10. ročník mezinárodní konference

I NFORMATION S ECURITY S UMMIT I NFORMATION S ECURITY S UMMIT

TATE International, s.r.o., vydavatel časopisu DSM – data security management

In co-operation with / Ve spolupráci

May 27 – 28, 2009 | 27. – 28. května 2009

Address / Adresa

I NFORMATION S ECURITY S UMMIT



Gold Partners / Zlatí partneři


2 0 0 9 P R A G U E P R A H A

Main conference organizers / Hlavní pořadatel konference

DSM – data security management TATE International, s.r.o. Hořejší nábřeží 21 150 00 Praha 5 tel.: +420 257 920 319-20 fax: +420 257 313 695 e-mail: [email protected]

http://www.dsm.tate.cz Silver Partner / Stříbrný partner

Convent of St. Agnes of Bohemia in Prague | Klášter sv. Anežky České v Praze Prague, Czech Republic | Praha, Česká republika

INFORMATION SECURITY SUMMIT

10th International Conference / 10. ročník mezinárodní konference

10 SECURE YEARS WITH IS2 – QUO VADIS SECURITAS? 10 BEZPEČNÝCH LET S IS2 – QUO VADIS SECURITAS?

Special Partners / Speciální partneři

Under the Auspices of / Pod záštitou

the Prime Minister of the Czech Republic Ing. Mirek Topolánek předsedy vlády České republiky Ing. Mirka Topolánka a Deputy Minister of the Interior of the Czech Republic Mgr. Zdeněk Zajíček náměstka ministra vnitra Mgr. Zdeňka Zajíčka a Deputy Director of the National Security Authority Ing. Jaroslav Šmíd náměstka ředitele Národního bezpečnostního úřadu Ing. Jaroslava Šmída

Platinum Partners / Platinoví partneři

As in previous years, there will be not only a rich professional programme but also a pleasant environment for informal discussions with both the presenters and other participants. We certainly are not leaving out the traditional evening party and by moving to a new venue the event will also give you the opportunity to see another pearl of the Prague architecture. We are looking forward to meeting you. Yours

Zdeněk Říha

On behalf of the IS2 Programme Committee

Petr Sýkora

On behalf of the IS2 Organizing Committee

P ROGRAMME C OMMITTEE Zdeněk Říha, Masaryk University Brno (Chairman) Karin Gubalová, NextiraOne Czech and DSM Rudolf Haňka, University of Cambridge Vojtěch J. Jákl, Charles University Prague and DSM Zdeněk Kaplan, Česká pojišťovna and DSM Václav (Vashek) Matyáš, Masaryk University Brno and DSM Eva Racková, KPMG and DSM Eugene Schultz, High Tower Software

Klášter klarisek, nazývaný České Assisi, založil kolem roku 1231 král Václav I. z podnětu své sestry Anežky Přemyslovny. Anežka uvedla do Čech řád klarisek (ženskou odnož františkánů) a v r. 1335 se stala abatyší nově budovaného kláštera. Jedná se o první gotickou stavbu v Praze. Jeho nejstarší budovy byly postaveny ve stylu cisterckoburgundské gotiky, ale svatyně Salvátora, zamýšlená jako přemyslovské mauzoleum, odráží již vlivy klasické fáze vrcholné gotiky. K další přestavbě klášterního komplexu došlo v osmdesátých letech 14. století. V době husitské revoluce (1420) byl klášter opuštěn a teprve v r. 1556 se zde usadili dominikáni, kteří tu působili až do r. 1626 a provedli zde částené úpravy v renesančním slohu. Klarisky se sem vrátily r. 1627. K pozdější skromné přestavbě dochází až po požáru roku 1689. Klášter byl v r. 1782 zrušen Josefem II., zpustl a změnil se ve skladiště a obydlí chudiny. Před demolicí v rámci „asanace Starého Města“ byl klášter roku 1893 zachráněn úsilím Jednoty pro obnovu kláštera blahoslavené Anežky. Do r. 1980 byl rekonstruován a adaptován bývalý konvent klarisek a umístěna zde expozice českého malířství 19. stol. ze sbírek Národní galerie. V 2. etapě obnovy byly do r. 1986 rekonstruovány kostely sv. Františka a sv. Salvátora, kaple sv. Barbory a sv. Maří Magdalény. V kostele sv. Salvátora a v kvadratuře minoritů jsou umístěny nálezy a fragmenty získané v průběhu rekonstrukce i hroby přemyslovských panovníků. Soubor Anežského kláštera je dokladem raně gotické architektonické tvorby evropského významu. Vzhledem ke svým uměleckým hodnotám a kulturní i státně dynastické jedinečnosti byl Anežský klášter prohlášen za národní kulturní památku.


Renowned experts in various areas of information security and information systems risk management have accepted our invitation and will be attending this conference. You will be able to meet, amongst other participants, also the following; the inventor of the proxy firewall Marcus Ranum, a leading lawyer specialising on IT Martin Maisner, an expert on information privacy Pete Bramhall and the renowned expert on economic aspects of information security Ross Anderson. The IS2 will also welcome Mike Just with experience from the Canadian government and Entrust and Lukáš Mikeska, who will compare results of surveys on information security in the Czech and Slovak Republics. During the panel discussion you will be able to discuss issues arising from the opening of perimeters when information is shared in open networks.


This annual conference is one of the top events of its year’s activities in information security and information systems risk management for DSM magazine. The aim of the organisers has been to try to give professionals from this field the opportunity to meet top experts from all over the world and thus facilitate exchange of information at a top international level. The composition of both the programme committee and the presenters reflect this aim.

The Convent of the Poor Clares, known as the Czech Assisi, was founded around 1231 by King Wenceslas I at the behest of his sister, Agnes Premysl. Agnes brought the order of the Poor Clares (the branch of the Franciscan Order for women) to Bohemia and became the abbess of the newly built convent in 1235. The oldest building in the complex was built in the Cistercian-Burgundy Gothic style, with the Church of St. Salvatore, which was intended as the mausoleum for the Premysl dynasty, showing early influences of the classic High Gothic style. There was a further reconstruction of the convent complex in the 1380’s. The convent was abandoned during the Hussite wars (1420) and was only occupied again in 1556, this time by the Dominicans, who remained here until 1626 having carried out partial alterations in the renaissance style. The Poor Clares returned in 1627. Later, more modest alterations were carried out after a fire in 1689. The convent was abolished in 1782 by emperor Josef II and, having fallen into disrepair, was used as a warehouse and accommodation for the poor. It was saved from demolition as part of the urban renewal programme for the Old Town in 1893 by the efforts of the Association for the Reconstruction of the Blessed Agnes Convent. Over the period up until 1980 the former Covent of the Poor Clares was reconstructed and adapted and became the home of the National Gallery’s 19th century Czech painting collection. The second stage of the reconstruction took place up until 1986 with work done on the St. Francis and St Salvatore Churches and the Chapels of St. Barbara and St. Mary Magdalene. The St. Salvatore Church and the Minor Quad house an exhibition of archaeological finds discovered during the reconstruction work and some gravestones of the Premysl rulers. The Agnes Convent complex is a fine example of early Gothic architecture and has been declared a National Heritage Monument in view of its artistic importance and its unique cultural and national significance.


We would like to offer you an opportunity to meet top experts in information security and information systems risk management from both the Czech Republic and from abroad at the Information Security Summit (IS2) conference. This anniversary tenth annual conference subtitled “10 secure years with IS2 – quo vadis securitas?” will be held at the spectacular venue of the St. Agnes Convent in the centre of Prague on the 27th – 28th May, 2009.


D EAR M ADAM, D EAR S IR,


2 0 0 9 P R A G U E P R A H A

2 0 0 9 p r a g u e p r a h a

V ÁŽENÁ PANÍ, V ÁŽENÝ PANE, jak se již stalo tradicí i letos si dovolujeme Vám nabídnout příležitost k setkání se špičkovými odborníky na informační bezpečnost a řízení rizik informačních systémů z domova i ze zahraničí na konferenci Information Security Summit (IS2). Jubilejní desátý ročník konference nese podtitul „10 bezpečných let s IS2 – quo vadis securitas?“. Konat se bude v historických prostorách kláštera sv. Anežky České v centru Prahy ve dnech 27. – 28. května 2009. Pro časopis DSM je tato pravidelná květnová konference jedním z vrcholů celoroční práce v oblasti informační bezpečnosti a řízení rizik informačních systémů. Snahou organizátorů je umožnit odborné veřejnosti mezinárodní výměnu zkušeností v těchto oblastech. Tomu odpovídá složení programového výboru i přednášejících. I v letošním roce přijali naše pozvání světoví odborníci v různých oblastech informační bezpečnosti a řízení rizik informačních systémů. Budete tak mít možnost setkat se s vynálezcem proxy firewallu Marcusem Ranumem, předním právníkem specializujícím se na IT Martinem Maisnerem, odborníkem na informační soukromí Petem Bramhallem a světovou kapacitou na ekonomické aspekty informační bezpečnosti Rossem Andersonem. Na IS2 zavítá i Mike Just, se zkušenostmi z kanadské státní správy i společnosti Entrust a Lukáš Mikeska, který porovná výsledky z průzkumů informační bezpečnosti v ČR a SR. V rámci panelové diskuse pak budete mít možnost diskutovat o problémech souvisejících s otevíráním perimetrů z důvodu sdílení informací v otevřených sítích. Stejně jako v minulých letech se i letos pro Vás budeme snažit vytvořit nejen bohatý odborný program, ale také příjemné prostředí k neformálním diskusím s přednášejícími nebo dalšími účastníky konference. Chybět nebude ani tradiční večerní setkání. I letos bychom Vám rádi ukázali zajímavý pražský architektonický objekt. Na setkání s Vámi se těší

