Program

Manažerský sál

09:00 Zahájení konference

09:05 Zahájení hackerské soutěže

Technický sál

09:10 Zahájení konference

09:15 Zahájení hackerské soutěže

09:15

DPO neboli Pověřenec na ochranu osobních údajů a jeho role ve společnosti

Eva Škorničková (nezávislá právní konzultantka)

Jednou z novinek, kterou Obecné nařízení o ochraně osobních údajů zavádí, je povinnost společnosti ustanovit Pověřence pro ochranu osobních údajů (Data Protection Officer). Tato osoba je povinná pro všechny orgány veřejné moci a dále pro všechny společnosti, které provádí rozsáhlé zpracování citlivých dat, popřípadě systematické monitorování fyzických osob. Pověřenec je přímo podřízen nejvýše postavené osobě v dané společnosti a neměl by být v kumulované funkci např. s výkonem funkce ředitele IT oddělení. Podle odhadu respektované organizace IAPP bude v roce 2018 nutné najít 75.000 lidí na novou pozici Data Protection Officer. Už jen samotné číslo je ohromující, stejně jako skutečnost, že dvě třetiny těchto pozic vzniknou mimo EU, protože GDPR postihuje i zahraniční firmy s působností v EU. více »

09:15

Ransomware – novinky, trendy, statistiky a jak se jednoduše bránit

Jan Sekera (Kaspersky Lab)

Americký federální úřad pro vyšetřování (FBI) odhaduje, že tvůrci ransomware si v roce 2016 přišli až na 1 miliardu dolarů (25 miliard korun). Jaké novinky útočníci použili v roce 2016 a jaké jsou trendy pro rok 2017? Jak je třeba změnit strategii zabezpečení pro obranu proti ransomware a všeobecně proti malware nultého dne? A není to vše málo bez dostatečného IT vzdělání vašich zaměstnanců? více »

09:45

Souhlas se zpracováním osobních údajů a práva subjektů údajů dle Obecného nařízení

Jiří Žůrek (Úřad pro ochranu osobních údajů)

Souhlas se zpracováním osobních údajů představuje jeden z právních důvodů zpracování osobních údajů. Jakým způsobem je souhlas se zpracováním osobních údajů upraven v Obecném nařízení? Jaké jsou podmínky pro zachování kontinuity dříve uděleného souhlasu, až bude účinné Obecné nařízení? Práva subjektu údajů jsou neoddělitelnou součástí ochrany základních práv a svobod jednotlivce při zpracování jeho osobních údajů. Jaká práva mají subjekty údajů a zároveň jaké povinnosti jsou kladeny správcům? více »

09:45

Ransomware včera, dnes a zítra

Igor Hák (ESET software)

Sociální inženýrství ve spojení s relativně primitivní havětí (po technické stránce) dokáže vydělávat útočníkům spousty peněz. Pojďme se podívat na historii ransomware, včetně praktických ukázek a několika úsměvných situací. více »

10:15

13 Essential Steps to Address the Security Requirements of the New EUGeneral Data Protection Regulation (GDPR)

Jason Clark (Tenable Network Security)

In May 2018, when the European Union (EU) General Data Protection Regulation (GDPR) becomes enforceable, every business offering products or services to EU citizens -- and those handling data of EU citizens – will be required to adhere to a strict set of data privacy and security measures. This presentation will help you understand the requirements and prepare for complying with the GDPR. více »

10:15

Trend(y) útočníků, aneb jak je (ná)sledovat

Robin Bay (Trend Micro)

Moderní útoky představují válku se vším všudy. A ve válce je důležité mít TÝM velmi dobře VYCVIČENÝCH VOJÁKŮ s KVALITNÍMI ZBRANĚMI. Pojďme se podívat na ty ZBRANĚ, které by modernímu vojákovi (nejen) proti crypto-ransomware neměly chybět. více »

10:45

GDPR compliance: what to do against internal issues?

Yves Le Roux (CA Technologies)

The EU General Data Protection Regulation (GDPR) has been adopted this year and has to be implemented before May 25th 2018.

This Regulation will significantly increase the maximum fine for infraction (e.g. Personal data breach) to €20 million, or 4% of annual worldwide turnover, whichever is greater. In addition, national data protection supervisory authorities will be coordinating their supervisory and enforcement powers across the Member States, likely to lead to a more pronounced enforcement impact and risk for businesses.

Non-EU businesses will be subject to the Regulation if they:

  • Offer goods or services to EU residents; or
  • monitor the behavior of EU residents.
Many non-EU businesses that were not required to comply with the Directive will be required to comply with the Regulation.

