Dyki

Prezes, ComCERT S.A.

Jakub Dysarz

Naczelnik Wydziału w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji, Policy Officer, Komisja Europejska

Marcin Ganclerz

Cybersecurity Awareness and Training Senior Analyst, PepsiCo

Radosław Gnat

Senior Manager, Cyber Resilience, GSK

dr Maja Goschorska

AI Specialist, Sagenso

Daniel Grabski

Principal Security Strategist, AWS CEE Lead

Michał Grobelny

Architekt Cyberbezpieczeństwa, NASK-PIB

Jacek Grymuza

Członek Zarządu, (ISC)² Poland Chapter

Adam Haertle

Trener, twórca, redaktor naczelny, ZaufanaTrzeciaStrona.pl

Tadeusz Harla

Starszy Specjalista, RON

Jarosław Homa

Zastępca Dyrektora Centrum Cyberbezpieczeństwa, Politechnika Śląska

Michał Hryciuk

Prezes Zarządu, ISACA Warszawa Chapter

Łukasz Jachowicz

Ekspert ds. cyberbezpieczeństwa, Safesqr

Damian Jagusz

Chief Digital Operational Resilience Officer, Corporate IT Security Officer, ERGO Hestia

Tomasz Janczewski

Wykładowca, Wydział Dowodzenia i Operacji Morskich, Akademia Marynarki Wojennej

Marcin Kabaciński

Członek Zarządu, Fundacja CISO #Poland, CISO, PayPo

Marcin Kaczmarek, CISA, CCSP

Wykładowca, Wydział Informatyki i Telekomunikacji, kierunek Cyberbezpieczeństwo, Politechnika Wrocławska, ISACA Katowice, ISSA Polska

Paweł Kaczmarzyk

Prezes, Specjalista odzyskiwania danych, Kaleron Sp. z o. o.

Adrian Kapczyński, CISA, CISM, Ph.D.

Koordynator podobszaru badawczego"Cyberbezpieczeństwo", Politechnika Śląska

Andrzej Karpiński

Dyrektor ds. Bezpieczeństwa, Grupa BIK

Romana Kawiak-Ciołak

Dyrektor Departamentu Audytu i Kontroli Wewnętrznej, Centralny Ośrodek Informatyki

Bartłomiej Kilanowicz

Solution Architect, ASCOMP S.A.

Krzysztof Konieczny

Trener w Cyfrowy Skaut, Członek, ISSA Polska

dr hab. Bogdan Księżopolski

Pełnomocnik ds. Rozwoju Informatyki, Akademia Leona Koźmińskiego

Radek Kucik

Dyrektor Sprzedaży w Europie Środkowo Wschodniej, Pentera

Michał Kurek

Członek Zarządu, OWASP Polska

Damian Kuźma

Cybersecurity Specialist, Advatech

Grzegorz Łunkiewicz

Zastępca Dyrektora Data Center, Kierownik Działu Bezpieczeństwa Teleinformatycznego, COIG S.A.

Artur Maciąg

Analityk, Inicjatywa Kultury Bezpieczeństwa

Rafał Maciejewski

Właściciel, Revogoo

Marcin Madey

Prezes zarządu, SUSE Polska

Wiktor Markiewicz

Starszy analityk, Polska i Kraje Bałtyckie, IDC Polska

Anna Mazur-Kłucjasz

Trenerka biznesu, Certyfikowana konsultantka Teorii Ról Zespołowych Belbina®, Coach, Arteterapeutka, Training Tree

Jarek Mikienko

Konsultant Ochrony Danych, Rubrik

Adam Mizerski

President, ISACA Katowice Chapter

Rafał Nikodym

Menadżer, Dział Audytu Wewnętrznego, Departament Audytu i Kontroli, Polska Grupa Zbrojeniowa S.A.

Mateusz Nosek

Członek, ISSA Polska

Michał Ochnio

Ekspert w Departamencie Cyberbezpieczeństwa, Urząd Komisji Nadzoru Finansowego

Angelika Maria Piątkowska

Prezeska, Polski Instytut Cyberpsychologii, Cyberpsychopatologii i Cyberpsychotraumatologii

Artur Piechocki

Radca Prawny, Założyciel Kancelarii, APLAW

Robert Pławiak

CIDO, CTO, Zakłady Farmaceutyczne Polpharma S.A.