Zdeněk Říha

za programový výbor IS2

Petr Sýkora

za organizační výbor IS2

P ROGRAMOVÝ VÝBOR Zdeněk Říha, MU Brno (předseda) Karin Gubalová, NextiraOne Czech a DSM Rudolf Haňka, University of Cambridge Vojtěch J. Jákl, MFF UK a DSM Zdeněk Kaplan, Česká pojišťovna a DSM Václav (Vashek) Matyáš, MU Brno a DSM Eva Racková, KPMG a DSM Eugene Schultz, High Tower Software INFORMATION SECURITY SUMMIT

3

Programme Wednesday, May 27th 2009

8:00 – 9:00

Registration, coffee

9:00 – 9:30

Opening Ceremony

Security Events that Changed the World – The Inside Story of How PCI Happened

9:30 – 10:15

10:15 – 11:00

Marcus J. Ranum … how did the world get the PCI standards?

10 years of Information Security Surveys in the Czech Republic (and a bit less in Slovakia) Lukáš Mikeska

… trends in the status of the information security in the Czech and Slovak Republics.

11:00 – 11:30

Coffee break and exhibition visits

1:30 – 12:15 1 12:15 – 13:00

From the Conception of the e-passport to the e-gate

13:00 – 14:15

Lunch

Libor Pokorný, Luděk Rašek … background of the development of electronic passports of the second generation.

Liability and Privacy Protection in Open Systems Martin Maisner … anonymity vs. responsibility for the published content.

14:15 – 15:00 Privacy has been Lost; Can Privacy Enhancing

Technologies (PETs) Regain It? Pete Bramhall

15:00 – 15:45

Ways of Outsourcing Network Security in a Banking Environment

15:45 – 16:15


6:15 – 16:45 1 16:45 – 18:00

Security vs. Sharing

… can PET save our privacy?

Roman Pavlík, Josef Pojsl … how to secure a bank’s computer network.

Peter Hora … how to keep track of all new trends?

Panel Discussion – Sharing the Secrets … opening corporate perimeters brings ever greater challenges.

moderator: Zdeněk Kaplan

19:00 – 22:00 Reception Buffet

4


2 0 0 9 p r a g u e p r a h a

Program Středa 27. května 2009

8:00 – 9:00

Registrace, káva

9:00 – 9:30

Slavnostní zahájení

Bezpečnostní události, které změnily svět – zasvěcená historka, jak svět přišel k PCI

9:30 – 10:15

10:15 – 11:00

Marcus J. Ranum … jak to opravdu bylo s PCI?

10 let průzkumů informační bezpečnosti v Čechách (a trochu méně na Slovensku) Lukáš Mikeska

… trendy ve stavu informační bezpečnosti v ČR a SR.

11:00 – 11:30

Káva a výstavka

1:30 – 12:15 1 12:15 – 13:00

Od zrodu e-pasu po e-gate

13:00 – 14:15

Oběd

Libor Pokorný, Luděk Rašek … ze zákulisí vývoje elektronických pasů druhé generace.

Zodpovědnost a ochrana soukromí v otevřených systémech Martin Maisner … anonymita vs. odpovědnost za publikovaný obsah.

14:15 – 15:00 Soukromí bylo ztraceno, mohou ho technologie zvyšující

soukromí (PET) získat zpět?

15:00 – 15:45

Pete Bramhall … zachrání PET naše soukromí?

Jak outsourcovat bezpečnost sítě v prostředí banky? Roman Pavlík, Josef Pojsl … jak zabezpečit počítačovou síť banky.

15:45 – 16:15

Káva a výstavka

6:15 – 16:45 1 16:45 – 18:00

Bezpečnost vs. sdílení

moderátor: Zdeněk Kaplan

Peter Hora … jak se vyrovnat s novými trendy?

Panelová diskuse – Sdílení tajemství … přístup z firemních sítí do otevřeného prostředí přináší stále větší výzvy.

19:00 – 22:00 Recepce v zahradě kláštera


5

Programme Thursday, May 28th 2009

8:00 – 9:00

Registration, coffee

9:00 – 9:20

Opening Address

9:20 – 10:05 10:05 – 10:50

Information Security Economics – and Beyond

10:50 – 11:20


Ross Anderson … world-class authority in the area of ICT security in banks and of economic aspects of information security.

How much is Privacy Worth? Marek Kumpošt, Vašek Matyáš … how much do we value our privacy?

Electronic ID Cards – The Current Status and Expected Developments in the Czech Republic

11:20 – 12:05

12:05 – 12:50 12:50 – 14:15

Ivo Rosol … the future of ID cards is electronic.

Account Recovery – Authentication‘s Dirty Secret? Mike Just … how to secure account recovery?

Lunch

Technical Means Supporting Demonstrable Responsibility of Users of Informational Systems in an Organization

14:15 – 15:00

15:00 – 15:45 15:45 – 16:15

6


Martin Hanzal … background of the development of electronic passports of the second generation.

Security Incidents that Changed the World David Porter … can we ever learn?

Lottery Draw, Closing Ceremony

2 0 0 9 p r a g u e p r a h a

Program Čtvrtek 28. května 2009

8:00 – 9:00

Registrace, káva

9:00 – 9:20

Zahájení druhého dne

9:20 – 10:05 10:05 – 10:50

Ekonomické a další aspekty informační bezpečnosti

10:50 – 11:20

Káva a výstavka

Ross Anderson … světová kapacita v oblasti bezpečnosti bankovních ICT a ekonomických aspektů bezpečnosti.

Jaká je hodnota soukromí? Marek Kumpošt, Vašek Matyáš … jak si ceníme vlastního soukromí?

Elektronické občanské průkazy – současný stav a očekávaný vývoj v ČR

11:20 – 12:05

12:05 – 12:50 12:50 – 14:15

Ivo Rosol … budoucnost občanských průkazů je elektronická.

Obnova účtů – špinavé tajemství autentizace? Mike Just … jak tedy udělat obnovu účtů bezpečně?

Oběd

Technické prostředky podporující prokazatelnou odpovědnost uživatelů informačního systému organizace

14:15 – 15:00

15:00 – 15:45 15:45 – 16:15

Martin Hanzal … ze zákulisí vývoje elektronických pasů druhé generace.

Bezpečnostní incidenty, které změnily svět David Porter … jsme nepoučitelní?

Vylosování soutěže – tombola, slavnostní zakončení


7

Marcus J. Ranum

Marcus J. Ranum, Chief Security Officer of Tenable Security, Inc., is a world-renowned expert on security system design and implementation. Since the late 1980‘s he has designed a number of groundbreaking security products including the DEC SEAL, the TIS firewall toolkit, the Gauntlet firewall, and NFR‘s Network Flight Recorder intrusion detection system. He has been involved at every level of operations of the security product business, from developer to founder and CEO of NFR. Marcus has served as a consultant to many FORTUNE 500 firms and national governments, as well as serving as a guest lecturer and instructor at numerous high-tech conferences. In 2001 he was awarded the TISC „Clue“ award for service to the security community and he also holds the ISSA lifetime achievement award. In 2005 he was awarded Security Professional of the Year by Techno Security Conference.

Security Events that Changed the World – The Inside Story of How PCI Happened PCI is one of the most important things ever to hit infosecurity, yet strangely, very few people know how it actually came about; all they know is „it came from the credit card companies“. But there‘s a lot more to the history of PCI than that. And there‘s a huge amount of money involved. In this presentation we will look at how the most important standard to hit security evolved, and where it is going.

Libor Pokorný

As the Head of the Implementation, Development and Controls at the Ministry of the Interior’s eGovernment Project Implementation Department, Libor Pokorný is responsible for certification systems applications, particularly for eGovernment. He is responsible for security systems implementation and operation of the National Certification Authority for electronic identity documents. Libor Pokorny graduated from the Faculty of Electronic Engineering at the Czech Technical University in Prague (ČVUT) in Technical Cybernetics.

Luděk Rašek

After studying at the Czech Technical University in Prague, Luděk worked as an information systems and information security specialist with strong experience in the applied cryptography field. In the past few years he has worked for Mol delivering the electronic machine readable travel document issuing system as the security system architect. He has regularly attended meetings of the Brussels Interoperability Group as the representative of the Czech Republic, where he also leads the preparations of a new EAC PKI communication protocol as an editor of the technical specification.