According to the 2016 Insider Threat Report from Infosec Buddy,
  • 74 percent of organizations feel vulnerable to insider threats — a dramatic seven percentage point increase over last year’s survey. However, less than half of all organizations (42 percent) believe they have the appropriate controls in place to prevent an insider attack.
  • Inadvertent data breaches (71 percent) top the list of insider threats companies care most about. Negligent data breaches (68 percent) and malicious breaches (61 percent) come in a close second and third.
  • Privileged users, such as managers with access to sensitive information, pose the biggest insider threat to organizations (60 percent).


The presentation will focus upon the key aspects of an effective security program to protect against internal issues:
  • Find and Protect private info
  • Protect the data in its full lifecycle: At access, in use, at rest and in motion.
  • Ensure that all identities have only the proper level of privileges
  • Control actions of admins so that improper activities (careless or malicious) are proactively detected and prevented.
  • Ensure that private info is used only for the declared purpose.
více »

10:45

Analýza malware a implementace ochranných mechanizmů

Lotem Finkelstein (Check Point Software Technologies)

Jak probíhá detekce a analýza virů, botnetů a komplexního malware. Jak je na základě principů fungování malware vytvořena adekvátní ochrana. Jak vznikají nové bezpečnostní mechanizmy při výskytech nových vektorů útoku. více »

11:15

Panelová diskuse

11:15

Panelová diskuse

11:25

Kávová přestávka

11:25

Kávová přestávka

11:40

Plnění požadavků GDPR s podporou poskytovatele cloudových služeb

Jiří Černý, Zdeněk Jiříček (Microsoft)

Implementace nařízení GDPR přináší řadu požadavků v oblasti procesní, organizační i technické. Některá z těchto opatření lze implementovat v rámci cloudových služeb, a tím de facto přenést část práce a zodpovědnosti na příslušného zpracovatele. Jaké jsou možnosti a technické aspekty tohoto typu přenosu odpovědnosti? více »

11:40

IQRF network – wireless reliable mesh network for IoT

Ivona Spurná (MICRORISC)

Every wireless system is exposed to potential over-the-air attacks. IQRF OS v4.00 brings ultimate security based on industrial standards ensuring authorized access to OTA-flowing data. Special attention is primarily given to security of networks. IQRF utilizes AES-128 encryption, an industrial standard for wireless communication. Besides hiding sensitive data, data encryption increases consistency protection and prevents packets forging.

Three different protections based on AES-128 are applied:

  • Networking encryption
  • Access encryption
  • User encryption
Compromising of keys is very frequent source of security problems. Therefore IQRF OS minimizes and protects also manipulation with keys – network and access keys are not known during physical manipulation as they are generated from respective passwords. Network password is generated randomly with high entropy and delivered encrypted to devices that are joining the network during bonding. This approach offers the following significant advantages:
  • The user should take care about the passwords only but never handle with keys. The management and distribution of keys is completely handled by OS.
  • The keys depend not on the passwords only but are modified by embedded hash functions.
  • These two separated layers (with no simple direct relationship between passwords and keys) additionally increase the security.
  • The keys are generated dynamically, varying in time, which is significantly more immune against attacks.
  • The relationship between passwords and keys are different in different networks.
  • Breaking the keys in one network has no impact on other networks at all.
Both Bonding and Networking encryption/decryption proceed within the packet consistency check routines. Unauthorized packets detected in the network are scratched similarly as packets corrupted e.g. by an RF interference. více »

12:10

Privacy Impact Assement – Posouzení vlivu na ochranu osobních údajů dle GDPR

Marian Němec (AEC)

GDPR kromě jiného vyžaduje provádění tzv. PIA – tedy posouzení vlivu na ochranu osobních údajů. Co to představuje pro organizaci, koho se to týká a jak k tomuto opatření přistoupit, aby byla naplněna litera zákona. více »-->

12:10

IoT a DDoS útoky

Petr Lasek (Radware)

Jeden ze zákonů dialektiky se týká kvantity a kvality a velice zjednodušeně říká, že kvantitativní změny jsou příčinou kvalitativního skoku. IoT je praktickým potvrzením tohoto vztahu. Množství IoT zařízení vytváří z pohledu bezpečnosti novou situaci a nedávné DDoS útoky jsou toho dokladem. DDoS útoky generované pomocí Mirai botnetu dosáhly nových rekordů – přes 1Tbps. Jak to proběhlo a lze se před takovým rizikem bránit? více »

12:40

GDPR pod drobnohledem: hlášení incidentů, nové povinnosti zpracovatelů a risk management

Jan Tomíšek (ROWAN LEGAL)

