INFOSEK 2017
INFOSEK 2007 - Nova Gorica
Slovensko
English
22. - 23. 11. 2007
Preberite kaj menijo udeleženci prejšnjih konferenc.

Pohvalila bi aktualnost in samo organizacijo.

Maruška Damjan, Ministrstvo za izobraževanje, znanost in šport

VSEBINA PREDAVANJ

GDPR (ZVOP-2)

Prednosti in pasti profiliranja po GDPR, Mojca Prelesnik, Informacijska pooblaščenka Republike Slovenije
Profiliranje kot oblika avtomatizirane obdelave osebnih podatkov se danes uporablja v različnih sektorjih - od marketinga, oglaševanja, zavarovalništva in drugje. Prednosti profiliranja so za gospodarstvo in družbo seveda številne, saj omogočajo boljše marketinško segmentiranje, večjo učinkovitost, posameznikom bolj prilagojene storitve in produkte. Obenem pa profiliranje pomeni velik poseg v posameznikovo zasebnost. Ljudje pogosto niti ne vedo, da so predmet profiliranja, obenem pa postajajo ujeti v zaprte kategorije, in s tem omejeni v izbiri. GDPR namreč definira oblikovanje profilov kot avtomatizirano obdelavo osebnih podatkov zlasti za analizo ali predvidevanje posameznikove uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja. Gre torej tako za analizo kot predvidevanje. Pri tem "razosebljenem odločanju" pa je za posameznike ključno, da jim GDPR omogoča ustrezno pravno varstvo.

Conflict of the GDPR alongside non-EU law - case study, Janko Šavnik, Addiko Bank d.d.
Na predavanju bodo predstavljene organizacijske spremembe na nivoju bančne skupine Addiko, ki je prisotna v državah EU in izven, ter vpliv GDPR in druge regulative na tovrstne spremembe.

GDPR - A Hacker Goldmine, Michael Stout, Nemsec
By now, executives in every European business should be aware of General Data Protection Regulation (GDPR) and that it comes into full force on the 25th of May, 2018. As organizations diligently focus their efforts to comply and prepare for GDPR, sinister elements are also preparing themselves for the potential goldmine GDPR offers.
Cyber criminals plot and refine attack vectors to exploit systems and organizations who are less prepared to meet their GDPR obligations. In this session, you will gain a comprehensive understanding of GDPR, the challenges, risks, and the threats hackers will pose to organizations large and small.
The Clock is Ticking...Are You Prepared?

Easiest way to get to GDPR compliance, Mane Piperevski, Piperevski & Associates
It is obvious that we face challenge ahead that will come fast and hard. Even the biggest and mature companies will confirm big weight on this burden. But fear not, we accept the challenge and boldly make it work by optimizing approach and resources that introduce the easiest way for GDPR compliance.

Privacy Impact Assessment (GDPR), Goran Chamurovski, INTEGRA Solution
Privacy Impact Assessment (PIA) is a process that enables privacy risk to be identified and managed. But for controllers PIA is a tool for objective assessment of privacy risk, and is crucial because it offers a chance for scalable and proportionate approach to compliance and appreciation of privacy by design principle. Potential of professionally conducted PIA exercise is in business orientation, technological sophistication and cost effectiveness of identified measures for risk mitigation and management, taking into consideration well established data protection rights and principles that should be protected.

SIEMs as proactive approach through the GDPR, Darko Mihajlovski, HALKBANK AD Skopje
The security information and event management system is a tool that every Information Security Officer should use on regular basis. But it can be used smartly or more smartly. This presentation covers tracking Access, Sharing on File Servers, SharePoint portals, Administrator activities on server through Windows Event Collection. Besides Active Directory monitoring, Database monitoring can be included without any additional tool and also, Mitigating the Risks of VPN-to-Cloud and Cloud Application Gateways can be considered. 
Building Advanced Filters for Windows Event Collection, Top Files and Directories to Monitor in Linux to Catch Attackers Confirmation, and Correlating Vulnerability Scans with Network Path Analysis to Find and Remediate the Biggest Risks to Your Network and Avoid Wasting Time on the Little Ones.