From the Conception of the e-passport to the e-gate In our paper we will briefly summarize the history of technical specifications for e-passports as they exist in ISO-ICAO and in the EU. We will focus on the introduction of fingerprints into the e-passport issued by EU member states. The EU commission established the Brussels Interoperability Group (BIG) to harmonize and clarify existing technical specifications (ICAO e-MRTD). BIG is also creating new specification for areas not covered by the existing standards and related to the introduction of fingerprints as a second biometric feature in the EU e-passports. We will focus on certain topics discussed during the BIG meetings. We will talk in detail about errors discovered in ISO standards adopted by ICAO for e-MRTD. We will then cover the creation of the common European certification policy for EAC certification authorities. The last technical topic we will talk about is e-passport inspection (reading), where preparations of the specification for inspection systems testing (the system used to read e-passport at the border) and communication protocols for EAC CA entities will be described. The final part of the presentation will discuss an e-gate solution which is being prepared in the Czech Republic. The basic features of the automated e-border control system (e-gate) will be presented by a representative from Mol. The system will employ e-passports and related biometric matching technology to fully automate inspection procedures.

8


2 0 0 9 p r a g u e p r a h a

Marcus J. Ranum

Marcus J. Ranum (CSO v Tenable Security, Inc.) je celosvětově uznávaný expert v oblasti návrhu a implementace bezpečnostních systémů. Od konce 80. let 20. století navrhl celou řadu průkopnických bezpečnostních produktů včetně DEC SEAL, TIS firewall toolkit, Gauntlet firewall, a systému detekce průniku NFR – Network Flight Recorder. Získal zkušenosti z každé úrovně práce s bezpečnostními produkty, od vývojáře až k zakladateli a CEO firmy NFR. Marcus pracoval jako konzultant pro mnoho firem z FORTUNE 500 a vládního sektoru, jako hostující vysokoškolský učitel přednáší na řadě konferencí věnovaných moderním technologiím. V roce 2001 získal ocenění TISC „Clue“ za služby pro bezpečnostní komunitu a od Asociace International Systems Security (ISSA) získal ocenění za celoživotní přínos v oblasti informační bezpečnosti. V roce 2005 získal na konferenci „Techno Security“ titul Bezpečnostní profesionál roku.

Bezpečnostní události, které změnily svět – zasvěcená historka, jak svět přišel k PCI Standardy PCI (Payment Card Industry) jsou jednou z nejdůležitějších věcí, které kdy zasáhly informační bezpečnost. Přesto jen málo lidí ví, jak vlastně tyto standardy přišly na svět. Ví se pouze to, že „přišly od společností kreditních karet“. Historie standardů PCI je však složitější a celé se to točí kolem velkého množství peněz. Tento příspěvek ukáže, jak se nejdůležitější standard v oblasti bezpečnosti dostal na svět.

Libor Pokorný

Libor Pokorný jako vedoucí oddělení realizace rozvoje a kontroly na odboru realizace projektů eGovernment Ministerstva vnitra odpovídá za aplikaci systémů certifikace, zejména v oblasti eGovernment. Je odpovědný za implementace systémů bezpečnosti a za provoz Národní certifikační autority v elektronických identifikačních dokladech. Libor Pokorný vystudoval Elektrotechnickou fakultu ČVUT Praha, obor technická kybernetika.

Luděk Rašek

Vystudoval ČVUT fakultu elektrotechnickou. Po celou svou profesní dráhu se věnuje problematice bezpečnosti informací a informačních systémů a aplikované kryptografii. V posledních letech pracoval na projektu vydávání cestovních dokladů s biometrickými prvky jako architekt bezpečnosti. Jako zástupce České republiky se pravidelně účastní jednání Brussels Interoperability Group, kde rovněž působí jako editor připravované specifikace pro komunikaci v rámci EAC PKI.

Od zrodu e-pasu po e-gate V příspěvku provedeme stručnou sumarizaci vývoje technických specifikací e-pasu jak v rámci ISO/ICAO tak v EU. Zaměříme se zejména na problematiku zavádění otisku prstů, které v současné době realizují země EU. Pro dosažení optimální interoperability mezi jednotlivými členskými státy EU byla komisí EU zřízena specializovaná odborná skupina – Brussels Interoperability Group (BIG), která se zaměřuje na harmonizaci a vyjasňování výkladu jednotlivých existujících technických specifikací (ICAO e-MRTD). Současně jsou v této skupině připravovány další standardy související se zaváděním otisku prstů do e-pasů členských států EU. V příspěvku se zaměříme na konkrétní problémy, které byly v BIG projednávány. Detailně pojednáme o řešení chyb identifikovaných v ISO standardech adoptovaných pro e-pasy v ICAO. Dále se budeme zabývat problematikou přípravy společné certifikační politiky EU. Dotkneme se rovněž problematiky vzniku standardu pro testování inspekčních systémů (systémy sloužící pro čtení e-pasu) a s problematikou čtení související přípravu protokolu pro mezistátní komunikaci mezi jednotlivými entitami EAC PKI. Na závěr zástupci MV seznámí posluchače s postupem projektu, který řeší čtení e-pasů na hraničních kontrolách v ČR. Bude prezentováno připravované řešení automatizované hraniční kontroly na bázi e-pasu a využití biometrických technologií – tzv. e-gate.


9

Lukáš Mikeska

Lukáš Mikeska is a senior manager at Ernst & Young in Prague. He joined the company after graduating from the University of Economics, Prague. After gaining experience in financial auditing he started to focus on information security, IT Governance and ERP system integrity. He has also participated in preparing the latest four Information Security Surveys. He is a member of the ISACA, Czech Republic Chapter Board and regularly presents at conferences and forums dedicated to up-to-date information security topics.

10 years of Information Security Surveys in the Czech Republic (and a bit less in Slovakia) The Information Security Survey is carried out in the Czech Republic every two years. It maps the situation and trends in approaches to, and solutions for, information security. On the occasion of the 5th survey we will look at the journey information security has covered between 1999 and the present day and discuss whether any general trends can be identified. We will also compare the results of the survey carried out in Slovakia and identify any country specifics or, on the contrary, similarities in approaches to information security in the territory of the former Czechoslovak federation.

Martin Maisner

Martin Maisner is an attorney and partner at the ROWAN LEGAL law firm with offices in Bratislava, Brno, Prague and Riga. He specialises in information and telecommunication technologies law, data protection and outsourcing. He is considered as one of the co-authors of international legal theory for outsourcing for information systems legislation and is regarded as an expert in the field both at home and abroad.

Liability and Privacy Protection in Open systems Privacy and liability in open systems are two opposite phenomena. While privacy and anonymity is a key factor and a necessity, a clear line for the liability for published content and for an appropriate level of privacy (anonymity) is also a very important feature and is the responsibility primarily of the provider (operator). The comparison between reality and the legal framework, with all the black holes and white areas, is very revealing.

Pete Bramhall

Pete Bramhall is a senior research manager in the Systems Security Laboratory in HewlettPackard‘s corporate research laboratories in Bristol, the UK. During 24 years at Hewlett-Packard, Pete has worked as a technical contributor and a manager in a large number of research and development programmes, most of which have been about data protection and security technologies, products and solutions. He has many years‘ experience working on international collaborative research and development projects, and has represented Hewlett-Packard and the UK in a variety of international standardization forums. The main activity of Pete‘s group is research into the application of policy-driven data management technologies to enhance informational privacy for individuals.

Privacy has been Lost; Can Privacy Enhancing Technologies (PETs) Regain It? My talk will provide an overview of informational privacy, who cares about it and what they care about, and will then summarise a variety of technological approaches to meeting their needs. It will then look at two of these more closely, and review a number of research activities that are working on them. Finally, it will offer an opinion on the current abilities of PETs to meet users‘ needs.

10


2 0 0 9 p r a g u e p r a h a

Lukáš Mikeska

Lukáš Mikeska působí jako Senior manažer ve společnosti Ernst & Young v Praze, kam nastoupil po vystudování Vysoké školy ekonomické v Praze. Po získání zkušeností v oblasti finančního auditu se zaměřil na informační bezpečnost, IT Governance a integritu ERP systémů. Spolupracoval také na přípravě posledních čtyř ročníků PSIB. Je členem výboru české pobočky ISACA a pravidelně vystupuje na konferencích a fórech věnovaných aktuálním otázkám řízení informační bezpečnosti.

10 let průzkumů informační bezpečnostI v Čechách (a trochu méně na Slovensku) Již od roku 1999 je v Čechách každé 2 roky pořádán Průzkum stavu informační bezpečnosti, mapující situaci a trendy v přístupu a způsobech řešení informační bezpečnosti. U příležitosti pátého, jubilejního ročníku Průzkumu se podíváme na cestu, kterou informační bezpečnost u nás urazila od roku 1999 a zamyslíme, zda je možné pozorovat některé obecné trendy a tendence. Porovnáme také výsledky sesterského průzkumu konaného na Slovensku a pokusíme se vysledovat případná „specifika“, či podobnosti přístupů společností k řešení informační bezpečnosti na území bývalé federace.

