Prezenčná & virtuálna konferencia
Kybernetická bezpečnosť v meniacich sa podmienkach
virtuálne | www.efocus.eu/cyber-security23
Program
Prečo sa zúčastniť konferencie
Digitálny svet vystavuje organizácie všetkých veľkosti novým výzvam a aj značným rizikám. Konferencia má ambíciu nachádzať odpovede na viaceré aktuálne otázky. Jednou z nich je eliminácia kybernetických bezpečnostných rizík v kontexte legislatívnych a normatívnych požiadaviek. Ďalšou je to, že organizácie nie sú pripravené na krízové situácie, prevencia takmer neexistuje, čaká sa na incident. Prečo je práve teraz vhodný čas na riadenie kontinuity? Osobitne dôležité je, ako riešiť incidenty kybernetickej bezpečnosti, ak nastanú. Dobrou správou je to, že existujú technológie a riešenia ako sa efektívne ochrániť pred kybernetickými útokmi a potenciálnymi hrozbami.
09:00 - 09:10 Úvodné slovo
Blok I Trendy a stratégie
09:10 -09:30 IT change management môže a nemusí byť hrozbou
Marek Zeman, vedúci oddelenia IS bezpečnosti, Tatra banka
Čo je to IT change management? Máme dve časti IT change managmentu, vysvetlime si ako fungujú v praxi. Navrhneme si správny proces a odporučíme kontroly.
09:35 -09:55 Certifikácia manažérov kybernetickej bezpečnosti, znalostný štandard
Miroslav Havelka, riaditeľ odboru vzdelávania, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti
Slovensko patrí medzi prvé krajiny EÚ, ktoré kodifikovali pracovné roly v kybernetickej bezpečnosti. Medzičasom pripravila ENISA, agentúra EÚ pre kybernetickú bezpečnosť, vlastnú sadu pracovných rolí vo forme odporúčaní pre členské krajiny a nás teší, že prekryv medzi nimi je takmer stopercentný. NBÚ následne určilo znalostné štandardy v kybernetickej bezpečnosti Vyhláškou NBÚ č. 492/2022. Popis jednotlivých rolí, ich reálne využitie v praxi organizácií a nadväznosť na certifikáciu manažérov kybernetickej bezpečnosti je predmetom prednášky.
10:00 - 10:20 Čo prináša aktualizácia bezpečnostnej normy ISO/IEC 27002:2022
Igor Straka, Busines Utility Manager - Cyber security, TÜV SÜD Slovaka
Séria ISO 27000 od Medzinárodnej organizácie pre normalizáciu (International Organization for Standardization – „ISO“) www.iso.org je najznámejšou sériou noriem IT bezpečnosti, ktorú používajú tisíce organizácií a firiem po celom svete ako základný kameň svojho riešenia kybernetickej bezpečnosti. Od uverejnenia bezpečnostných noriem ISO 27001 a ISO 27002 v roku 2013 a ich čiastočných aktualizácií v rokoch 2014 a 2015 sa objavilo množstvo noviniek a zmien. Vývoj nových IT technológií priniesol nové bezpečnostné výzvy nielen pre technických profesionálov, manažérov a používateľov, ale aj pre organizácie zaoberajúce sa normami a reguláciami.
10:20 - 10:35 Prestávka
10:35 - 10:55 Vzťah ochrany osobných údajov a kybernetickej bezpečnosti
Ivan Makatura, generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti
Praktická ochrana súkromia sa implicitne týka kybernetickej bezpečnosti. Všeobecné nariadenie o ochrane údajov kladie na prevádzkovateľov iba generické požiadavky na bezpečnostné opatrenia. Konkrétne požiadavky na opatrenia v GDPR nenájdete. To žiaľ umožňuje rôznorodé, mnohokrát aj značne subjektívne výklady. Navyše - na trhu sa nájdu aj takí neseriózni poskytovatelia služieb, ktorí neprofesionálne a výhradne s cieľom vlastného zisku uvádzajú prevádzkovateľov do omylu. Presviedčajú ich, že vyplnením akýchsi šablón ochránia osobné údaje dotknutých osôb. Papier chráni práva , bez technických opatrení však neochránite osobné údaje.
11:00 - 11:20 Krátky prehľad kyberbezpečnostnej legislatívy v EÚ
Radoslav Repa, Counsellor, Cyber Security and Trust Services, Brusel
Prezentácia sa zameria na priblíženie súčasného legislatívneho ako aj nelegislatívneho rámca v oblasti kybernetickej bezpečnosti v EÚ. Popíše základné ciele, prvky a funkcie doteraz prijatých smerníc a nariadení ako sú NIS/NIS2, Akt o kybernetickej bezpečnosti, Aktu o kompetenčných centrách, či o v súčasnosti diskutovanom Akte o kybernetickej odolnosti. V širšej perspektívne sa prezentácia okrem iného dotkne aj novej navrhovanej legislatívy, či sprievodných iniciatív ako je napríklad súbor nástrojov pre kybernetickú diplomaciu, ktorý pomáha EÚ a jej členským krajinám efektívnejšie odrádzať štátnych aj neštátnych aktérov od škodlivého správania v kyberpriestore.