Oznámit bezpečnostní incident do 72 hodin dozorovým orgánům a dotčeným osobám. Řídit využití dodavatelů, aktualizovat smlouvy a sjednat si právo a na audit. Být informován o všech subdodavatelích pracujících s daty. Posoudit rizika spojená se zpracováním a opatření k jejich snížení. To vše je jen malá část povinností, které GDPR přináší v oblasti bezpečnosti. Příspěvek Vás provede těmi největšími nástrahami a poradí jak se vyhnout vysokým pokutám a negativní publicitě. více »

12:40

(Ne)bezpečnost IoT

Bedřich Košata (CZ.NIC, Turris Omnia)

Rok 2016 přinesl kromě výrazného rozšíření IoT také první velké bezpečnostní problémy. V prezentaci se podíváme na zajímavosti z této oblasti jako je např. botnet Mirai či malware DNSChanger. více »

13:10

Panelová diskuse

13:10

Panelová diskuse

13:20

Oběd

13:20

Oběd

14:00

Co vám může přinést GRC nástroj?

Karin Gubalová (Komerční banka)

V poslední době se stále víc mluví o Governance, Risk Management a Compliance. Jak vybrat vhodný nástroj pro tuto oblast a jaké kritéria zvolit? Co můžete (a měli byste) od jeho implementace očekávat a co naopak ne? Na co si dát pozor? Na tyto a některé další otázky vám odpoví případová studie z implementace nástroje RSA Archer. více »

14:00

Visibilita do SSL – Získejte zpět kontrolu nad svou bezpečností!

Wim Zandee (F5 Networks)

50% dnešní komunikace s webovými servery je šifrované prostřednictvím protokolu TLS/SSL a nástupem HTTP/2 bude tento trend ještě zesilovat. S omezenou nebo nulovou visibilitou do SSL ovšem není možné odhalit aplikační hrozby a ochránit tak infrastrukturu a uživatele. S rostoucími množstvím internetových hrozeb vznikají také nové šifrovací algoritmy jako např. Elyptické křivky ECC, které zvyšují nároky na infrastrukturu terminující SSL spojení. Prezentace odkryje řešení F5 zákazníka, který pomocí visibility do SSL a konceptu „traffic chainingu“ ochránil předchozí investice do IDS/IPS a NGFW. více »

14:30

Co nás ohrožuje více než malware – zranitelnosti řídicích a průmyslových systémů

Ondřej Šťáhlavský, Jan Václavík (Fortinet)

Moderní výroba, automatizace, inteligentní budovy a řada dalších zařízení včetně těch lékařských – vše má jednoho společného jmenovatele, kterým je použití prvků řízených pomocí informačních technologií. Tato zařízení mají vynikající spolehlivost, dokáží pracovat v nepříznivých podmínkách, ale při jejich návrhu byla úplně opomíjena jedna důležitá vlastnost, a tou je důraz na bezpečnost z kybernetického pohledu. Všechny prvky jsou náchylné na řadu jednoduchých útoků, které v těchto případech mohou mít fatální následky. Během naší prezentace vám ukážeme, že bezpečnost řídicích a průmyslových systémů je nutné brát vážně. více »

14:30

Privilege Account Management – trnitá cesta k osvícení

Jan Svoboda (AEC)

Prezentace představí zásadní důvody a potřeby zákazníka vedoucí k řešení problematiky spravování a monitorování privilegovaných účtů. Seznámíme se s možnostmi zmapování a počáteční evidence privilegovaných účtů. Následně se podíváme na tvorbou nových metodik a předpisů používání těchto účtů vycházejících z bezpečnostních požadavků pro jednotlivé role. Nedílnou součástí prezentace je samotná integrace řešení do prostředí zákazníka pokrývající architekturu, implementaci, integraci na provozované technologie, vložení (onboarding) privilegovaných účtů, možnosti workflow a samozřejmě auditní možnosti a praktiky. více »

15:00

Koncept klientské bezpečnosti banky

Jiří Slabý (Deloitte)

Co vzít v potaz při reorganizaci první a druhé linie zabezpečení firmy, která operuje ve finančním businessu? Jak čelit i moderním hrozbám? Jaké týmy a jak mají spolupracovat, aby pokryly potřeby všech obchodních kanálů? Mnoho podobných otázek je třeba zodpovědět při tvorbě uceleného přístupu ke klientské bezpečnosti. Koncept ukáže, jak lze týmy organizovat, čemu čelí, jaké technologie by měli mít pracovníci k dispozici a další aspekty. více »

15:00

DDoS útoky v prostředí páteřní infrastruktury

Tomáš Havlíček (ČD-Telematika), Pavel Minařík (Flowmon)