Martin Maisner

JUDr. Martin Maisner je advokátem a partnerem advokátní firmy ROWAN LEGAL s kancelářemi v Bratislavě, Brně, Praze a Rize. Již dvacet let je specialistou na právo informačních a telekomunikačních systémů, ochranu dat a outsourcing. V oblasti legislativy informačních systémů a outsourcingu je jeden ze spolutvůrců právní teorie a v tomto oboru je považován za autoritu i v zahraničí.

Zodpovědnost a ochrana soukromí v otevřených systémech Ochrana soukromí a zodpovědnost jsou v otevřených systémech dva protichůdné fenomény. Zatímco ochrana soukromí a anonymita je klíčový faktor a nutnost, jasná odpovědnost za publikovovaný obsah s adekvátní mírou ochrany osobnosti (anonymity) je také velmi důležitý rys, který je zátěží zejména pro poskytovatele (operátory). Porovnání mezi realitou a legislativním rámcem se všemi černými dírami a bílými místy na mapě je velmi zajímavé.

Pete Bramhall

Pete Bramhall je manažer výzkumu v laboratoři bezpečnosti systémů v bezpečnostních laboratořích firmy HP v Bristolu v Anglii. Během 24 let práce pro HP Pete pracoval jako odborný pracovník a manažer ve velké řadě výzkumných a vývojových programů, většinou zaměřených na ochranu dat a bezpečnostní technologie, produkty a řešení. Má mnohaletou zkušenost s prací v mezinárodních výzkumných a vývojových projektech a reprezentoval firmu Hewlett-Packard a Spojené království v celé škále mezinárodních standardizačních fór. Hlavní aktivitou jeho skupiny je výzkum v oblasti aplikace technologií správy dat pomocí politik pro zvýšení informačního soukromí osob.

Soukromí bylo ztraceno, mohou ho technologie zvyšující soukromí (PET) získat zpět? Příspěvek poskytne přehled z oblasti informačního soukromí. Ukáže, kdo se o informační soukromí stará, o co se vlastně stará a shrne řadu technologických přístupů, které splňují dané požadavky. Na dva přístupy se příspěvek podívá podrobněji a shrne výzkumné aktivity, které s těmito přístupy pracují. Nakonec bude prezentován názor autora na současné schopnosti PET ve světle požadavků uživatelů.


11

Roman Pavlík

Roman Pavlík graduated from Masaryk University, Brno and then worked at the Faculty of Mathematics and Physics of Charles University in Prague. In 1994, he founded the SkyNet company – a domestic distributor of network security solutions and he managed the company until 2001, when he established Trusted Network Solutions where he currently holds the post of the CEO. He either participated in the implementation, or acted as an opponent, of a number of network security projects for clients including the Národna banka Slovenska (Slovak National Bank), Volksbank CZ, EGAP, Telefónica O2, Škoda Auto, Wringley, the NBÚ (the National Security Authority) and BIS (the Security Information Service). In 2000, he was appointed an expert witness in the field of IT systems.

Josef Pojsl

Josef Pojsl graduated from the Faculty of Informatics, Masaryk University Brno (FI MU) and has since been engaged in the field of information systems security. He worked for Český Telecom and SkyNet and currently holds the post of Technical Director at Trusted Network Solutions where he is in charge of the development of the UTM/firewall Kernun security applications. His network security projects portfolio includes a number of clients from both the commercial as well as non-commercial spheres, such as Škoda Auto, Home Credit, Czech Television, the Czech Hydrometeorological Institute, etc. He regularly gives presentations at conferences (IDET, SecurityUpgrade, EurOpen), writes articles for expert periodicals (Connect, DSM), translates and reviews IT literature (Computer Press) and occasionally lectures at the FI MU.

Ways of Outsourcing Network Security in a Banking Environment Our presentation will introduce a case study focusing on the use of outsourcing in providing security applications in a bank information system network. The presentation follows the development of an existing project implemented in one of the renowned Czech banking institutions which is owned by a foreign financial group. The above mentioned Czech bank was established as a merger of several banks which represented, from the IT point of view, a very heterogeneous information system. The new management was looking for a provider of security solutions which would enable the bank’s information system to be connected securely with the external environment. A logical decision in such a situation would be to offer a standard solution from an American company and focus on price negotiations. After all, most other bidding system integrators followed this path. Instead of getting involved such price negotiations, we decided to offer a system-based solution which included a network communication risk analysis, a proposal for a network security policy and the specific implementation of technological applications. At the same time, it was necessary to define operational processes providing security for the whole network and to plan sufficient resources to support them. In order to achieve high efficiency for the network security infrastructure management, our solution included a combination of the bank’s internal resources and outsourcing. This seemingly risky solution is acceptable on condition that it strictly applies the principle of multiple security levels and the PDCA (Plan-Do-Check-Act) model. In addition to the technological aspects of the solution, the presentation also focuses on the human resources necessary for the functioning of operational processes and outlines a system of responsibility division between the provider and internal staff.

Peter Hora

Peter Hora is a founder of SEMANTA s.r.o. – a company specializing in the design, development and deployment of knowledge and other information assets management tools based on social software platform.

Security vs. Sharing Web 2.0 is a buzz word of today. There is no exact definition, but the underlying idea is fairly simple – break down applications into services and stitch them together (the trendy phrase is to “mash up”) in a web browser in an ad hoc manner. The website is then no longer a network of static pages – it is a network of services (storage, presentation, logic) and an infinite number of their combinations. The big question is how to manage security in this sea of activity.

12


2 0 0 9 p r a g u e p r a h a

Roman Pavlík Roman Pavlík absolvoval Masarykovu univerzitu, poté pracoval na MFF UK. V roce 1994 založil a do roku 2001 řídil společnost SkyNet – tuzemského distributora síťových bezpečnostních řešení. V roce 2001 založil Trusted Network Solutions, a.s, kde působí jako CEO. Podílel se na realizaci nebo oponentuře bezpečnostních projektů pro Národní banku Slovenska, Volksbank CZ, EGAP, Telefónicu O2, Škoda auto, Wrigley, NBÚ či BIS. V roce 2000 byl jmenován soudním znalcem v oboru bezpečnosti IT systémů.

Josef Pojsl Josef Pojsl absolvoval Fakultu informatiky MU v Brně a od počátku své profesionální kariéry se věnuje bezpečnosti informačních systémů. Pracoval ve společnostech Český Telecom a SkyNet, v současné době působí v Trusted Network Solutions jako technický ředitel, kde se podílí na vývoji aplikačního UTM/firewallu Kernun. Řídil projekty zabezpečení sítě pro mnohé zákazníky z komerční i rozpočtové sféry, mezi nimi Škoda auto, Home Credit, Česká televize, ČHMÚ a další. Josef Pojsl pravidelně příspívá na konferencích (IDET, SecurityUpgrade, EurOpen), píše články do časopisů (Connect, DSM), překládá a recenzuje odbornou literaturu (Computer Press) a příležitostně přednáší (FI MU).

Jak outsourcovat bezpečnost sítě v prostředí banky? V příspěvku představíme případovou studii využití outsourcingu při zajištění bezpečnosti sítě v prostředí informačního systému banky. Je popsán skutečný vývoj projektu v jedné z českých bank, jejímž majitelem je zahraniční bankovní ústav. Česká dcera vznikla jako výsledek fúze několika bankovních domů, z pohledu IT tedy velmi heterogenní informační systém. Nový management hledal dodavatele řešení pro bezpečné propojení informačního systému s okolím. V takové situaci by bylo logické přijít s nabídkou typového řešení od americké společnosti a začít licitovat o ceně. Koneckonců tak učinila většina kolegů z řad systémových integrátorů. My jsme místo cenové nabídky předložili návrh na systémové řešení: provedení analýzy rizik síťové komunikace, návrh síťové bezpečnostní politiky a konkrétní implementaci technologických opatření. Zároveň bylo nutné definovat operační procedury pro zajištění bezpečnosti celé sítě a naplánovat dostatek zdrojů pro jejich podporu. Z důvodu efektivity jsme pro správu síťové bezpečnostní infrastruktury navrhli použít kombinaci interních zdrojů banky a outsourcingu. Na první pohled riziková volba je akceptovatelná, pokud je i zde důsledně uplatněn princip několika bezpečnostních vrstev a PDCA (Plan-Do-Check-Act) model. Příspěvek si kromě technologického popisu řešení všímá i personálního zajištění operačních procedur a popisuje schéma, podle kterého jsou pravomoci a odpovědnost rozděleny mezi dodavatele a interní zaměstnance.

Peter Hora

Peter Hora je zakladatel firmy SEMANTA, s.r.o která se specializuje na návrh, vývoj a nasazení nástrojů pro správu znalostí a jiných informačních aktiv založených na sociálním SW.

Bezpečnost vs. sdílení Web 2.0 je zaklínadlo dnešních dní. Přesná definice sice neexistuje, ale základní princip je jednoduchý – rozložme aplikace na jednotlivé služby a spojme je (moderní slovo je směsice) v prohlížeči způsobem ad hoc. Web tedy již není síť statických stránek – je to síť služeb (ukládání dat, prezentace dat, aplikační logika) a nekonečné množství jejich kombinací. Velkou otázkou zůstává jak řídit bezpečnost v tomto akčním moři.