Internet of Things - Opportunities and Threads complying GDPR, Stefan Klaming, IoT40 Systems GmbH

Imamo vpeljan ISO 27001, ali to pomeni, da smo skladni tudi z GDPR?, Peter Krkoč, Palsit d.o.o.

INFOSEK

Automotive security, Andrea Palanca, Politecnico di Milano
Modern vehicles incorporate tens of electronic control units (ECUs), driven by as much as 100,000,000 lines of code. They are tightly interconnected via internal networks, mostly based on the CAN bus standard. Past research showed that, by obtaining physical access to the network or by remotely compromising a vulnerable ECU, an attacker could control even safety-critical inputs such as throttle, steering or brakes. In order to secure current CAN networks from cyberattacks, detection and prevention approaches based on the analysis of transmitted frames have been proposed, and are generally considered the most time- and cost-effective solution, to the point that companies have started promoting aftermarket products for existing vehicles.
In this paper, we present a selective denial-of-service attack against the CAN standard which does not involve the transmission of any complete frames for its execution, and thus would be undetectable via frame-level analysis. As the attack is based on CAN protocol weaknesses, all CAN bus implementations by all manufacturers are vulnerable. In order to precisely investigate the time, money and expertise needed, we implement an experimental proof-of-concept against a modern, unmodified vehicle and prove that the barrier to entry is extremely low. Finally, we present a discussion of our threat analysis, and propose possible countermeasures for detecting and preventing such an attack.

Reducing resistance - Adopting Information Security in the Energy sector, Bozidar Spirovski, H4
The energy sector is one of the last incumbent industries worldwide, with large profits, enormous resources and teams. This applies both to the energy companies as well as vendors in that industry.
Due to the isolated nature of such systems, the information security mindset is slowly penetrating the energy sector while the adversaries speed up - thus the risk profile becomes significant
This talk discusses the experiences and practices from an operational perspective of improving the information security posture of an energy sector company.

Zagotavljanje kibernetske varnosti na jedrskem področju, Samo Tomažič, Uprava RS za jedrsko varnost
V predavanju bo predstavljena kibernetska varnost na jedrskem področju, in sicer:
- zakonodaja in predpisi,
- specifike digitalnih sistemov jedrskih objektov,
- odzivanje na incidente in
- dobre prakse.

We (micro-)patch 0days and so can you, Luka Treiber, Acros d.o.o.
When a 0day is published and there are no suitable workarounds, all we can do is wait for the original vendor to issue a fix. In the meantime, even low-budget attackers can massively exploit the vulnerability. Recently there were three such cases with Microsoft’s software, two caused by them missing Google Project Zero’s 90-day deadline, and one resulting from two Chinese students publishing a remote code execution issue in IIS web server on the unsupported Windows Server 2003. Fortunately, micropatching technology allows 3rd-party patch developers to write machine-code patches for vulnerabilities that vendors can’t or won’t fix, even if source code is not available.
In this session we will relive our journey of writing three micropatches for these 0days, each of them presenting a different type of security flaw and requiring a different patching approach. You will learn how to write and debug a micropatch yourself on your own computer, how writing one is somewhat similar to exploit development,
and why exploit developers already have most of the skills required for patching the bugs they find. This will prepare you for the “crowdpatching” future where security researchers will write micropatches for end-users and vendors alike, plugging critical holes for the former, lowering cost for the latter, and removing the patching-related frustration for all. And as a fellow micropatcher once expressed: “Patching a 0day will make you feel like a God!”

(Ne)varna raba kibernetskega prostora - načini in vzroki za samozaščito uporabnikov, Igor Bernik, Fakulteta za varnostne vede, Univerza v Mariboru
Uporaba elektronskih naprav in stalna vključenost v kibernetski prostor prestavljata možno ogroženost uporabnikov. Le ti izpostavljajo svojo zasebnost, pri dostopu v kibernetski prostor, pri dostopu v ali iz poslovnih informacijskih sistemov pa izpostavljajo tudi premoženje organizacije delovanju kibernetske kriminalitete v širšem smislu. Predstavljeni bodo podatki o ogroženosti uporabnikov, prikazani vzroki za ogroženost in podani osnovni predlogi za (samo)zaščito uporabnikov.

