Konferencja: „ISACA ransomware protect & response – jak nie stać się ofiarą niezamówionych testów bezpieczeństwa„

Wraz z upowszechnieniem komputerów i przekazaniem Internetu do cywilnego użytku, w części krajów zaczęto zwracać uwagę na kwestie bezpieczeństwa użytkowników oraz zagrożenia wynikające z wykorzystania możliwości jakie daje dostęp do informacji na niespotykaną dotychczas skalę oraz powszechna komunikacja każdego z każdym. Jak poważne były to zagrożenia pokazały m.in. zdarzenia z 11 września 2001 roku oraz łatwość z jaką Snowden (a potem jego naśladowcy) wszedł w posiadanie ściśle tajnych informacji. Pokazało to również jak bardzo niepewne jest nasze prawo do prywatności i poufności komunikacji.

Zdarzenia te wywarły duży wpływ na zwiększenie powszechnej świadomości jak ważne jest cyberbezpieczeństwo. Liczne frameworks opracowywane przez organizacji prywatne i publiczne, takie jak m.in. NIST, COBIT, ISO serii 27xxx, PCI-DSS, SOC2, CIS Controls pomagają w codziennej pracy specjalistów od cybersecurity. Problemem wiele lat temu zajęły się również unijne instytucje. W 2016 roku na podstawie art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) uchwalona została dyrektywa PE i Rady 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii zwana w skrócie NIS. Jej celem było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa. Powołana została ENISA - Agencja Unii Europejskiej ds. Cyberbezpieczeństwa. Jednak postęp technologiczny powoduje – co jest naturalne - iż wiele zagrożeń pojawia się znacznie szybciej niż pojawiają się regulacje mające pomagać w zapobieganiu i walce z tymi zagrożeniami. By lepiej reagować na cyberzagrożenia a tym samym zwiększyć szanse na właściwe zapobieganie zagrożeniom, zabezpieczanie sieci i systemów informatycznych oraz szybsze i lepsze reagowanie na incydenty cyberbezpieczeństwa, w dniu 10 listopada 2022 roku została przyjęta przez Parlament Europejski a w dniu 16 stycznia 2023 roku weszła w życie dyrektywa NIS2. Państwa UE mają czas na implementację przepisów dyrektywy do 18 października 2024 roku. Obowiązki i zadania określone w tych przepisach odnoszą się zarówno do państw członkowskich UE jak i do przedsiębiorców prywatnych i publicznych oraz podmiotów administracji publicznej. Postanowienia dyrektywy NIS2 poza uszczegółowieniem i rozszerzeniem zadań i obowiązków sprecyzowanych w dyrektywie NIS, wprowadzają szereg zmian z których dwie mają zasadnicze znaczenie:

  • regulacje NIS2 rozszerzają w istotny sposób zakres podmiotowy o nowe sektory, wcześniej nie objęte przez przepisy dyrektywy NIS, jednocześnie zmieniając sposób i tryb kwalifikacji podmiotów zaliczanych do najistotniejszych z punktu widzenia cyberbezpieczeństwa;
  • przepisy dyrektywy określają wprost warunki nakładania administracyjnych kar pieniężnych na podmioty kluczowe i ważne oraz ustalają ich maksymalny pułap (w dyrektywie NIS w art.21 określono jedynie wskazanie, iż należy ustanowić przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych na podstawie dyrektywy NIS).
Obowiązująca w Polsce ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 r., nie doczekała się istotnej nowelizacji (chociażby w zakresie uchwalenia niezbędnych przepisów wynikających z rozporządzenia PE i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013). Projekt rządowy UD68 – projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, po ponad 2,5 roku prac rządowych został skierowany do prac parlamentarnych jednak został wycofany z Sejmu na początku września 2023. Polska ma teraz niecały rok by opracować projekt stanowiący zarówno implementację dyrektywy NIS2 jak i dostosowanie krajowych przepisów do wymagań aktu o cyberbezpieczeństwie.


Organizator

Instytut Prawa Nowych Technologii i Ochrony Danych Osobowych

Misją Instytutu Prawa Nowych Technologii jest podejmowanie prac naukowo-badawczych na rzecz poprawy jakości i transparentności tworzenia oraz stosowania prawa w zakresie nowych technologii.
ipnt.lazarski.pl


Harmonogram

15:15 15:45

Wpływ unijnych i krajowych aktów prawnych na zwiększenie cyberbezpieczeństwa

Mgr Marek Konior (Uczelnia Łazarskiego) - prawnik specjalizujący się w prawie komunikacji elektronicznej, cyberbezpieczeństwie, ochronie danych osobowych oraz zapobieganiu i zwalczaniu nadużyć w komunikacji elektronicznej

 

15:45 16:30

ISACA Ransomware Incident Management

prezentacje zestawu wytycznych ograniczających straty w przypadku skutecznego ataku typu ransomware oraz usystematyzowany sposób zarządzenia procesem obsługi ataku typu ransomware

Adam Mizerski - Prezes ISACA Katowice Chapter, IT Audit Manager VeloBank

 

16:30 17:00

Jak przygotować się do ataku ransomware, a jak się nie uda to jak przekuć totalną porażkę (skuteczny atak ransomware) w umiarkowany sukces

omówienie praktycznych wskazówek prelegenta będącego wsparciem w obsłudze incydentów dotyczące minimalizowania negatywnych skutków ataku i transformowania totalnej porażki w umiarkowany sukces.