13

Panel Discussion – Sharing the Secrets There was a time when information security more or less focused on perimeter protection as a main tool to keep the secret. After this, e-generation on the internet appeared and sharing information became a new paradigm. E-government contributed to the opening up of a new phenomenon. Communication between government and citizens, as well as access from corporate networks to the open environment should combine both aspects - keeping some secrets and sharing some info. Can we currently achieve both targets? Can we share the secrets?

Ross Anderson

Ross Anderson is Professor of Security Engineering at the University of Cambridge Computer Laboratory. He was one of the pioneers of peer-to-peer systems, micropayments, information hiding systems, API attacks on cryptographic processors and of the study of hardware tamper-resistance. He has also written extensively on security failure, and has analysed attacks on systems ranging from ATMs through medical record databases to tachographs. He is also one of the founders of the field of security economics, which has thrown light on many problems that used to be thought intractable.

Information Security Economics – and Beyond As distributed systems are assembled from machines belonging to principals with divergent interests, incentives are becoming as important to dependability as technical design. The new field provides valuable insights not just into ‘security’ topics such as privacy, bugs, spam, and phishing, but into more general areas such as system dependability (the design of peer-to-peer systems and the optimal balance of effort by programmers and testers), and policy (particularly digital rights management). This research programme has been starting to spill over into more general security questions (such as lawenforcement strategy), and into the interface between security and the social sciences. The promise of this research programme is a novel framework for analyzing information security problems – one that is both principled and effective.

Marek Kumpošt

Marek Kumpošt is a student at the Faculty of Informatics, Masaryk Univerzity. He is oriented to IT security in general and his main interests are privacy protection, anonymous communication and security in wireless networks. His dissertation thesis (supervised by Václav Matyáš) deals with methods for modelling privacy based on contextual information. The practical issue covered in the thesis is user profiling based on past activities. Since 2005 he is a member of a security group BUSLab within which he cooperated on several project mainly targeting the security in wireless networks.

Václav (Vashek) Matyáš

Václav Matyáš is an Associate Professor at the Masaryk University Brno, CZ, chairing its Department of Computer Systems and Communications. His research interests relate to applied cryptography and security, where he published over seventy peer-reviewed publications, including two books. Vashek edited the Computer and Communications Security Reviews, and worked on the development of Common Criteria and with ISO/IEC JTC1 SC27. He is a member of editorial board DSM magazine.

How much iS privacy worth? In our contribution we will present results from two experiments which primary goal was to estimate how people value their personal information. In order to get as unbiased information as possible, we proceed with both experiment in a form of a web questionnaire and the original goal was partially hidden with a cover story (instead of direct asking for the price). In our first experiment the assessed value was the actual location information about a person. The second experiment was targeted to usage of online communication tool. In both cases our potential participants were asked about a monetary compensation they would require for participating. Studies were done in cooperation with external partners within the FIDIS project.

14


2 0 0 9 p r a g u e p r a h a

Panelová diskuse – Sdílení tajemství Kdysi se informační bezpečnost víceméně soustředila na ochranu perimetru jako hlavní nástroj pro udržení tajemství. Pak přišla e-generace na Internetu a sdílení informací se stalo novým paradigmatem. E-government otevřel nový fenomén. Komunikace mezi vládou a občanem, stejně jako přístup z firemních sítí do otevřeného prostředí by měla kombinovat oba aspekty – ochranu některých tajemství a sdílení některých informací. Můžeme nyní naplnit oba cíle? Můžeme sdílet tajemství?

Ross Anderson

Ross Anderson je profesorem bezpečnostního inženýrství na univerzitě v Cambridge. Byl jedním z průkopníků bezpečnosti peer-to-peer systémů, mikroplateb, systémů pro skrývání informací, API útoků na kryptografické procesy a studií o odolnosti hardwaru proti narušení. Je autorem mnoha studií o bezpečnostních problémech a analyzoval útoky na nejrůznější systémy, počínaje bankovními automaty přes databáze zdravotních záznamů až po automobilové tachografy. Je také jedním ze zakladatelů oboru bezpečnostní ekonomiky, kde objasnil řadu problémů, které se před tím zdály neřešitelnými.

Ekonomické a další aspekty informační bezpečnosti Jednotlivé komponenty distribuovaných systémů patří zodpovědným osobám s různými zájmy, stávají se různé formy motivačních mechanismů pro spolehlivost systému stejně důležité jako technický návrh. Tato nová oblast poskytuje hodnotné informace nejen o bezpečnostních tématech, jako jsou ochrana osobních údajů, bezpečnostní chyby, spam nebo phishing, ale také spolehlivost systému (návrh peer-to-peer systémů a optimální rovnováha mezi časem programátorů a testerů) nebo politiky systémů (obzvláště správa digitálních práv). Tento výzkumný program se začal rozšiřovat i na obecnější bezpečnostní otázky (např. strategie vynucování práva) a na rozhraní mezi bezpečností a sociálními vědami. Tento výzkumný program slibuje nový rámec pro analýzu bezpečnostních problémů, která bude založena na principech a zároveň účinná.

Marek Kumpošt

Marek Kumpošt je doktorandem na Fakultě informatiky Masarykovy univerzity. Zabývá se bezpečností v IT a mezi jeho hlavní oblasti zájmu patří ochrana soukromí, anonymní komunikace a bezpečnost bezdrátových sítí. Disertační práce (pod vedením Václava Matyáše) se zabývá metodami modelování soukromí na základě kontextových informací a praktickým otázkám profilování uživatelů na základě jejich aktivit. Od roku 2005 je členem bezpečnostní skupiny BUSLab, v rámci které se podílel na řešení projektů zejména z oblasti bezpečnosti bezdrátových sítí.

Václav (Vashek) Matyáš

Václav Matyáš je docentem Fakulty informatiky Masarykovy univerzity a vedoucím Katedry počítačových systémů a komunikací. Věnuje se aplikované kryptografii, bezpečnosti IT a ochraně informačního soukromí – v těchto oborech publikoval přes sedmdesát peer-reviewed publikací, včetně dvou knih. Podílel se i na vývoji Common Criteria a práci v ISO/IEC JTC1 SC27, je členem redakční rady časopisu Data Security Management (DSM).

Jaká je hodnota soukromí? Příspěvek se zabývá představením výsledků dvou experimentů, jejichž cílem bylo zjistit, jak si lidé cení svých soukromých informací. Aby byly získané informace co možná nejméně ovlivněné tím, že se lidí přímo zeptáme na cenu, byly oba experimenty provedeny formou webového dotazníku, kdy skutečný záměr byl do určité míry skryt. V prvním experimentu byla zjišťována cena informací o aktuální poloze člověka – zjištěná pomocí mobilního telefonu. V druhém případě jsme se zaměřili na cenu informací týkající se využití nástrojů pro online komunikaci. V obou případech jsme se účastníků ptali, jakou finanční kompenzaci by požadovali v případě účasti v navrženém experimentu. Studie byly provedeny ve spolupráci se zahraničními partnery v rámci projektu FIDIS. INFORMATION SECURITY SUMMIT

15

Ivo Rosol

Ivo Rosol graduated in Theoretical Computer Science from the Czech Technical University in Prague and obtained his post graduate degree for his research into the adaptive control of stochastic process models from the Czech Academy of Sciences. He was a Fellow at the Faculty of Electrical Engineering of the Czech Technical University for five years. In 1990 he joined OKsystem Ltd. and is now Director of its R&D division. He is responsible for IS, cryptographic technology applications and smart card research. He takes an active part in international research and development and standardization projects for smart cards and documents.

Electronic ID Cards – The Current Status and Expected Developments in the Czech Republic This paper deals with various aspects of document identification based on chips. It is based on an analysis of the purposes of issuing the documents, possible technical solutions, and general trends in this area and is taken from the experiences of countries which have either issued these types of documents already or are actually preparing to issue them. The relatively little publically available information on the prepared Czech chip identity cards is set out, with the missing information, particularly on the aims and scope of the cards; the required infrastructure; the chip technology employed, and chip data content and functions is added by way of the author‘s estimates and recommendations. The relevant technical standards are also included. In spite of these facts it will be difficult to achieve the same degree of conformity with standards and international interoperability that was achieved with electronic passports. The main reason for this is the absence of a decisive global application for national ID cards and of an international authority that would issue obligatory procedural and technical specifications in this area as we have with the ICAO for travel documents. The second problem is the nonexistence of the dedicated technical base (chip system), security certification, specifications and performance of conformity and interoperability tests and the absence of the infrastructure for both the domestic and foreign use of the chip ID cards.

Mike Just

Mike Just is a Research Fellow at the University of Edinburgh investigating authentication methods that use information ’already known‘ to users. He designed the challenge question authentication solution used by the Canadian Government that currently supports account recovery for over 3 million citizens and businesses. Mike has over 10 years experience in both the public and private sectors, and has over two dozen academic publications. He received his Ph.D. in Computer Science from Carleton University in 1998.