Marcin Safranow

VP of IT and Operations, Huuuge Games

Marzena Sawicka

Co-Founderka, Dyrektorka Zarządzająca, HILLWAY Training & Consulting

Marek Skalicky, CISM, CRISC

Technical Account Manager for Enterprise CEE, Qualys

Magdalena Skorupa

Global IT&D Director, Global Technology & Security, Digital Workplace, Reckitt

Jacek Skorupka

CISO, Medicover

Jarosław Smulski

Senior Program Manager, Systems & Infrastructure Solutions, IDC Polska

dr Ścibór Sobieski

Doradca, Konsultant, Coach, Mentor, Wykładowca, Uniwersytet Dolnośląski DSW

Dr inż. Mariusz Stawowski

CTO, CLICO

Jakub Syta

Zastępca Dyrektora, Morskie Centrum Cyberbezpieczeństwa, Akademia Marynarki Wojennej

Krzysztof Szczepański

Dyrektor, Departament Bezpieczeństwa i Ryzyka, Krajowa Izba Rozliczeniowa S.A.

Paweł Szczepski

Architekt, Bank Gospodarstwa Krajowego

Magdalena Szczodrońska

Events Director, IDG Poland SA

Piotr Szołkowski

Senior Systems Engineer, Extreme Networks

Artur Ślubowski

Dyrektor Projektu, PKP Informatyka

Marcin Tyrański

IT Strategy & Data Platform Departament Director, UNIQA Insurance Group AG

Marek Ujejski

CISM, CDPSE, LA 27001, LA 22301, COIG S.A.

Jakub Walczak

Kierownik Biura Bezpieczeństwa, Pełnomocnik ds. Ochrony Informacji Niejawnych, Radmor S.A.

Ireneusz Wochlik

Członek Zarządu, AI LAW TECH

Jacek Wojcieszyński

Założyciel, Jomsborg Lab

Piotr Wyrzykowski

Senior Solution Consultant, Hitachi Vantara

Joanna Wziątek

Senior Security Engineer, Tenable

Rada programowa

Krzysztof Bińkowski

Konsultant i szkoleniowiec IT Security and Forensics, ISSA Polska

Łukasz Bydłosz

Senior IT Auditor, Santander Consumer Bank SA, Wiceprezes, ISACA Katowice Chapter

Grzegorz Cenkier

Sekretarz Zarządu, ISSA Polska

Adam Danieluk

Prezes Zarządu, ISSA Poland

Piotr Duczyński

Członek Zarządu, ISACA Warsaw Chapter

Bartłomiej Dyrga

Head of IT Security Team, Alior Bank SA, Vice President, ISACA Katowice Chapter

Beata Kwiatkowska

Dyrektor ds. Członkostwa Wspierającego, ISSA Polska

Adam Mizerski

President, ISACA Katowice Chapter

Jacek Skorupka

Global Cybersecurity Director, Medicover, ISSA Polska

Anna Winiecka

Communications Director, Board Member, ISACA Warsaw Chapter

Magdalena Sokulska

Project Manager, IDG Poland SA

Magdalena Szczodrońska

Events Director, IDG Poland SA

Wanda Żółcińska

Redaktor Naczelna, Computerworld

Zostań prelegentem Semafor 2024!

Udział w roli Prelegenta to wyjątkowa okazja do zaprezentowania doświadczeń oraz rozwiązań dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce.

Zostań prelegentem

Wideorelacja z edycji 2023

Fotogaleria

Udział w konferencji Semafor 2024 to
15 punktów CPE do certyfikatów: CISSP/ CISA/ CISM/ CRISC/ CGEIT

 

Tematyka konferencji

Konferencja odbędzie się z podziałem na 4 ścieżki tematyczne:

 

