Nie jest łatwo podsumować konferencję, która w ciągu dwóch dni oferuje m.in. ponad pół setki prelekcji, 4 ścieżki tematyczne (plenarna – tu np. obliczenia kwantowe, cyberbezpieczeństwo, hacking i forensic, bezpieczeństwo informacji). W tym roku przybyło ponad 400 uczestników, których przyciągnęło nagromadzenie specjalistycznych tematów. Jedną z „gwiazd” pierwszego dnia był znany fizyk i popularyzator nauki, dr hab. Andrzej Dragan z Uniwersytetu Warszawskiego, z optymistycznym wystąpieniem zatytułowanym „czy dzięki komputerom kwantowym będzie można stworzyć szyfr nie do złamania”? Coraz więcej bowiem słychać obaw, że w nieuchronnie nadchodzącej epoce komputerów kwantowych krajobraz cyberbezpieczeństwa zmieni się tak bardzo, że obecne rozwiązania – jak np. RSA – staną się nieprzydatne (na marginesie warto wspomnieć, że partner konferencji IBM – bardzo intensywnie rozwija badania i inwestuje w superkomputery oraz obliczenia i komputery kwantowe, także w Polsce). Mówiąc jak najprościej, komputer kwantowy działa zupełnie inaczej niż znane nam dzisiaj wszystkim „maszyny liczące”, jednocześnie oblicza i weryfikuje wszystkie możliwe stany i wybiera optymalny. Najbardziej obrazowym przykładem tego jest znany chyba wszystkim paradoks kota Schrödingera. Obawa przed nieznanym, dla wielu niewyobrażalnym światem pod panowaniem kwantów przybiera na sile, tematyka ta więc jest coraz częściej podejmowana. Również Jan Anisimowicz, Director Audit, Risk & Compliance, ISACA Warsaw Chapter w swojej prelekcji zmierzył się z pytaniem, co obliczenia kwantowe oznaczają dla bezpieczeństwa informacji? Porównał obecny stan rozwoju technologii komputerów kwantowych do sytuacji pierwszego komputera ENIAC zbudowanego w połowie lat 40 XX wieku: wielki (ważył ponad 30 ton!) i powolny, ale jednocześnie inspirujący do dalszego działania i rozwoju (ilu z nas wie, że nasze smartfony mają więcej mocy obliczeniowej niż komputer, który wysłał ludzi na Księżyc?). Jednocześnie wraz z rozwojem możliwości komputerów kwantowych, bardzo szybko wzrosną możliwości ich wykorzystania w kryptografii, bezpiecznym przesyłaniu informacji (splątanie kwantowe) oraz wzroście możliwości oferowanej przez sztuczną inteligencję, tłumaczył Anisimowicz. Co więc z bezpieczeństwem algorytmów klucza publicznego? Tak naprawdę nie sposób dzisiaj jeszcze udzielić wiążących, ostatecznych (i prawidłowych) odpowiedzi. Dodatkowo, tradycyjnie legislacja nie nadąża za rozwojem nowych produktów, usług i praktyką (nie wyłączając cyberprzestępców). O tym, jak obecnie buduje się Ekosystemy i Ramy Cyfrowego Zaufania mówił Richard Hollis, Dyrektor Generalny w Risk Crew Limited, londyńskiej firmie konsultingowej zajmującej się zarządzaniem bezpieczeństwem informacji, ryzykiem i zgodnością (GRC), oraz specjalizującej się w dostarczaniu kreatywnych, opłacalnych, niezależnych rozwiązań w zakresie zarządzania ryzykiem cybernetycznym i szkoleń z zakresu świadomości bezpieczeństwa. Nie taki diabeł straszy jak go malują, czyli jak można uczynić cyfrowe zaufanie audytowalnym, mierzalnym i kwantyfikowalnym? W jaki sposób audyt może wiarygodnie ocenić, co oznacza cyfrowe zaufanie i jaki jest wymagany poziom zaufania? O tym jak zrozumieć podejście UE do cyberprzestrzeni mówił Francesco Bordone, kierownik ds. polityki, legislacji i rynków cyberbezpieczeństwa w Europejskiej Organizacji Cyberbezpieczeństwa (ECSO). UE znana jest z ochronnego podejścia do swoich obywateli, stąd zainteresowanie kwestiami miejsca przechowywania danych czy mediów społecznościowych (obecnie, oczywiście, Unia prześwietla TikToka, ale i inni giganci tech nie mają łatwo z eurokratami). UE inwestuje też w budowę superkomputerów, centrów danych, sektor R&D – także prywatny, badania interdyscyplinarne itd. Itp. Po wpadce sprzed dekady, kiedy to wydano prawie 80 mln euro na system bezzałogowego patrolowania granic TALOS, który trzeba było zdemontować mimo pełnej operacyjności technologicznej, zaniedbano bowiem kwestie etyczne i społeczne (nikt na etapie projektowania nie zastanowił się, czy robot może i będzie miał prawo zatrzymać i odesłać człowieka na granicy), obecnie realizowane projekty technologiczne muszą uwzględniać czynniki behawioralne i humanistyczne już na etapie projektowania.