Ransomware evolved into AI, Mane Piperevski, Piperevski & Associates
We cannot assume that ransomware becomes clever than ever, it’s a fact now. Attempts to deploy machine learning, a form of artificial intelligence, is what defending side do today in fight against malware. But make no mistake that malware authors that develop ransomware code are following that step becoming more intuitive and smarter, always one step in front of defense. We all face the challenge of AI and tend to make it work - A Never Ending Story.

Upravljanje kibernetske varnosti, Robert Stražišar, NLB d.d.
Kibernetsko tveganje je uvrščeno med 10 oziroma 5 največjih globalnih ekonomskih tveganj. Predavanje bo odgovorilo na vprašanja, kako postaviti sistem upravljanja kibernetske varnosti, kakšne kontrole postaviti, kako meriti zrelost ter napredek vzpostavljenega sistema kibernetske varnosti in kako postaviti ključne indikatorje tveganja. Na področju kibernetske varnosti ni mogoče zagotoviti absolutne varnosti. Lahko pa vodstvo organizacije izkaže, da je storilo vse kar je komercialno razumno, za zaznavo in preprečitev napada ter zmanjšanje škode in čimprejšnjo obnovitev poslovanja. V primeru negativnega vpliva kibernetskega napada pa bo to moral ustrezno upoštevati tudi inšpekcijski organ (GDPR, NIS) in sodišče ter javnost.

Kibernetska obramba v luči realizacije prihajajočega Zakona o informacijski varnosti, Dobran Božič, Urad Vlade Republike Slovenije za varovanje tajnih podatkov

Informacijska varnost v svetu kriptovalut, Fundacija SICEH
Fundacija SICEH bo predstavila, kako kriptovalute globalno spreminjajo koncept informacijske varnosti, prikazala spremembe, ki jih tehnologije prinašajo ter se še posebej osredotočili na informacijsko varnost znotraj sveta kirptovalut. V času trajanja konference bo Fundacija SICEH za obiskovalce konference izvedla tudi tematsko obarvan SICEH CryptoCTF, kjer bodo vse naloge tekmovanja s področja kriptovalut. Udeleženci CTF tekmovanja bodo imeli možnost "shekati" in pridobiti etherium kovance, slednji pa bodo na voljo tudi v nagradnem skladu za zmagovalca CryptoCTF tekmovanja.

Nova Uredba o varstvu dokumentarnega in arhivskega gradiva - UVDAG, Nada Čibej, Pokrajinski arhiv Koper
Uredba o varstvu dokumentarnega in arhivskega gradiva je pripravljena na podlagi 40. člena Zakona o spremembah in dopolnitvah Zakona o varstvu dokumentarnega in arhivskega gradiva ter arhivih (Uradni list RS, št. 51/14; v nadaljevanju: ZVDAGA-A). Nadomestila je Uredbo o varstvu dokumentarnega in arhivskega gradiva (Uradni list RS, št. 86/06) iz leta 2006.
V vsebinskem smislu uredba posega v sistem varstva dokumentarnega in predvsem arhivskega gradiva na način, da sledi uveljavljenim procesom pri izvajanju arhivske javne službe. Poleg tega so v uredbi na novo opredeljeni: register ustvarjalcev arhivskega gradiva, vsebina registra ter način vpisa ustvarjalcev v register; pretvorba na mikrofilm, dejavnost komisije pri uničenju dokumentarnega gradiva, zunanji izvajalci storitev za arhivsko gradivo v fizični obliki, postopki pridobivanja podatkov iz arhivskega gradiva za potrebe uradnih postopkov ter naloge in način delovanja Sveta direktorjev in Arhivskega sveta. Obenem so posodobljene določbe iz prejšnje uredbe ter usklajene z zahtevami v noveli zakona in mednarodnimi arhivskimi standardi.
Uredba podrobneje opredeljuje ustvarjalce arhivskega gradiva, zajem, pretvorbo in hrambo dokumentarnega in arhivskega gradiva v digitalni obliki ter izvajanje spremljevalnih storitev, urejanje, vrednotenje in uničenje dokumentarnega gradiva ter odbiranje arhivskega gradiva, izročanje arhivskega gradiva, hrambo in materialno varstvo dokumentarnega in arhivskega gradiva ter arhivske depoje, varstvo filmskega arhivskega gradiva, varstvo zasebnega arhivskega gradiva, strokovno obdelavo arhivskega gradiva, evidence, uporabo arhivskega gradiva, registracijo ponudnikov opreme in storitev, certificiranje opreme in storitev, registre elektronske hrambe, delo arhivske komisije, Sveta direktorjev in Arhivskega sveta.

