Jak formulovat nároky na bezpečnost vývoje a provozu webové aplikace

Profesní C.V.

Damir Špoljarič založil před svými 18 narozeninami VSHosting, která dnes spolu s téměř 70 odborníky z oboru tvoří největšího Managed Service Providera ve střední Evropě starajícího se o více než 6000 systémů, mezi které patří zajištění infrastruktury pro SaaS providery, provozovatele e-eshopů a webová studia. Krátce studoval VŠE v Praze, studium nicméně z důvodu zájmu o podnikání předčasně ukončil. Zajímá se o nové trendy v oblasti hostingu, cloudů a telekomunikací s důrazem na bezpečnost. V tomto duchu se aktivně podílel na projektování a stavbě datového centra ServerPark (VSHosting), které dnes patří mezi technologicky nejvyspělejší datová centra ve střední Evropě. Je zastáncem open-source myšlenky svobodného internetu.

Téma prezentace:

Řešení ddos útoků se stalo běžným provozním problémem mnoha správců serverů v posledních letech. Útoky nabírají na intenzitě (nejsou výjimkou útoky o intenzitě 1000Gbps+) a zatím žádný z výrobců antiddos/firewall řešení nepřišel se "zázračnou krabicí" řešící všechny provozně-bezpečnostní aspekty internetového projektu. Pro většinu internetových podnikatelů tvoří jejich internetový projekt (eshop, portál apod.) hlavní zdroj příjmů a měl by být proto patřičně chráněn. Podíváme se na nejčastější typy ddos útoků (a jak je řešit) a na časté koncepční vady vývoje, které se mohou v běžném produčním provozu prodražit (aneb co vám programátoři neřekli). Nevynecháme ani přehled dalších kuriozních, leč reálných hrozeb (zaplavené datové centrum apod.).

Profesní C.V.

Martin Leskovjan působí jako manager pobočky Citadelo v České republice a zastupuje společnost v oblasti průmyslové bezpečnosti. Tématům IT bezpečnosti a kryptotechnologií se věnuje od roku 2012, přednášel na heckerských kongresech v ČR i v zahraničí o zneužití GSM sítě v praxi a inicioval vznik výzkumné organizace Securea pro zvýšení bezpečnosti průmyslových kontrolních systémů. Zabývá se také právními otázkami IT bezpečnosti a autorského práva. Vystudoval Právnickou fakultu UK. Patří ke spoluzakladatelům organizace Paralelní polis věnující se tématům kryptoměn, ochrany soukromí a svobody na internetu.

Téma prezentace:

S provozem softwarových služeb se pojí rostoucí odpovědnost, která se odráží také v hodnocení kybernetických rizik. Otázka IT bezpečnosti tak získává na významu a je třeba hledat efektivní způsoby jejího řešení. Tématem přednášky je přehled oblastí, které mají významný dopad na konečnou bezpečnost a hlavně její nákladnost. Často se totiž v praxi setkáváme s tím, že je bezpečnost aplikací a systémů řešena až jako přidaná vrstva a nikoliv jako jeden z funkčních předpokladů. To se pak odráží i na plánování prací a nižší prioritě, která bývá zabezpečení přikládána. Důkladným naplánováním dílčích složek bezpečnosti už při zadávání vývoje software lze mnoho problémů eliminovat a vyhnout se některým nepříjemným překvapením v době, kdy by měla být veškerá energie soustředěna na release nové služby a péči o zákazníka. 

Profesní C.V.

Aktuálně na pozici Chief Information/Security Officer se zodpovědností za interní IT tým, návrhy architektur a definice interních IT a bezpečnostních procesů.

Během jedenácti let ve FG Radek získal zkušenosti s provozem webových řešení od nejmenších až po rozsáhlé portálové řešení.

Se svým týmem doručujeme našim klientům řešení maximálně dostupná, výkonná a bezpečná.

„Baví mě skutečnost, že každý klient či projekt je originál a tomu odpovídá i provozní infrastruktura a péče o ni.“

Téma prezentace:

Bezpečnostní hygiena ve Forrestově praxi.

