Konferenci Security ohledně IT bezpečnosti pořádanou firmou AEC by si neměl nechat ujít IT specialista, ale ani byznysman.
Společnost AEC, poskytovatel služeb pro bezpečnost dat, softwaru pro ochranu IT a detekci počítačových útoků, je na dané téma odborníkem. Pořádá ji každoročně, a i letos, hned 1. března 2018 byla výborně obsazena řečníky z praxe a měla tradičně vysokou účast posluchačů. Zklamán nemohl být snad nikdo, protože jak v technickém sále, tak v manažerském, byly probírány problematiky, které dnes hýbou společností, jako například GDPR.
GDPR – 85 dní do spuštění
V manažerském sálu patřil první blok GDPR a úvodní přednášku měla Miroslava Matoušová z Úřadu pro ochranu osobních údajů. Hned v úvodu prohlásila, že nastíní, aby vynaložené prostředky nebyly vyhozené oknem. Samotná EU totiž dává jistou míru volnosti jednotlivým členským státům, protože každý z nich má jiné vnitrostátní předpisy. Odlišnosti se budou týkat zejména procesních věcí. Některé povinnosti správců a zpracovatelů byly rozšířeny a prohloubeny a explicitně byla zavedena záměrná a standardní ochrana. Jde o přístup založená na riziku, který nelze zajistit jen pomocí IT. Zásadou je také minimalizovat zpracování osobních údajů – co nedělám, nemusím chránit. Pokud jsou osobní údaje bez dodatečných údajů, nemohou být přiřazeny subjektu.
GDPR a Zákoník práce §316
Jan Tomíšek z právnické kanceláře Rowan Legal navázal na přednášku Miroslavy Matoušové a její vystoupení v některých směrech konkretizoval, zejména jak chránit zaměstnance, ale i zaměstnavatele. Zaměstnanec je totiž jednak subjektem údajů, jednak zdrojem rizik. Zároveň vyvrátil mýtus, že ke všemu je zapotřebí souhlas zaměstnance. Například pro výplatu jeho mzdy je jasné, že zaměstnavatel zpracovává jeho číslo účtu. Dále existuje tzv. oprávněný zájem – provozní potřeby nebo monitoring. Ochrana osobních údajů musí mít podle Tomíška koncepci a cílem musí být rovnováha. Ani jedna strana si nemůže dělat co chce. Novou povinností je mít v organizaci zodpovědnou osobu za hlášení, zpracovatel má odpovědnost za hlášení incidentů správci bez zbytečného odkladu a správce má vždy odpovědnost hlásit incident do 72 hodin.
Dezinformační válka
Ivan Bartoš, předseda Pirátské strany, se věnoval dezinformacím v demokratické společnosti, která nemá na tento způsob ovlivňování veřejného mínění či voleb přesvědčivou odpověď. Odpovědnost je na každém jedinci, a to v ověřování informací, které se k němu dostávají různými kanály (sdělovací prostředky, e-mail, řetězové e-maily, Facebook…). Stačí si dát do vyhledávače dvě související věci a porovnat výsledek. Stát tuto odpovědnost za jednotlivce převzít nemůže. Informace, které nejsou příliš validní (hoax), mívají největší čtenost. Uvedl také svoje dva oblíbené zdroje ponaučení. První je G. Orwell „1984“ – dvě minuty nenávisti, týkající se komunikačních a argumentačních faulů, falešných či chybějících referencí a atraktivity informací. Druhým je James Q. Wilson a George L. Kelling – Broken window theory; když je ve vaší ulici rozbité okno, které nespravíte, pravděpodobně se rozbije i další, a pak bude o strach v ní zaparkovat auto.
Technická část
Technická část konference Security 2018 naopak zabíhala až do hloubky IT, například při živé ukázce hackingu od specialistů AEC.
Prvním bylo nakažení malwarem (škodlivým softwarem). Existují různé mechanismy, jak zabránit šíření malwaru za předpokladu, že máme visibilitu, tj. možnost zjištění, že malware v síti je.
Druhou ukázkou byl průnik přes web – web defacement, kdy hacker umístí na web jiný obsah.
Třetí ukázkou byla kompromitace domény, kdy se hacker převzal přes lokální stanici se standardními právy uživatele napřed na základě dávkového souboru .bat (batch), který spouští cyklické úlohy, zjistil, že jej lze přepsat a tím se dostal do celé sítě, získal tím hash (hashdump) a pak už ani nemusel znát hesla. Tím se dostal do celé sítě, kterou převzal, game over…
Security 2018 – zranitelnosti IT systémů
Konference Security 2018 dala opět konkrétní pohled na aktuální problémy bezpečnosti, od manažerských, přes společenské až po technické, včetně internetu věcí a zařízení SCADA (Supervisory Control and Data Acquisition), která se týkají výrobních linek i „chytrých“ budov řízených na dálku (topení, osvětlení, žaluzie…). Dnes se už ale i kvůli softwarově řízeným komunikačním pojítkům týká zranitelnost i sítí GSM, do nichž se dá právě tomuto za pomoci více či méně složitých nástrojů dostat a převzít zrovna ten váš telefon a získat z něj vaše osobní data, seznámil Tomáš Rosa z Reiffeisen bank a dodal: „Proto také autentizace přes SMS brzy z bankovnictví zmizí. Banky totiž musejí mít cokoliv co je k autentizaci pod vlastní kontrolou, a SIM karty to rozhodně nejsou.“
Nezávislé přednášky byly doplněny firemními prezentacemi partnerských dodavatelů, které nabídly konkrétní řešení a produkty, a také případovými studiemi zákazníků – ČEZ, Tatra banka, MOL s RSA, Haider Pasha a Symantec, Slovenská sporiteľňa.
Hackerská soutěž o ceny
Konference AEC Security byla doplněna hackerskou soutěží o ceny, kterou sponzorovala společnost CheckPoint.