Account Recovery – Authentication‘s Dirty Secret? It would appear that everyone is guarding the front door: Password rules and update and length requirements are already stretching human processing and recall abilities, but are often accepted in the name of security. Attackers, however, have begun to realize that impersonation can be made easier by trying to recover a user‘s account. By entering this back door, which uses an alternative authentication approach, an attacker will potentially encounter less rigorous security, e.g. based on the knowledge of a user‘s mother‘s maiden name or first school attended. A recent, prominent example was the alleged hack of US vice presidential candidate Sarah Palin‘s email account via her recovery questions. Yet despite the ubiquitous use of such recovery mechanisms, there is surprisingly little published research on the topic. In this talk, the presenter will review the research that does exist (including some of his own) and discuss what this means for the future of authentication.

16


2 0 0 9 p r a g u e p r a h a

Ivo Rosol

Ivo Rosol vystudoval elektrotechnickou fakultu ČVUT, obor technická kybernetika, postgraduální studium absolvoval na Ústavu teorie informace a automatizace ČSAV, kde se věnoval výzkumu adaptivního řízení procesů popsaných stochastickými modely. Nejdříve pracoval jako odborný asistent elektrotechnické fakulty ČVUT, od roku 1990 pak ve společnosti OKsystem, v současné době na pozici ředitele vývojové divize. Zabývá se otázkami bezpečnosti, aplikace kryptografických technologií a problematikou čipových karet. Aktivně se podílí na mezinárodních projektech výzkumu a vývoje a standardizačním procesům v oblasti elektronických čipových karet a dokladů.

Elektronické občanské průkazy – současný stav a očekávaný vývoj v čr Tento příspěvek se zabývá různými aspekty čipových identifikačních dokladů. Vychází z rozboru účelů jejich vydání, možných technických řešení a trendů v této oblasti, založených na zkušenostech států, které tyto doklady již vydaly, nebo vydání reálně připravují. V tomto kontextu jsou uvedeny nemnohé veřejně publikované informace o připravovaných českých čipových občanských průkazech. Chybějící informace, zejména základní údaje o cílech a oblastech využití, potřebné infrastruktuře, použité čipové technologii, datovém obsahu a službách čipu jsou nahrazeny pouze odhady a doporučením autora. V příspěvku jsou zmíněny relevantní technické standardy. Navzdory tomu lze jen stěží očekávat zajištění podobně uspokojivého stavu v oblasti konformity ke standardům a mezinárodní interoperability, jako bylo dosaženo u elektronických pasů. Hlavním důvodem je neexistence rozhodující globální aplikace národních identifikačních dokladů a absence mezinárodní autority, která by stanovila závazné procesní a technické specifikace v této oblasti, podobně jako vytvořila ICAO pro cestovní doklady. Následuje problém existence vyhrazené technické platformy (systému čipu), bezpečnostní certifikace, specifikace a provedení testů konformity a interoperability a absence infrastruktury pro použití čipových identifikačních dokladů v rámci států i mezi nimi.

Mike Just

Mike Just je výzkumný pracovník na Univerzitě v Edinburgu, který se věnuje autentizačním metodám založených na informacích, které uživatelé „již znají“. Navrhnul bezpečnostní řešení na základě kontrolní otázky, které je využíváno kanadskou vládou a které v současné době zahrnuje obnovu účtů pro více než 3 miliony občanů a společností. Mike má více než desetiletou zkušenost ve veřejném i soukromém sektoru a zveřejnil více než dva tucty akademických publikací. Titul Ph.D. v oblasti informatiky získal na Carleton University v roce 1998.

Obnova účtů – špinavé tajemství autentizace? Zdálo by se, že každý využije především vstupní dveře. Pravidla pro tvorbu hesel, jejich délku a pravidelné aktualizace již přesahují lidské možnosti zpracování a zapamatování, ale přesto jsou často akceptovány a to ve jménu bezpečnosti. Útočníci si však již začali uvědomovat, že si útok zosobněním mohou zjednodušit, pokud vyzkouší obnovu uživatelského účtu. Tato zadní vrátka, která využívají alternativní autentizační mechanismy, mohou znamenat nižší úroveň ochrany, např. může být založena na znalosti rodného příjmení matky nebo jménu první navštěvované školy. Nedávným prominentním příkladem byl údajný hack emailového účtu kandidátky na vicepresidentku USA Sarah Palinové pomocí útoku na její kontrolní otázku pro obnovení účtu. I přes velmi časté využívání těchto mechanismů obnovy účtů je možné nalézt jen málo odborné literatury na toto téma. Příspěvek poskytne přehled existujícího výzkumu (včetně autorova vlastního) a závěrů, které z toho plynou pro bezpečnost autentizačních metod.


17

Martin Hanzal

Martin Hanzal is a graduate of computer technology and informatics at the Faculty of Electrical Engineering and Communication, Brno University of Technology. He is the founder of SODATSW spol. s r.o., which is involved in the development and implementation of SW resources for reducing threats originating from internal attacks to information systems. During his time at SODATSW spol. s r.o. Martin has been Director of Development and Implementation and Director of Strategic Development and is currently the company‘s Chief Executive Officer. He managed the team which created the patented solution for data protection against the mis-appropriation of user authorization and the implementation of safety development certification pursuant to CC EAL4 of products for monitoring the activities of information systems users which precisely record executed activities and identifies the responsibility for executions to a specific individual.

Technical Means Supporting Demonstrable Responsibility of Users of Informational Systems in an Organization The objective of this paper is to acquaint managers with ways of implementing technical resources into information systems which support the demonstrable responsibility for executed activities by administrators and common users. The paper is based on the actual environment of an organization which has standard components of information systems, such as directory services within the framework of the domain, database server, application servers for the ERP/CRM system, client stations and notebooks which enable users to work with the organization’s information system. From this contribution you will learn what should be modified in this infrastructure with respect to the unambiguous identification of the responsibility for executed activities, how technically demanding these modifications are, and where the critical points of the solution are found.

David Porter

David Porter is Head of Security and Risk at Detica, the intelligence systems and services organization. Over the past twenty years his work has included regulatory compliance, operational and credit risk, fraud, money laundering, information security, business resilience, and crisis management. He has consulted to clients in the government, defence, financial services, telecommunications and airline industry sectors. Originally an artificial intelligence researcher at London’s South Bank University, he moved into risk management services at Deloitte and Unisys. A Certified Fraud Examiner, he received a MSc degree in Advanced Methods in Computer Science from the University of London and a BSc degree (1st Class Honours) in Computer Science from London Guildhall University.

Security Incidents that Changed the World We now find ourselves in the grip of the 21st-century digital revolution. This revolution is, however, a ‚double-edged sword‘ because it holds significant potential for accident, error, abuse and attack. Since the birth of commercial computing, a number of major IT security incidents have had a significant impact on many aspects of our lives. These incidents should be of value since the only way we learn is through getting things wrong. However, although many of them have led to changes in technical security practices as well as new rules and regulations, none of them has „changed the world“ enough - neither the world of IT nor the wider world beyond that. The same errors are being repeated and inappropriate remedies are being applied. And now, as the digital revolution begins to really bite, a broad and unpredictable spectrum of threats are evolving faster than the countermeasures. How can we learn from our mistakes and improve our security act?

18


2 0 0 9 p r a g u e p r a h a

Martin Hanzal

Martin Hanzal je absolventem oboru výpočetní technika a informatika na Fakultě elektrotechniky a informatiky VUT Brno. Autor je zakladatelem společnosti SODATSW spol. s r.o., která se zabývá vývojem a implementací SW prostředků pro snižování hrozeb pramenících z vnitřních útoků na informační systémy. V rámci svého působení ve firmě SODATSW spol. s r.o. zastával pozice ředitele vývoje a implementace, ředitele strategického rozvoje a v současnosti ve společnosti pracuje jako výkonný ředitel. Během svého působení vedl skupinu vytvářející patentované řešení na ochranu dat před zcizením oprávněnými uživateli a zavádění certifikací bezpečnosti vývoje dle CC EAL4 produktů pro sledování činností uživatelů informačního systému s cílem jednoznačného prokázání prováděných činností a určení odpovědnosti za jejich provedení konkrétní osobě.

Technické prostředky podporující prokazatelnou odpovědnost uživatelů informačního systému organizace Cílem příspěvku je seznámit vedoucí pracovníky, jakým způsobem lze do informačního systému organizace zavést technické prostředky, které podporují prokazatelnou odpovědnost za vykonávané činnosti ze strany administrátorů i běžných koncových uživatelů. Příspěvek se opírá o reálné prostředí organizace, ve kterém se nachází standardní komponenty informačního systému, jakými jsou adresářové služby v rámci domény, databázový server, aplikační server pro ERP/CRM systém, klientské stanice a notebooky umožňující uživatelům s informačním systémem organizace pracovat. Co všechno je nutné v této infrastruktuře upravit s ohledem na jednoznačné určování odpovědnosti za provedené činnosti, jak jsou tyto úpravy technicky náročné a kde existují kritická místa řešení, to vše se dozvíte z tohoto příspěvku.