V první polovině času přiblížím praktické tipy z oblasti bezpečnosti vhodné pro jakoukoliv firmu využívají ke své činnosti IT zařízení jako např. základní bezpečnostní standardy interního IT (zabezpečení notebooků a další IT prostředků), osnovu našeho pravidelného interního školení obecné bezpečnosti a uvedu i příklady námi využívaných software z oblasti bezpečnosti.

Ve druhé polovině se budu zabývat zabezpečením webových aplikací v jednotlivých fázích: při vývoji, po nasazení a v provozu. Přiblížím konkrétní způsoby, postupy a nástroje pro zvýšení bezpečnosti webových aplikací

Profesní C.V.

Václav Mach působí od roku 2008 v Microsoftu jako ředitel pro vnější vztahy v regionu střední a východní Evropy. Zároveň aktivně působí jako člen představenstva ICT unie, člen Řídícího výboru pro informační společnost, hlavní představitel Českého svazu průmyslu ochrany osobních údajů a místopředseda Spolku pro ochranu osobních údajů, člen Czech ICT Alliance, místopředseda Kontrolního výboru a člen Prague Business Clubu, člen rady České společnosti pro systémovou integraci, člen Sektorové rady pro informační technologie a komunikace a člen Poradního výboru pro bezpečnější internet.

Ve své roli se zaměřuje na podporu šíření moderních informačních technologií a rozvíjení firemních vztahů a to nejen v rámci členství v profesních organizacích, ale především ve vztahu se zástupci státní správy a samosprávy, s legislativci a s představiteli regulačních a dozorových orgánů.

Téma prezentace:

Mezinárodní pravidla kybernetické společnosti. Spolu s tím, jak cloud computing a jeho transformační potenciál vzbuzují stále větší zájem. Vzrůstají rovněž obavy spojené s rozpínáním kybernetického prostoru coby bojištěm sloužícím pro kybernetické konflikty a potrubím užívaným pro útoky států a jejich spojenců.

Ve výsledku narůstá potřeba rychle přijmout a implementovat mezinárodní normy upravující kybernetickou bezpečnost, které by vytvořily jasná očekávání pro prevenci a zvládání konfliktů v kybernetickém prostředí. Vytváření mezinárodních norem kybernetické bezpečnosti je základním krokem pro ochranu mezinárodní i národní bezpečnosti, zajištění důvěry v technologie a ochranu stability dnešní propojené globální ekonomiky.

Profesní C.V.

Po absolvování strojní fakulty ČVUT v roce 1992 spoluzaložil makléřskou pojišťovací společnost Portfolio Alfa, s.r.o., kde se zabýval především marketingem, obchodem a řízením podnikatelských rizik klientů. V roce 2004 stál u vzniku mezinárodní sítě pojišťovacích makléřů INSIA. V roce 2011 se podílel na uzavření strategického partnerství INSIA a největšího světového makléře, americké společnosti Marsh, s cílem rozvinout síť INSIA v Evropě. Aktivně publikuje, přednáší a podílí se na propagaci pojišťovnictví a profese pojišťovacích makléřů. Od roku 1999 je aktivní v profesních organizacích, nyní vykonává funkci prvního místopředsedy AČPM.

Téma prezentace:

Rizika pro podnikání na internetu v poslední době stále rostou.  IT odborníci se často soustředí zejména na technická řešení a věří, že s příslušným rozpočtem dokáží zajistit bezpečnost jednotlivých projektů. Černé labutě se však pohybují všude kolem nás a lidský faktor je nevyzpytatelný. Současně nová legislativa, jako např. GDPR přináší firmám nové povinnosti a hrozby vysokých pokut za jejich porušení. Proto je dobré zahrnout do komplexního řízení rizik i pojištění kybernetických rizik jako součást celkové ochrany firem. O tomto novém druhu pojištění, které nyní zažívá boom ve světě, se však u nás ví dosud velmi málo …