Robert Bigos - Członek Zarządu, ISACA Katowice Chapter

17:00 17:30

Cele badania cyberodporności podmiotów prowadzących działalność leczniczą, techniki pozyskania informacji i wstępne obserwacje

zapowiedź raportu, który pojawi się w połowie 2 kw. 2024. Oszacowanie poziomu cyberbezpieczeństwa podmiotów prowadzących działalność leczniczą zarejestrowaną w Rejestrze Podmiotów Wykonujących Działalność Leczniczą, którego właścicielem jest Ministerstwo Zdrowia przetwarzanym przez Centrum e-Zdrowia. Stowarzyszenie audytorów bezpieczeństwa informacji oraz przedstawiciele nauki wsparciem w dookreśleniu problemu z jakim się zmagamy. Pragniemy czynnie służyć wsparciem w zakresie budowania niezbędnej „higieny cyberodporności” po stronie regulatora rynku, podmiotów centralnych oraz podmiotów wykonujących działalność leczniczą.

Robert Bigos - Członek Zarządu, ISACA Katowice Chapter

Rejestracja

Prelegenci

Marek Konior

prawnik specjalizujący się w prawie komunikacji elektronicznej, cyberbezpieczeństwie, ochronie danych osobowych oraz zapobieganiu i zwalczaniu nadużyć w komunikacji elektronicznej. Zdobyte doświadczenia w obszarach biznesowych, operacyjnych, technicznych i regulacyjnych w sektorze „nowych technologii” wykorzystuje w doradztwie na rzecz podmiotów tego sektora w tym w zakresie rozwiązywania sporów pomiędzy podmiotami rynku komunikacji elektronicznej zarówno na etapie mediacji oraz na etapie sądowym. W latach 1991 – 2010 zdobywał doświadczenie zawodowe w firmach branży telekomunikacyjnej i informatycznej. Kierował zespołem prawników oraz ekspertów i Key Account Managerów jako Dyrektor Departamentu Regulacji i Relacji Międzyoperatorskich w Energis Polska odpowiadając za obszar współpracy międzyoperatorskiej na rynku krajowym i międzynarodowym a także za obszar regulacji, biorąc aktywny udział w opiniowaniu i tworzeniu prawnych regulacji branżowych, działając w izbach gospodarczych i występując jako prelegent na konferencjach. W latach 2011-2019 jako ekspert świadczył usługi doradcze w zakresie analizy ryzyka oraz brał udział w procesach M&A oraz due dilligence na rynku telco. Posiada certyfikaty ACO (Compliance), Professional Internal Controller oraz PRINCE2 i AgilePM.

Adam Mizerski

Prezes ISACA Katowice Chapter, IT Audit Manager VeloBank. Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod oceny zintegrowanej (PN-ISO/IEC 27005/COBIT Risk IT/COSO) analizy ryzyka czego efektem ubocznym są prowadzone na własnej osobie badania terenowe z analizy ryzyk podczas uprawiania sporów uznawanych za ekstremalne. Audytor systemów teleinformatycznych, ekspert ds. bezpieczeństwa oraz spełniony „karbowy XXI wieku” zarządzający przez wiele lat działem IT zgodnie z filozofią ITIL. W latach 2010-2016 biegły sądowy z zakresu informatyki przy Sądzie Okręgowym w Katowicach. Specjalista z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości spółek giełdowych realizowanych według wartości godziwej na potrzeby przygotowania sprawozdań finansowych według wymogów MSR / MSSF. Kierujący Zespołem Audytu Systemów Informatycznych w Departamencie Audytu Wewnętrznego VeloBank S.A.

Robert Bigos

Członek Zarządu, ISACA Katowice Chapter. Praktyk z ponad trzydziestoletnie doświadczenie zawodowym w branży IT i biznesie.  Wiele lat pracował dla korporacji wspierając klientów o wysokim poziomie wymagań w obszarze dostępności i poufności informacji. Posiada doświadczenie w sektorze publicznym, bankowym, telekomunikacyjnym oraz w branży FMCG. Obecnie na co dzień wspiera swoich klientów w kompleksowej obsłudze projektów problemowych lub w sytuacjach krytycznych np. w obsłudze incydentów cyberbezpieczeństwa. W projektach angażuje się w różne role: audytora, architekta korporacyjnego lub menadżera sytuacji kryzysowej. Posiada certyfikaty: Enterprise Architect (TOGAF) i audytora (CISA/ISACA).