  • Audyt nowych frameworków zarządzania ryzykiem(np. DORA)
  • Audyt rozwiązań chmurowych i hybrydowych
  • Audyt cyberbezpieczeństwa, ciągłość działania
  • Audyt – różne aspekty a warstwy modelu architektury – organizacja, ludzie, procesy, technologie, jak uzyskać dowody i połączyć dane w wyniki
  • Audyt rozwiązań kryptograficznych
  • Audyt KSC z puntu widzenia regulatora
  • Audyt SOC / DevOps / Develop / Efektywności RedTeam-BlueTeam
  • Prowadzenie audytów w nowych sektorach (systemy autonomiczne, blockchain, Fintech...)
  • Bezpieczeństwo w środowisku chmurowym
  • Zagrożenia w technologii Edge Computing
  • Bezpieczeństwo mikroserwisów i pokrewnych technologii
  • IoT/ICS – więcej urządzeń i więcej wektorów ataku
  • Threat Intelligence
  • Threat Hunting
  • Zabezpieczanie śladów cyberprzestępstw
  • Phishing automation – wykorzystanie botów, maszyn etc.
  • Jak nadążyć nad zmiennością cyberataków – ciekawe incydenty
  • Wywiad otwartoźródłowy wraz z prezentacja jego narzędzi
  • Zabezpieczenie rozproszonych danych – jak poradzić sobie z nowym modelem ich przetwarzania
  • Cyberataki – studium przypadku pentestera
  • Szyfrowanie end-to-end – wyzwania i niebezpieczeństwa
  • Wieloskładnikowe uwierzytelnianie
  • Sprzętowe backdoor’y – jak wykrywać i zarządzać ryzykiem
  • Wbudowanie bezpieczeństwa w proces CI/CD
  • Nowe trendy w cyberbezpieczeństwie
  • Rola czynnika ludzkiego w bezpieczeństwie informatycznym
  • Darknet – jako podziemie cyberprzestępcze
  • Urządzenia autonomiczne i ich bezpieczeństwo
  • Bezpieczeństwo łańcucha dostaw
  • Zarządzanie zmianą w środowiskach on-premise, chmurowych i hybrydowych
  • Cloud Security - czy uczymy się bezpiecznie korzystać z chmury
  • Odporność biznesowa jako kolejny poziom dojrzałości organizacji
  • Business continuity, Backup i Disaster Recovery
  • Zarządzanie zasobami - Asset management
  • Konsolidacja rozwiązań i dostawców bezpieczeństwa
  • Duże projekty bezpieczeństwa - jak nimi zarządzać
  • Zero trust to technologia, metodyka, a może sposób myślenia (rozwiązania Mesh VPN, Secure Access Service Edge)
  • Zapobieganie Insider Threats
  • Zabezpieczenie zdalnych pracowników 
  • Ochrona urządzeń mobilnych
  • Jak zarządzać cyberbezpieczeństwem w sieciach społecznościowych
  • Zmiany regulacyjne NIS2/KSC/DORA
  • Digital Services Act i Digital Markets Act – co przyniosą nowe zmiany prawne
  • Zarządzanie cyfrową tożsamością
  • Cybersecurity awareness w pracy i poza nią
  • AI – dynamiczny wzrost adaptacji w aspekcie cybersecurity
  • Toolbox 5G
  • Ciemna strona automatyzacji z użyciem uczenia maszynowego
  • Deepfake – jak może posłużyć cyberprzestępcom
  • Automatyzacja serwisów chmurowych (usługi związane z bezpieczeństwem i odpowiedzi na zagrożenia)
  • Szyfrowanie – innowacje, które mogą zmienić wykorzystywane obecnie algorytmy
  • Autonomiczne biznesy – firmy zarządzane przez maszyny – aspekty bezpieczeństwa
  • Neuromorphic computing, DNA storage, quantum computing, technological biohacking – jak technologie przyszłości wpłyną na nasze życie i bezpieczeństwo

Do udziału zapraszamy

  • szefów działów bezpieczeństwa (CISO/CSO)
  • ekspertów odpowiedzialnych za ciągłość działania i zarządzanie kryzysowe
  • audytorów bezpieczeństwa IT
  • osoby odpowiedzialne za administrowanie sieciamii systemami IT
  • szefów działów audytu, audytorów
  • konsultantów i ekspertów bezpieczeństwa informacji
  • menedżerów i specjalistów z działów zarządzania ryzykiem
  • menedżerów i dyrektorów IT
  • ekspertów IT governance

Zostań partnerem Semafor 2024!

Udział w roli Partnera to wyjątkowa okazja do zaprezentowania doświadczeń oraz rozwiązań dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce.

Zostań partnerem

Lokalizacja

PGE NARODOWY

al. Księcia Józefa Poniatowskiego 1,
03-901 Warszawa

Proponowane noclegi dla uczestników konferencji

Uczestnicy konferencji na hasło „SEMAFOR” mają zapewnione preferencyjne stawki w hotelu Polonia Palace, hotelu Metropol oraz hotelu Novotel Warszawa Centrum, doskonale skomunikowanymi z miejscem odbywania się konferencji - PGE Narodowym.
Więcej informacji tutaj

Partner generalny

Partnerzy strategiczni

Partnerzy merytoryczni

Partner

Wystawcy

Patroni medialni

Organizatorzy

Jesteśmy do Państwa dyspozycji



Magdalena Sokulska
Tel. +48 662 287 862
[email protected]

Piotr Fergin
Tel. +48 533 358 952
[email protected]

Elżbieta Olszewska
Tel. +48 662 287 909
[email protected]

Magdalena Szczodrońska
Tel. +48 662 287 935
[email protected]