Konferencja Security Management Audit Forum – SEMAFOR, organizowana przez ISACA oraz ISSA, na stałe wpisała się w krajobraz polskich konferencji. W dniach 15-16 marca 2018 roku miało miejsce 11 już spotkanie specjalistów oraz miłośników bezpieczeństwa informacji.
Naturalnym było, iż ze względu na zbliżający się szybko dzień 25 maja, który przyprawia o dreszcze świat bezpieczeństwa IT, konferencja będzie zdominowana przez temat RODO. Na szczęście w programie postarano się równomiernie rozłożyć akcenty tematyczne i pokazać bieżące problemy bezpieczeństwa.
Pojawił się blok poświęcony zastosowaniu sztucznej inteligencji (ML/AI) w cyberbezpieczeństwie (wystąpienia: Machine Learning in Cyber Security – beyond buzzword, The True Value of Security Automation From Rule-Based to Artificial Intelligence). Sztuczną inteligencję próbuje się wykorzystać wszędzie tam, gdzie człowiek nie jest w stanie przetworzyć informacji. Najczęściej jest to analiza i korelacja zdarzeń z olbrzymiej liczby danych z bardzo zróżnicowanych źródeł. W istocie jest to problem, z którym mierzy się środowisko architektów bezpieczeństwa. Czasem, słuchając o sztucznej inteligencji w kontekście włączania jej do rozwiązań bezpieczeństwa IT, odnosi się wrażenie, że temat ten staje się nośnym hasłem, na którym producenci próbują wybić się na rynku produktów. W rzeczywistości są to jedynie zaawansowane algorytmy wspomagania decyzji. Tematyka ML/AI będzie w czołówce problemów w najbliższym czasie, ale trzeba zachować czujność, by nie dać się zwieść pozornym innowacjom.
Na konferencji pojawiła się także kwestia bezpieczeństwa rozwiązań chmurowych. W sposób syntetyczny przedstawiono potencjalne pułapki, jakie czyhają na nieuważnych użytkowników chmury Amazon. Kolejny raz okazało się, że bezpieczeństwo w dużej mierze zależy od świadomości użytkowników tych rozwiązań, umiejętności stosowania technologii i zrozumienia konsekwencji swoich działań. Paweł Rzepa w swojej prezentacji Pułapki w usługach chmurowych na przykładzie AWS przedstawił, w jaki sposób całą zawartość swoich zasobów chmurowych można „przez przypadek” udostępnić całemu światu. Pokazał ponadto, jak cyberprzestępcy mogą zdobyć dostęp do naszej chmurowej infrastruktury i czy błąd leży po stronie dostarczanych usług, czy może winy należy doszukiwać się w braku wiedzy i doświadczenia administratorów.
fot. Kropek
Nie zabrakło treści dotyczących technicznych aspektów bezpieczeństwa. W tym zakresie na szczególną uwagę zasługuje wskazanie słabości protokołu SS7 (problem ten był już podnoszony na Z3S: Podsłuchiwanie telefonów komórkowych możliwe dzięki funkcjom protokołu SS7). Słabości SS7 znane są wielu specjalistom bezpieczeństwa, jednak mało kto zna ten protokół od podszewki. Prezentacja Roberta Bieniasa Zagrożenia w sieciach mobilnych – fakty i mity odzwierciedlała jego niebezpieczeństwa oraz opisywała sposoby obrony przed atakami wykorzystującymi sieci mobilne. Przede wszystkim jednakże autor podkreślił ważną rolę operatora (dostawcy) usługi w zapewnieniu bezpieczeństwa użytkownikowi.