Vzpostavitev celovitega sistema za obvladovanje zlorab v organizaciji, Janja Skamlič, Ernst & Young d.o.o.

Bike Safe - repurposing a smart phone to affordably protect a motorcycle, Sebastjan Vuga, Analitica d.o.o.
A common smartphone is capable of operating as so much more than just a personal assistant and twitter reader. In fact, it is baffling how narrow their usage really is. All the processing power and sensors are nothing more than handy toilet news readers. Bike Safe is an example of how a disused android device can be repurposed as an accessible and affordable motorcycle theft prevention and location device.

Biometrična metoda razpoznavanja očesne šarenice za selektivno kontrolo dostopa z najvišjim nivojem varnosti, Gorazd Mandelj, GM Projekt d.o.o.

Miti in resnice o zdravi kmečki pameti pri vpeljavi ISO 27001, Peter Krkoč, Palsit d.o.o.

Email is the #1 threat vector – How to protect users and technology, Piotr Nowotarsky, Barracuda Networks
Email is the weakest point of IT security in any organization. It is highly affected by users behavior and as such prone to all sorts of social hacking. Spear phishing attacks are rapidly becoming the most significant security threat today. These attacks are highly personalized and the results can be devastating to individuals, businesses, and brands. The second security risk trend is a rise of Malware like Ransomware that is evolving with astonishing speed. We will discuss technologies available to fight those risks like Zero Days Advanced Threat Protection and Artificial Intelligence for Real-Time Spear Phishing and Cyber Fraud Defense.

Hacking FinTech, Michael Stout, Nemsec
The application of technologies into new areas provide hackers the opportunity to expand their trade. in this session, participates will be given a brief explanation of the emergence of FinTech and how it will impact the future of finance and other business models. Focusing on a hacker’s perspective, a number of attack vectors will be presented to promote discussions on how to secure what is proving to be an major development in the world of finance.

Upgrade slovenskih informatikov: z Mindfulness, Darjo Žižmond, HIT d.d.

Transparentnost dejanskega lastništva - novosti in vloga informacijskih tehnologij, Sebastijan Peterka, Transparency International Slovenija
Implementacija četrte direktive za preprečevanje pranja denarja v slovenski pravni red je vnesla več novosti, pomembnejše pa se nanašajo na transparentnost dejanskega lastništva. V prispevku bomo podrobneje obravnavali ključne spremembe, posledice za pravne osebe in obravnavali ključne pomanjkljivosti, ki ostajajo v slovenski zakonodaji. Za razumevanje tematike bo predstavljen tudi mednarodni okvir in nekateri tuji trendi s področja, prav tako pa bo predstavljena vloga informacijskih tehnologij za zagotavljanje transparentnosti dejanskega lastništva s praktičnimi primeri.