11:25 - 11:45 Rozdiely medzi všeobecným riadením rizík (ISO 31001) a špecifickými rizikami informačnej bezpečnosti (ISO 27005)
Riadenie rizík informačnej bezpečnosti procesne a metodicky vychádza z celosvetovo renomovaného a akceptovaného štandardného procesu riadenia rizík - tento proces poznáme z medzinárodnej normy ISO 31000 - málokto vie, že táto norma pôvodne vznikla v Austrálii pod označením as/nzs 4360 už v roku 1999 a do sústavy ISO bola prevzatá v roku 2009 už pod známym označením ISO 31000. Špecifická norma pre riadenie informačných rizík - pod označením ISO 27005 - bola prvýkrát vydaná v roku 2008 a odvtedy bola novelizovaná trikrát - dnes je v platnosti vydanie z roku 2022, kde nájdeme prepracovaný a systematický spôsob identifikácie rizík vo väzbe na informačné aktíva, existujúce hrozby a zraniteľnosti v organizácii, resp. v jej externom kontexte. Vystúpenie sa bude venovať práve týmto špecifikám riadenie rizík informačnej bezpečnosti a ich praktickej aplikácii.
11:50 - 12:10 Kybernetická bezpečnosť v OT - technické normy ISA
Martin Fábry, konzultant pre kybernetickú bezpečnosť kritickej infraštruktúry, Accura
Väčšina bezpečnostných OT štandardov má úzky rozsah a je viazaný na sektor, alebo legislatívu. Séria noriem IEC 62443 je úplne zovšeobecnená, čo umožnuje jej širokospektrálne aplikovanie naprieč rôznym sektorom a odvetviam, čo ju posunulo na prvú priečku vo svete OT štandardov.. IEC 62443 je medzinárodná séria noriem, ktoré sa zaoberajú kybernetickou bezpečnosťou prevádzkových technológií (OT) v automatizačných a riadiacich systémoch. Norma je rozdelená do rôznych častí a popisuje technické aj procesné aspekty kybernetickej bezpečnosti automatizácie a riadiacich systémov. V tejto prezentácii si povieme o esenciálnych častiach a dôležitých sekciách tohto štandardu a jeho aplikácii v praxi
12:10 - 13:10 Obedňajšia prestávka
13:10 - 13:30 Ransomvér - aktuálne trendy, stratégie a dnešná realita
Lukáš Hlavička, CTO, istrosec
13:35 - 13:55 Pokročilé hrozby a pokročilé vrstvy zabezpečenia
Ondrej Krajč, Senior Technical Pre-Sales Representative
V dnešnej veľmi náročnej dobe (z pohľadu kybernetickej bezpečnosti) je fakt, že obyčajná ochrana v podobe konvenčného antivírusu nestačí. Rýchla reakcia na pokročilé útoky je často založená na korelácii rôznych typoch informácií, ktoré dokážu poskytnúť len pokročilé nástroje ako je XDR platforma. Spolu sa pozrieme na par prípadov, kde práve takéto riešenia hrajú prím pri odhaľovaní menej nápadných hrozieb, ktoré často zostanú antivírusom opomenuté.
14:00 - 14:20 Technologické nástroje účinnej kybernetickej obrany - nástroj FortiNDR
Juraj Belko, System Engineer, FORTINET
Implementácia riešenia pre detekciu a odpoveď na sieťové hrozby (NDR) poskytuje organizáciám rozpoznávanie hrozieb v reálnom čase a pokročilú prehľadnosť do sieťových aktivít, čo znižuje potenciálne riziká preniknutia a vnútorné hrozby. S automatizovanou reakciou na incidenty, detekciou anomálií a integráciou informácií o hrozbách zabezpečuje NDR proaktívnu kybernetickú bezpečnosť, skracuje dobu trvania hrozieb a zabezpečuje súlad s predpismi, čím pomáha chrániť kontinuitu podnikania a digitálne aktíva.
14:20 - 15:20 Panelová diskusia: Umelá inteligencia a kybernetická bezpečnosť: príležitosť, alebo riziko?
Panelisti:
Peter Pištek, Kempelenov inštitút inteligentných technológií
Marek Zeman, Tatra banka/Asociácia kybernetickej bezpečnosti
Miroslav Chlipala, BCH Advokáti Chlipala
Pavol Dovičovič
Ivan Makatura
15:20- 15:30 Ukončenie konferencie
Zhrnutie
Partneri virtuálnej konferencie
Kontakt