Jaké jsou možnosti obrany proti volumetrickým útokům DDoS? Proč je důležitá ochrana na úrovni páteřní infrastruktury a vašeho poskytovatele datové konektivity? Jak se s touto úlohou vypořádala společnost ČD Telematika a jaké možnosti ochrany před útoky typu DDoS nabízí své síti? Jak vypadá typický DDoS útok a jak si s ním dokážeme poradit? Jaké jsou technologické možnosti ochrany dnes a trendy do budoucna? Na tyto otázky odpoví případová studie z prostředí ČD Telematiky. více »

15:30

Panelová diskuse

15:30

Panelová diskuse

15:40

Kávová přestávka

15:40

Kávová přestávka

15:55

Online Brand Protection

Michal Tresner (AEC)

Ochrana značky v online prostředí se stává stále důležitější disciplínou napříč odděleními společnosti. Příčinou tohoto trendu není jen stále se zvyšující hodnota značky jako obchodního artiklu v globalizovaném světě, ale zejména riziko jejího zneužití pro zvýšení efektivity kyberútoků proti vlastním zákazníkům. V této prezentaci si povíme, jaké existují přístupy v řešení uvedených problémů, a na konkrétních případech si ukážeme, jak lze s problémem bojovat kombinací technických prostředků a kontinuálního monitoringu. více »

15:55

Případová studie: Odhalení pokročilých útoků

Matej Kačic (AEC)

Česká případová studie z bankovního prostředí. Odhalování pokročilých útoků pomocí sandboxové technologie. Ve stručnosti představíme již dříve nasazená bezpečnostní opatření, která byl schopen pokročilý malware překonat. Útok bol cíleně veden na management společnosti. Poskytneme konkrétní ukázky detekce, detekovaný malware podrobíme analýze a rozebereme vektor útoku, který by nastal v případě úspěšné nákazy v síti našeho zákazníka. více »

16:25

Kybernetická obrana ČR

Kamil Tichý (Národní centrum kybernetických sil)

Počet kybernetických hrozeb ve světě se neustále zvyšuje. Zároveň roste jejich závažnost. Na základě varšavského summitu NATO z letošního roku je kyberprostor nově považován za operační doménu, což ukládá státům další, zcela nové úkoly v této problematice. Je Česká republika připravena na boj v kyberprostoru? Jakým způsobem tato problematika ovlivňuje platnou legislativu České republiky? Jaký je rozdíl mezi kybernetickou bezpečností a kybernetickou obranou? Pomůže tyto otázky vyřešit nově vznikající Národní centrum kybernetických sil? více »

16:25

Hacking bankomatů v praxi

Martin Klubal (AEC)

Jak těžké je nabourat bankomat? S pomocí automobilu maličkost, můžeme ovšem to samé říci i o nástrojích v rukou hackerů? Mezi laickou veřejností rozšířená představa o dokonale zabezpečených bankomatech je pouze představou iluzorní. Převzít kontrolu nad bankomatem a přimět ho k vydání hotovosti je snazší, než si myslíte. Nedávné případy v České republice o tom přesvědčily i tuzemské banky. více »

16:55

Panelová diskuse

16:55

Panelová diskuse

Přesun do Technického sálu

17:00

Předání cen vítězům Hackerské soutěže

17:10

Tombola

17:20

Závěrečné slovo, rozloučení

17:21

Vyhodnocení Hackerské soutěže - ukázky správného řešení


Salonek Virgo

14:00 PSD2 – hrozba nebo příležitost

Moderovaná diskuse zástupců českých a slovenských bank

  • Bezpečnost a ochrana klienta:
       · Otevřené API a kontrola přístupu,
       · Autentizace a autorizace,
       · Detekce kyberútoků a fraudů.
  • Konkurence a nové příležitosti.
  • Praktické důsledky pro zákazníky a banky.
  • Související legislativa.
  • Současná situace a připravenost Českých bank.

Neveřejný kulatý stůl výhradně pro pracovníky bank. Vstup pouze na základě zvací karty.
Moderátor debaty: Michal Tresner



Pocelou dobu konání konference

Capture the Flag 2017 - hackerská soutěž

  • Unikátní příležitost vyzkoušet si techniky používané hackery k získání přístupu k moderním webových aplikacím a firemním systémům.
  • Akce, která vám umožní naučit se něco nového v oblasti bezpečnosti zábavným a legálním způsobem.
  • Přijďte vyzkoušet svoje schopnosti hackera a změřit síly s ostatními!
  • Zájemcům doporučujeme přinést si vlastní laptop vybavený wifi kartou.

Pořadatel soutěže: Martin Klubal

Používáte zastaralý prohlížeč, stránky se nebudou korektně zobrazovat. Aktualizovat