Digitalizacija ter nove industrijske IoT platforme, Rok Koren, Siemens d.o.o.
Digitalizacija spreminja marsikaj, tudi produkte in procese in ne le poslovnih modelov. Digitalizacija se odvija že nekaj časa, pri tem so pomembne karakteristike digitalizacije, da ljudje, naprave in sistemi med seboj komunicirajo v realnem času in po celotni vrednostni verigi. Pomembna je povezljivost vseh sistemov, ki se znajo sporazumevati med seboj. Za te karakteristike pa so potrebne nove tehnologije. V digitalni dobi so podatki dostopni vedno in povsod ter se venomer dopolnjujejo. Kupci prek interneta in raziskav določenim ponudnikom posredujejo svoje želje ter povratne informacije kadar koli in od kjer koli želijo. Slednji so vedno v središču in če želi podjetje zadovoljiti njihove potrebe, potrebuje učinkovito proizvodnjo, distribucijo ali storitev. Na eni strani je potrebno čim prej ustreči kupčevim željam, na drugi pa tudi zagotoviti uporabnost in kvaliteto izdelka. V razvoju so nove platforme oz. ekosistemi, ki bodo lahko zadovoljili omenjene trende in potrebe na eni strani ter proizvajalce in upravljalce na drugi. Zajemanje podatkov na najnižjem nivoju senzorjev in aktuatorjev ter zbiranje le-teh v oblaku je samo del novih tehnologij. Uporaba umetne inteligence in analitskih orodij na zbranih podatkih ter posredovanje in uporaba izsledkov so tista dodana vrednost, ki jo nove platforme omogočajo. Razvoj novih aplikacij se odvija na področju oblikovanja produktov, planiranja in spremljanja proizvodnje, energetskega managementa, prediktivnega vzdrževanja, analiziranja in optimiranja delovanja sistemov. Vse to pa prinaša stalne izboljšave in napredek. Ena izmed najuspešnješih Siemensovih tovarn se nahaja v Ambegu v Nemčiji in je vzorčni primer vpeljave digitalizacije in industrije 4.0.


CIO FORUM

Remote Work: Do It Right, And Reap the Benefits, Jure Šutar, RDI Worldwide
Millions of workers and thousands of companies have already discovered the joy and benefits of working remotely. In companies of all sizes, representing virtually every industry, remote work has seen steady growth year after year. Yet unlike, say, the rush to embrace the fay machine, adoption of remote work has not been nearly as universal or commonsensical as many would have thought.
The technology is here, it's never been easier to communicate and collaborate with people anywhere, anytime. But that still leaves a fundamental people problem. The missing upgrade is for the human mind.
This lecture aims to provide that upgrade and reveal the implementation strategies that are proven to work.

Je digitalizacija res odgovor na vse izzive?, Matjaž Kobal, Crea d.o.o.
Ali res drži, da je digitalna transformacija oz. digitalizacija poslovanja izziv, ki ponuja odgovore na vsa vprašanja današnjega sodobnega podjetja? Ali gre morda le za novo trženjsko puhlico, katere rok trajanja ne bo preživel ene olimpijade?
Digitalizacija morda ponuja določene odgovore, gotovo pa se z njenim pomenom »na polno« pretirava. V današnjem predavanju vam želimo pokazati, da je podjetju potrebno pomagati v njegovem bistvu - to pa so njegovi poslovni procesi. Prikazali bomo, da znanje naših zaposlenih in vrednost obstoječih informacijskih sistemov maksimalno izkoristimo le z avtomatizacijo oz. digitalizacijo poslovnih procesov. Pokazali bomo, kako v avtomatiziranem procesu sodeluje končni uporabnik in kako dostopa do dokumentov, zadev in drugih pomembnih informacij. Ogledali si bomo procesni model, v katerem se skrivajo poslovna in procesna pravila, in pojasnili, kako procesni sistem skrbi za pravočasno izvajanje nalog, kako nadzira uspešnost dela ter kakšne analitične podatke in kazalnike KPI zagotavlja poslovodstvu.