Interesujące były tematy z pogranicza bezpieczeństwa i psychologii. Warto było posłuchać wykładu Beaty Legowicz Najważniejsze trendy i zjawiska w rozwoju cyberzagrożeń, w którym pokazała modus operandi działania cyberprzestępców (jakich technik używają, kto pada ich ofiarą, jak modyfikują swoje zachowanie). Optymistycznym przekazem była informacja, iż mimo wielości tych przestępstw, podejrzani coraz częściej są chwytani przez organy ścigania. Wykład ten zbiegł się z informacją o zatrzymaniu Thomasa (publikacja na Z3S: Thomas, najbardziej uciążliwy polski cyberprzestępca, zatrzymany przez policję). Wykład koncentrował się na charakterystyce profili przestępców i opisywał socjotechniczną stronę ataków. Dobrą kontynuacją tematu było wystąpienie Pawła Olszara pt. Socjotechniki, czyli złośliwe oprogramowania to nie wszystko, dzięki któremu można było poznać całe spektrum metod cyberprzestępców. Autor przybliżył scenariusze ataków wykorzystujących phishing, vishing, smishing, pharming oraz opowiedział, czym te ataki się różnią od siebie i od czego zależy ich skuteczność. Mocną stroną prezentacji było połączenie wiedzy teoretycznej z zakresu cyberataków z rzeczywistymi przypadkami.
fot. Kropek
Jak przystało na spotkanie środowiska audytorów nie zabrakło tematyki RODO:
- Ochrona danych z punktu widzenia procesora.
- Zintegrowany system zarządzania bezpieczeństwem informacji i ciągłością działania – które elementy wykorzystać do wdrożenia RODO?
- Nowe wyzwania dla audytu wewnętrznego sektora publicznego w aspekcie sprawnego przygotowania jednostki do stosowania zasad RODO po dniu 25 maja 2018 r.
- Metodyka szacowania ryzyka przydatne w implementacji RODO.
Z miękkich tematów, jakie się pojawiły na konferencji, warto wspomnieć o prezentacji Ireneusza Tarnowskiego Czy jesteśmy bezpieczni, jak zobaczyć nasze cyberbezpieczeństwo, kilka słów o cyberdashboardzie, w której pokazany został problem komunikacji pomiędzy specjalistami bezpieczeństwa a szczeblem zarządzającym w firmach. Język, którym posługują się specjaliści jest zupełnie niezrozumiały dla przeciętnego człowieka. By uzyskać wsparcie zarządzających, trzeba umieć policzyć i przedstawić poziom bezpieczeństwa w sposób prosty i zrozumiały. Zaprezentowano, jak wykorzystać analizę ryzyka do mierzenia bezpieczeństwa i jak w oparciu o ryzyko pokazywać obszary wymagające poprawy w organizacji.
fot. Kropek
Miłośnicy rozwiązań mobilnych również nie powinni czuć się zawiedzeni. Prezentacja Kamila Kaczyńskiego Bezpieczeństwo komunikatorów mobilnych wyzwaniem dzisiejszego świata technologicznego pokazała siłę i słabości użytkowanych komunikatorów, natomiast Kamil Pakalski w prezentacji Jak nie stracić 20 milionów – właściwe zabezpieczenie urządzeń mobilnych pracowników terenowych pokazał, jak zarządzać flotą urządzeń mobilnych. Wskazał zasady, jakie należy stosować, by zapewnić bezpieczeństwo danych i zachować zgodność z wymaganiami prawnymi.
Na tegorocznym SEMAFOR-ze nie obyło się bez analiz robionych przez Z3S. Wykład Dezinformacja i manipulacja w dobie internetu – analiza przypadków pokazał przede wszystkim, jak poprzez media społecznościowe wpływa się na ludzi w skali globalnej. Można było zobaczyć, jak budowane są sieci botnetów oraz w jaki sposób są one wykorzystywane przez partie polityczne.
Jak podali organizatorzy, tegoroczny SEMAFOR zgromadził 550 uczestników, co powoduje, że jest to jedna z największych konferencji dotycząca bezpieczeństwa informacji. Kolejny SEMAFOR już za rok.
Komentarz
Czy ktoś z szanownych czytelników wie czy dostępne są w kanałach otwartych materiały z przedmiotowej konferencji ?