Jeżeli chodzi o kwestie cyberbezpieczeństwa, to dominowały prelekcje praktyczne, oparte o case studies – od „instrukcji” jak użyć Microsoft Endpoint Protection do zaatakowania Microsoft, przez przegląd najważniejszych rozwiązań dających wymierne efekty w procesie tworzenia skutecznej strategii cyberodoporności. Pomimo wdrożenia MFA, mnożą się doniesienia o przejęciach kont i wyciekach danych (wymieńmy z głośniejszych: (Uber, Dropbox, Github). „CEO Covid” przyśpieszył wdrażanie MFA - obecnie podczas pracy zdalnej używa tego rozwiązań 49% użytkowników, ale… nie każde MFA jest odporne na phishing. Stąd wzrastająca potrzeba wdrażania uwierzytelniania wieloskładnikowego odpornego na phishing. Odpornośc na pishing definiowana jest jako zdolność protokołu uwierzytelniania do wykrywania i zapobiegania ujawnianiu tajemnic uwierzytelniających i ważnych danych wyjściowych uwierzytelniania stronie podlegającej oszustowi bez poleganiu na czujności subskrybenta. Ponadto w dalszym ciągu w użyciu jest mobilne MFA. Marcin Majchrzak z Yubico obalał najpopularniejsze mity związane z uwierzytelnianiem wieloskładnikowym za pomocą urządzeń mobilnych. Wbrew obiegowemu przekonaniu nie zawsze jest ono tanie, bezpieczne, nie wszędzie się sprawdza i zdaniem Marcina Majchrzaka, nie zda egzaminu w dłuższej perspektywie. Zaproponował sposób na wyeliminowanie przejęć kont: FIDO (Fast Identity Online Authentication) w połączeniu z kluczami sprzętowymi. To tylko jeden przykład trendu, który dopiero zyskuje na znaczeniu, ale wkrótce może okazać się przełomowy.

Z kolei znany ekspert ds. bezpieczeństwa w chmurze, Zaki Elsayed, przedstawił Software Assurance Maturity Model. Był to szczegółowy, konkretny instruktaż od A do Z w ramach zaimplementowania strategii cyberbezpieczeństwa.

Organizatorami forum SEMAFOR 2023 były: Computerworld Polska, ISACA oraz ISSA. Partnerami generalnymi: IBM, NTT. Partnerami strategicznymi: ASCOMP, BGK, Baramundi, Delinea, Nomios, Tenable , T-Mobile, Trellix. Partnerami merytorycznymi: Blackberry, COIG, Enerty Logserver, Energy Soar, Eprinus, Infinidat, ISCG, Thales, Tufin, Yubico. Wystawcami: Acronis, Cryptomage, Greeneris, Securevisio, Senetic, Stovaris oraz Tekniska.

Już teraz zapraszamy na przyszłoroczną konferencję SEMAFOR w marcu 2024 w Warszawie!