Digitalna preobrazba družbe BTC d.d., Julij Božič, BTC d.d.
Četrta industrijska revolucija in digitalizacija prinašata številne ekonomske, tehnološke, organizacijske in družbene spremembe, ki bodo pomembno vplivale na naša življenja in na naš način dela. Podjetje prihodnosti mora biti vzor, omogočati mora sodelovanje in povezovanje ter spodbujati trajnostni razvoj in delovanje za skupno dobro. Vse to počnemo v družbi BTC, saj prepoznavamo poslovne modele prihodnosti, z njimi gradimo ekosistem in povezujemo start-up svet s poslovnim svetom.
Razvejano poslovanje družbe BTC (z logistiko, upravljanjem nepremičnin, upravljanjem mest itd.) ustvarja velike količine podatkov. Te bomo prek ustrezne digitalne platforme spravili na skupni imenovalec ter s tem omogočili njihovo uporabo za razvoj novih poslovnih modelov, povezovanje z našimi poslovnimi partnerji in boljše poznavanje strank. Prav tako bo s pomočjo pridobljenih podatkov, ki bodo na voljo zunanjemu svetu (po konceptu API), omogočeno sodelovanje različnih zunanjih partnerjev (z izvajanjem hackathonov, vključitvijo univerz in inštitutov itd.), tako da bodo lahko posamezniki pridobili informacije o ključnih kazalnikih uspešnosti in razvili nove rešitve za boljše delovanje družbe BTC.
Pri razvoju inovativnega okolja in nenehnem generiranju novih digitalnih rešitev igra ključno vlogo v letu 2015 ustanovljeni ABC pospeševalnik. Ta poleg osnovne dejavnosti, pomoči mladim inovativnim podjetjem, povezuje še mednarodne investitorje, strokovnjake z različnih področij ter v sodelovanju z zrelimi podjetji tvori ekosistem poslovnega povezovanja in stalnih inovacij.
V letu 2017 pričakujemo močno pozicioniranje skozi programa pospeševanja za korporacije (ABC Corpo Accelerator), ki ga izvaja ABC pospeševalnik in ki velikim ter srednje velikim podjetjem omogoča spoznavanje start-upovske miselnosti, novih poslovnih modelov in izgradnjo zavedanja o potrebi nenehnih inovacij. Podjetja bodo po končanem programu skupaj z družbo BTC vzpostavila trajno okolje za spodbujanje inovacij ter bodo lahko novonastale rešitve tudi testirala v realnem okolju BTC Cityja Ljubljana.
V današnjem kompleksnem svetu se vedno bolj pojavlja potreba podjetij po nenehnem inoviranju in hitrem testiranju novih rešitev v realnem okolju.
V našem inovativnem mestu zato vpeljujemo koncept »živega laboratorija« oziroma t. i. BTC City Living Lab. Bogata in razvejana infrastruktura BTC Cityju Ljubljana namreč omogoča oblikovanje testnega okolja za najsodobnejše tehnologije na ključnih področjih pametnih mest (t. i. »Smart Cities«).
BTC City Living Lab bo stičišče inovativne energije, kjer se bodo oblikovale nove rešitve za izboljšanje obstoječih poslovnih procesov in za kreiranje novih. Living Lab bo domačim in tujim podjetjem omogočil, da v BTC Cityju Ljubljana testirajo novonastale rešitve in nadaljujejo z inoviranjem, svojim strankam pa bodo lahko te rešitve tudi predstavila. S svojo široko paleto raznolikih dejavnosti, številnimi poslovnimi partnerji in 21 milijoni obiskovalcev letno je BTC City Ljubljana idealno mesto za vzpostavitev testnega okolja ter sodelovanja s podjetji pri preobrazbi njihovega poslovanja v smeri digitalizacije in nenehnega inoviranja.
Tako se BTC poleg obstoječih ključnih stebrov poslovanja lahko pozicionira v novi vlogi t.i. Business Transformation Centra, kjer skupaj s partnerskimi podjetji ustvarja dodano vrednost v okviru strategije "odprte družbe". Preko ekosistema ABC pospeševalnika, ki od letošnjega leta posluje tudi v Münchnu in San Joseju, bomo lahko najboljše skupne rešitve lansirali svetu.

Z digitalizacijo v varno prihodnost, Robert Serec, Pomurske mlekarne d.d.