David Porter

David Porter je vedoucím bezpečnosti a rizik ve společnosti Detica, organizace zabývající se zpravodajskými systémy a službami. V posledních dvaceti letech jeho práce zahrnovala zajišťování souladu s předpisy, řízení operačních a kreditních rizik, odhalování podvodů a praní špinavých peněz, informační bezpečnost, odolnost podnikání a management krizí. Byl konzultantem klientů ve vládním a obranném sektoru, finančních službách, telekomunikacích a leteckém průmyslu. Původně výzkumník umělé inteligence na londýnské South Bank University přešel do služeb správy rizik v Deloitte a Unisys. Certifikovaný vyšetřovatel v oblasti podvodů, získal titul MSc v pokročilých metodách informatiky na University of London a titul BSc. (s červeným diplomem) v informatice na London Guildhall University.

Bezpečnostní incidenty, které změnily svět Nacházíme se nyní v plných otáčkách digitální revoluce 21. století. Tato revoluce je však dvousečnou zbraní neboť přináší významný potenciál pro vznik nehod, chyb, zneužívání a útoků. Od doby, kdy se ve firmách objevily počítače, se stalo několik bezpečnostních incidentů v IT, které měly významný vliv na řadu aspektů našeho života. Tyto incidenty mají svou hodnotu, neboť chybami se učíme. Ačkoliv řada z nich vedla ke změnám v bezpečnostních praktikách nebo ke vzniku nových pravidel a předpisů, žádný z nich „nezměnil svět“ dostatečně – ani svět IT ani svět za nimi. Opakujeme stejné chyby a stále aplikujeme neúčinná opatření. V situaci, kdy se nás dotýká digitální revoluce, se nyní široké a nepředvídatelné spektrum hrozeb vyvíjí rychleji než odpovídající protiopatření. Jak se můžeme poučit ze svých chyb a zlepšit svoje bezpečnostní chování?


19

R EGISTRATION F EE / K ONFERENČNÍ P OPLATEK The registration fee includes the two-day conference ticket, conference materials, a CD-ROM, coffee breaks, lunches and an evening party. Detailed specification on the invoice. Poplatek zahrnuje kompletní účastnické materiály, vstup na oba dny konference, CD-ROM, občerstvení, obědy a večerní raut. Podrobný rozpis je na daňovém dokladu. For DSM Subscribers / Pro předplatitele DSM until / do 31. 3. 2009 until / do 30. 4. 2009 after / po 1. 5. 2009

including VAT EUR 648 EUR 756 EUR 864

Other Participants / Ostatní účastníci until / do 31. 3. 2009 until / do 30. 4. 2009 after / po 1. 5. 2009

including VAT EUR 973 EUR 1 297 EUR 1 622

bez DPH 11 990,- Kč 13 990,- Kč 15 990,- Kč

včetně DPH 14 268,- Kč 16 648,- Kč 19 028,- Kč

bez DPH 17 990,- Kč 23 990,- Kč 29 990,- Kč

včetně DPH 21 408,- Kč 28 548,- Kč 35 688,- Kč

Special Offer / Speciální nabídka Annual subscription of DSM magazine as a bonus added to the registration fee Roční předplatné časopisu DSM jako bonus ke konferenčnímu poplatku EUR 919 16 990,- Kč

20 218,- Kč

Documentation / Dokumentace In the event that you cannot attend the conference but would like to receive the related materials, you can purchase a complete set of all the presentations. Pokud nemáte možnost se konference zúčastnit, ale přesto byste rádi získali materiály z jejího průběhu, můžete si zakoupit kompletní účastnické materiály všech přednášek. Price / Cena EUR 161 2 990,- Kč 3 558,- Kč

Payment Details / Deatily placení You can pay via bank transfer. We will issue your attendance confirmation and your invoice after your application has been registered. All fees are due at least one day before the beginning of the conference. Cash payment on the first conference day is possible only if agreed with the organizers in advance. All bank charges have to be paid by conference attendees. Platit můžete bankovním převodem nebo zálohovou fakturou. Po obdržení platby na náš účet Vám vystavíme daňový doklad a zašleme potvrzení účasti. Abychom Vám mohli zajistit účast, všechny poplatky musí být uhrazeny na účet organizátora nejpozději jeden den před konáním konference. Platba v den začátku konference je možná pouze po předchozí dohodě v hotovosti. Bankovní poplatky hradí účastník konference. Cancellation Policy / Stornovací podmínky For cancellation before April 26, 2009 we will charge you a CZK 1 000 manipulation fee + 19 % VAT. For cancellations after this date you will be liable for 50 % of the conference fee + 19 % VAT, for cancellations within one week before the summit, payments will be required in full + 19 % VAT. Substitutions are possible without any additional fee. Do 26. dubna 2009 je při zrušení účtován manipulační poplatek 1 000,- Kč + DPH 19 %. Po tomto datu je stornovací poplatek 50 % konferenčního poplatku + DPH 19 % a jeden týden před konáním konference je to 100 % + DPH 19 %. Kdykoliv máte možnost nahradit svoji účast jinou osobou bez dalšího poplatku.

20


2 0 0 9 p r a g u e p r a h a

R EGISTRATION F ORM / R EGISTRAČNÍ F ORMULÁŘ Please complete the registration form and return via fax, post or e-mail to: / Vyplněný registrační formulář zašlete faxem, e-mailem nebo poštou na adresu: DSM – data security management, TATE International, s.r.o., Hořejší nábřeží 21, 150 00 Praha 5, Telephone: / Telefon: +420 257 920 319-20, Fax: +420 257 313 695, Alternatively you can register on-line at: / nebo využijte možnosti registrace na: www.dsm.tate.cz/is2 Company / Společnost

Industry Sector / Oblast podnikání

…………………………………….….………………………………. …………………………............….............................. IČ ....……………..…...…………....................….………….. DIČ ….…..…………….....................……................ Surname / Příjmení

First Name / Jméno

Degree / Titul

...……………………………………..…………..……………..….. ………...………………….......... .............................. Position / Funkce ...………..………...................………. Telephone / Telefon .......………........................... E-mail .…………………………...........................…….….. Mobile ……..…….………....................…................ Address / Korespondenční adresa .................................................................................................... ..........……………..……………….....…………..…………..…………………................................................…….….. Postcode / PSČ ............................... Country / Stát ............................................... Fax:........................................ Invoice Address / Fakturační adresa .......................................................................................................................... ..........……………..……………….....…………..…………..…………………................................................…….….. Postcode / PSČ ................................................................. Country / Stát .............................................................. DSM Subscriber: / Předplatitel DSM: q no/ne q yes/ano

Subscriber number / předplatitelské číslo ..............……….....

Number of Employees / Počet zaměstnanců q<25 q26-50 q51-100 q101-200 q201-500 q501-1000 q>1000 Proforma invoice request / Požaduji zálohovou fakturu

yes / no

ano / ne

I confirm that the registration fee CZK .……….....………...….. Kč including VAT was paid to the bank account of TATE International number 57411183/0300 at ČSOB a.s., Praha 1, ID: 25148125, Tax ID: CZ25148125. Potvrzuji, že účastnický poplatek ve výši ………….....……...…… Kč včetně DPH byl poukázán na účet TATE International, číslo 57411183/0300 u ČSOB a.s., Praha 1, IČ: 25148125, DIČ: CZ25148125. Date / Dne …..................………… from bank account number / z čísla účtu ....…..…………………..........…. Date / Datum ….........................………………………..

