Na Invexu pod praporem bezpečnosti

Security Invex je název již tradiční bezpečnostní konference, která se koná (jak již sám název napovídá) v rámci brněnského veletrhu informačních a komunikačních technologií. Letos proběhla hned první den, v pondělí 9. října 2006.



Konference se stala místem setkání předních českých odborníků se zájemci z řad široké odborné i laické veřejnosti. Kdo čekal nezáživné firemní prezentace, "odpovídající ceně konference" (podotýkáme, že vstup byl po předchozí registraci zdarma), musel být zklamán. Informační bezpečnost je vzácným oborem, kde lektoři pochopili, že posluchače těžko "opijí rohlíkem" a že nejlepší cesta k získání jeho srdce vede přes skutečně kvalitní informace. Konkurence na trhu je dostatečně široká, takže rozdíl mezi odborníkem a "marketingovým specialistou" je skutečně znát.
Úvodní prezentaci si vzal na starost pan Radek Smolík ze společnosti Symantec s přednáškou "Strategie podnikové bezpečnosti". Nová doba přináší nové požadavky na celou informační bezpečnost, která je nejen nesmírně rozsáhlá - ale už jen vypracování koncepce představuje nelehký úkol. Protože bez kvalitní koncepce můžeme následně bezpečnost jen látat, látat a látat a pokoušet se "ucpat" nedostatky, na něž jsme na počátku zapomněli. Nejen toto se posluchač mohl dozvědět v úvodní přednášce. Věděli jste například, že jeden z padesáti souborů obsahuje citlivé informace, stejně jako každý čtyřstý e-mail?
Ve druhé prezentaci vyzval pan Vladimír Brož: "Snižte složitost řízení bezpečnosti!" Jeho vystoupení bylo postaveno na základní a bohužel pravdivé myšlence: kdo se má v ochraně před viry, phishingem, hackery, "vnitřním nepřítelem", spamem, zranitelnostmi apod. vyznat? Poukázal na jasný trend poslední doby: není důležité, od koho máte bezpečnostní program, ale jak jste schopni bezpečnost řídit. Tedy jak dosáhnout toho, aby vás naopak neřídila (= nezametala s vámi ode zdi ke zdi) záplava incidentů...
Třetím v pořadí byl Petr Zahradníček s přednáškou "Windows/Office Exploity", tedy zranitelnosti v nejrozšířenějším operačním systému a nejrozšířenější kancelářské aplikaci. Nabídl rozhodně zajímavý pohled na tuto skupinu problémů očima bezpečnostního specialisty. Neboť právě zranitelnosti jsou nejčastějším cílem útoků hackerů či virů - proč by se někdo snažil vymyslet již vymyšlené, když je na celém světě dost nezáplatovaných počítačů?
Následovala "Proaktivní ochrana před viry, červy, spywarem a dalšími hrozbami" v podání Filipa Navrátila z PCS Software. Je totiž smutnou pravdou, že v dnešní době už pouhá reakce na incidenty nestačí, protože přichází pozdě. Problémům je nutné aktivně předcházet a udělat vše pro to, aby pokud možno nevznikly. Protože nejlepší bezpečnostní incident je takový, který vůbec nenastane. Jedině řešení schopné postavit se nově příchozím hrozbám čelem má dnes naději na úspěch - proto zapomeňte na deset let staré filozofie: "pravidelné aktualizace rovnají se bezpečí".
Mnohoslibný název měla i přednáška "Microsoft: staronový hráč na poli informační bezpečnosti" v podání Tomáše Přibyla. V podstatě se její obsah dá shrnout do lakonického konstatování, že největší světový výrobce softwaru se rozhodl vstoupit na další trh. A to právě na trh s bezpečnostními produkty a službami. To je rozhodně zajímavá informace a neméně zajímavé bude také sledovat, jak na tomto vysoce konkurenčním trhu obstojí. Vždyť označení "Microsoft" nebo "Windows" bylo dlouhé roky považováno za synonymum ignorování bezpečnosti. Situace se ale v posledních letech mění - a konfrontace nového silného hráče na trhu s ostřílenými matadory může být rozhodně zajímavá!
O tom, že "Standardizace je důležitým spojencem bezpečnosti" přesvědčil posluchače Ivan Habovčík ze společnosti APC. Svoji prezentaci postavil na úplně jiných základech než ostatní lektoři. Tedy ne na softwarovém či jiném boji s viry a hackery, ale na faktu, že základem informační bezpečnosti jsou data a kontinuita provozu. Tuto koncepci představil na příkladu datového centra - málokdy si totiž uvědomujeme, že právě dostupnost dat do oblasti informační bezpečnosti neoddiskutovatelně patří!
Spíše teoretickou (leč nikoliv nudnou či nezajímavou) přednášku prezentoval Doc. RNDr. Milan Berka, CSc. ze společnosti Safenet. Jejím tématem byly "Praktické zkušenosti z implementace systémů řízení informační bezpečnosti a řešení bezpečnostních incidentů v praxi". V podstatě se věnovala systémům řízení informační bezpečnosti, což rozhodně není jen nějaká "bumážka" k uspokojení auditorů nebo nadřízených. Nicméně se jedná o celý proces řízení informační bezpečnosti, neboť "štěstí přeje připravenému". Jinými slovy: počítáme-li s bezpečnostním incidentem a chováme se podle toho, vycházíme z něj jako vítězové. Jeho následky jsou minimální, naše prostoje rovněž, návrat k původnímu stavu je rychlý...
Na závěr vystoupil Pavel Náplava (Strom B--Systems) s prezentací Endpoint Security, aneb bezpečnost z pohledu koncového bodu. Přednáška pěkně a jasně formulovala skutečnosti, které tušíme nebo považujeme za samozřejmé - ale jež si prostě často neuvědomíme. Třeba základní poučka: "Jak vybírat správné řešení" - nejprve je třeba definovat, co a proč potřebujeme. Že je to naprosto logické a samozřejmé? A kdy jste naposledy přesně takto postupovali?
Kdo vydržel na konferenci Security Invex až do konce, mohl získat některou z desítek cen v tombole. Ale to byla jen taková třešnička na dortu jinak mimořádně povedené akce. Na závěr si proto neodpustím možná otřepané, ale výstižné klišé: "Na shledanou na Security Invex 2007!"










Komentáře