Signature / Podpis ….………………...........…………… INFORMATION SECURITY SUMMIT

21

Konference Venue / Místo konání Convent of St. Agnes of Bohemia, U Milosrdných 17, Praha 1 l tram stop: Dlouhá, tram nos. 5, 8, 14 and tram stop Právnická fakulta no. 17 l Subway: A route – Staroměstská or B route – Náměstí Republiky l bus stop: Řásnovka no. 133 Klášter sv. Anežky České, U Milosrdných 17, Praha 1 l zastávka tramvaje Dlouhá, tramvaj č. 5, 8, 14 nebo zastávka Právnická fakulta č. 17 l metro trasa A – stanice Staroměstská popř. trasa B – stanice Náměstí Republiky l autobus č. 133 stanice Řásnovka (ze Staroměstské nebo z Florence) http://www.ngprague.cz/cz/4/sekce/klaster-sv-anezky-ceske/ Parking / Parkování – Loc: 50°5‘34.21“N; 14°25‘37.05“E We have made parking reservations for conference participants from May 27th – 28th, 2009 on the corner of Revoluční / Hradební streets in Prague 1. There is limited capacity at the car park. Pro účatníky konference je od 27. do 28. května 2009 rezervováno parkoviště na rohu ulic Revoluční / Řásnovka, Praha 1. Kapacita parkoviště je omezena. Hotel Bookings / Rezervace ubytování We can arrange reservation for the participants from May 27th to May 28th 2009 for a special rate. Should you be interested, please, contact Mrs. Pavla Suchanova (Travel Agency Čedok), phone number +420 221 447 206, e-mail [email protected]. Please quote the purpose of the stay: accommodation during IS2 conference. Pro účastníky konference můžeme rezervovat od 27. května do 28. května 2009 ubytování za speciální cenu. V případě zájmu kontaktujte, prosím, paní Pavlu Suchanovou (CK Čedok) na tel. čísle +420 221 447 206 nebo na adrese [email protected]. Uveďte účel – ubytování na konferenci IS2. Hotels / Hotely Our hotels are located 5-10 mins walk from the Convent of St. Agnes of Bohemia. Vzdálenost hotelů od kláštera sv. Anežky České je 5-10 min. pěšky. Botel ALBATROS*** – Nábřeží Ludvíka Svobody, Praha 1 single room / jednolůžkový pokoj 1 600,- Kč; double room / dvoulůžkový pokoj 2 100,- Kč http://www.botelalbatros.cz Hotel AXA*** – Na Poříčí 40, Praha 1 single room / jednolůžkový pokoj 2 220,- Kč; double room / dvoulůžkový pokoj 2 380,- Kč http://www.hotelaxa.com Hotel CITY CENTRE*** – Revoluční 2, Praha 1 single room / jednolůžkový pokoj 1 870,- Kč; double room / dvoulůžkový pokoj 2 330,- Kč http://www.city-centre.cz Hotel OPERA**** – Těšnov, Praha 1 single room / jednolůžkový pokoj 2 800,- Kč; double room / dvoulůžkový pokoj 3 100,- Kč http://www.hotel-opera.cz 22


As in previous years, there will be not only a rich professional programme but also a pleasant environment for informal discussions with both the presenters and other participants. We certainly are not leaving out the traditional evening party and by moving to a new venue the event will also give you the opportunity to see another pearl of the Prague architecture. We are looking forward to meeting you. Yours

Zdeněk Říha

On behalf of the IS2 Programme Committee

Petr Sýkora

On behalf of the IS2 Organizing Committee

P ROGRAMME C OMMITTEE Zdeněk Říha, Masaryk University Brno (Chairman) Karin Gubalová, NextiraOne Czech and DSM Rudolf Haňka, University of Cambridge Vojtěch J. Jákl, Charles University Prague and DSM Zdeněk Kaplan, Česká pojišťovna and DSM Václav (Vashek) Matyáš, Masaryk University Brno and DSM Eva Racková, KPMG and DSM Eugene Schultz, High Tower Software

Klášter klarisek, nazývaný České Assisi, založil kolem roku 1231 král Václav I. z podnětu své sestry Anežky Přemyslovny. Anežka uvedla do Čech řád klarisek (ženskou odnož františkánů) a v r. 1335 se stala abatyší nově budovaného kláštera. Jedná se o první gotickou stavbu v Praze. Jeho nejstarší budovy byly postaveny ve stylu cisterckoburgundské gotiky, ale svatyně Salvátora, zamýšlená jako přemyslovské mauzoleum, odráží již vlivy klasické fáze vrcholné gotiky. K další přestavbě klášterního komplexu došlo v osmdesátých letech 14. století. V době husitské revoluce (1420) byl klášter opuštěn a teprve v r. 1556 se zde usadili dominikáni, kteří tu působili až do r. 1626 a provedli zde částené úpravy v renesančním slohu. Klarisky se sem vrátily r. 1627. K pozdější skromné přestavbě dochází až po požáru roku 1689. Klášter byl v r. 1782 zrušen Josefem II., zpustl a změnil se ve skladiště a obydlí chudiny. Před demolicí v rámci „asanace Starého Města“ byl klášter roku 1893 zachráněn úsilím Jednoty pro obnovu kláštera blahoslavené Anežky. Do r. 1980 byl rekonstruován a adaptován bývalý konvent klarisek a umístěna zde expozice českého malířství 19. stol. ze sbírek Národní galerie. V 2. etapě obnovy byly do r. 1986 rekonstruovány kostely sv. Františka a sv. Salvátora, kaple sv. Barbory a sv. Maří Magdalény. V kostele sv. Salvátora a v kvadratuře minoritů jsou umístěny nálezy a fragmenty získané v průběhu rekonstrukce i hroby přemyslovských panovníků. Soubor Anežského kláštera je dokladem raně gotické architektonické tvorby evropského významu. Vzhledem ke svým uměleckým hodnotám a kulturní i státně dynastické jedinečnosti byl Anežský klášter prohlášen za národní kulturní památku.


Renowned experts in various areas of information security and information systems risk management have accepted our invitation and will be attending this conference. You will be able to meet, amongst other participants, also the following; the inventor of the proxy firewall Marcus Ranum, a leading lawyer specialising on IT Martin Maisner, an expert on information privacy Pete Bramhall and the renowned expert on economic aspects of information security Ross Anderson. The IS2 will also welcome Mike Just with experience from the Canadian government and Entrust and Lukáš Mikeska, who will compare results of surveys on information security in the Czech and Slovak Republics. During the panel discussion you will be able to discuss issues arising from the opening of perimeters when information is shared in open networks.


This annual conference is one of the top events of its year’s activities in information security and information systems risk management for DSM magazine. The aim of the organisers has been to try to give professionals from this field the opportunity to meet top experts from all over the world and thus facilitate exchange of information at a top international level. The composition of both the programme committee and the presenters reflect this aim.

The Convent of the Poor Clares, known as the Czech Assisi, was founded around 1231 by King Wenceslas I at the behest of his sister, Agnes Premysl. Agnes brought the order of the Poor Clares (the branch of the Franciscan Order for women) to Bohemia and became the abbess of the newly built convent in 1235. The oldest building in the complex was built in the Cistercian-Burgundy Gothic style, with the Church of St. Salvatore, which was intended as the mausoleum for the Premysl dynasty, showing early influences of the classic High Gothic style. There was a further reconstruction of the convent complex in the 1380’s. The convent was abandoned during the Hussite wars (1420) and was only occupied again in 1556, this time by the Dominicans, who remained here until 1626 having carried out partial alterations in the renaissance style. The Poor Clares returned in 1627. Later, more modest alterations were carried out after a fire in 1689. The convent was abolished in 1782 by emperor Josef II and, having fallen into disrepair, was used as a warehouse and accommodation for the poor. It was saved from demolition as part of the urban renewal programme for the Old Town in 1893 by the efforts of the Association for the Reconstruction of the Blessed Agnes Convent. Over the period up until 1980 the former Covent of the Poor Clares was reconstructed and adapted and became the home of the National Gallery’s 19th century Czech painting collection. The second stage of the reconstruction took place up until 1986 with work done on the St. Francis and St Salvatore Churches and the Chapels of St. Barbara and St. Mary Magdalene. The St. Salvatore Church and the Minor Quad house an exhibition of archaeological finds discovered during the reconstruction work and some gravestones of the Premysl rulers. The Agnes Convent complex is a fine example of early Gothic architecture and has been declared a National Heritage Monument in view of its artistic importance and its unique cultural and national significance.


We would like to offer you an opportunity to meet top experts in information security and information systems risk management from both the Czech Republic and from abroad at the Information Security Summit (IS2) conference. This anniversary tenth annual conference subtitled “10 secure years with IS2 – quo vadis securitas?” will be held at the spectacular venue of the St. Agnes Convent in the centre of Prague on the 27th – 28th May, 2009.


D EAR M ADAM, D EAR S IR,


2 0 0 9 P R A G U E P R A H A


TATE International, s.r.o., vydavatel časopisu DSM – data security management

In co-operation with / Ve spolupráci

May 27 – 28, 2009 | 27. – 28. května 2009

Address / Adresa




Gold Partners / Zlatí partneři


2 0 0 9 P R A G U E P R A H A

Main conference organizers / Hlavní pořadatel konference

DSM – data security management TATE International, s.r.o. Hořejší nábřeží 21 150 00 Praha 5 tel.: +420 257 920 319-20 fax: +420 257 313 695 e-mail: [email protected]

http://www.dsm.tate.cz Silver Partner / Stříbrný partner

Convent of St. Agnes of Bohemia in Prague | Klášter sv. Anežky České v Praze Prague, Czech Republic | Praha, Česká republika


10th International Conference / 10. ročník mezinárodní konference

10 SECURE YEARS WITH IS2 – QUO VADIS SECURITAS? 10 BEZPEČNÝCH LET S IS2 – QUO VADIS SECURITAS?

Special Partners / Speciální partneři

Under the Auspices of / Pod záštitou

the Prime Minister of the Czech Republic Ing. Mirek Topolánek předsedy vlády České republiky Ing. Mirka Topolánka a Deputy Minister of the Interior of the Czech Republic Mgr. Zdeněk Zajíček náměstka ministra vnitra Mgr. Zdeňka Zajíčka a Deputy Director of the National Security Authority Ing. Jaroslav Šmíd náměstka ředitele Národního bezpečnostního úřadu Ing. Jaroslava Šmída

Platinum Partners / Platinoví partneři

10. ročník mezinárodní konference

Recommend Documents