KONFERENCJA NAUKOWA: IT-FORUM 2000 "BEZPIECZEŃSTWO

KONFERENCJA NAUKOWA:
IT-FORUM 2000 "BEZPIECZEŃSTWO - BYĆ NA BIEŻĄCO", WARSZAWA
1819.10.2000 (KONFERENCJA WSPIERANA PRZEZ KOMITET BADAŃ
NAUKOWYCH)
W dniach 18.19.10.2000 r. pod hasłem „Bezpieczeństwo - być na bieżąco" odbyła się kolejna
edycja konferencji SECURE 2000 zorganizowanej przez PC Kurier, Net Forum oraz NASK.
Konferencja SECURE wspierana jest przez Komitet Badań Naukowych. Do wygłoszenia prezentacji w
tegorocznej edycji konferencji SECURE zaproszono niezależnych ekspertów, specjalistów w zakresie
bezpieczeństwa systemów teleinformatycznych oraz partnerów sponsorujących Clico, DataStar, Nortel
Networks i Novell.
Na program konferencji składały się sesje plenarne oraz dwa bloki tematyczne, menedżerski i
techniczny - szczegółowy program konferencji.
W pierwszej prezentacji dotyczącej bezpieczeństwa systemów teleinformatycznych w rozwiniętym
społeczeństwie informacyjnym - prof. Andrzej Wierzbicki z Instytutu Łączności zwrócił uwagę na
megatrendy cywilizacji informacyjnej. Wskazał na różne uwarunkowania społeczne i ekonomiczne
rozwoju nowych technologii i wdrażania pojawiających się trendów wskazując jako przykłady telewizję
cyfrową oraz telefonię komórkową. Mówiąc o bezpieczeństwie informacji jako jednym z megatrendów
cywilizacji informacyjnej prof. Wierzbicki zwrócił uwagę na jego aspekty techniczne, społeczne i
intelektualne. Wskazał na integrację systemów teleinformatycznych jako przyczynę, która problemy
bezpieczeństwa fizycznego odsunęła niejako na drugie miejsce. Dziś bowiem znacznie ważniejsze jest
tzw. bezpieczeństwo systemowe, na które składają się odpowiednie techniki komputerowe. Pomimo
jednak ogromnego rozwoju technik oprogramowania dla zabezpieczeń informacji oraz kryptografii, który
dokonał się w ostatnim dwudziestoleciu nadal brak jest w pełni zadawalających rozwiązań.
Na zakończenie prof. Wierzbicki stwierdził, że megatrendy cywilizacji informacyjnej niosą liczne
wyzwania; jeśli im nie sprostamy, jeśli będziemy się uporczywie trzymać utartego sposobu widzenia
świata, to nie zapobiegniemy niebezpieczeństwom, wynikającym z nowych technologii. Stwierdził
również, iż jednym z najważniejszych takich wyzwań jest bezpieczeństwo i ochrona informacji oraz
ochrona prywatności.
W drugiej prezentacji o problemie bezpieczeństwa informacji oraz o problemach związanych z
zarządzaniem bezpieczeństwem rozbudowanego korporacyjnego systemu teleinformatycznego mówił
Pan Krzysztof M. Święcicki. W wystąpieniu poruszony został problem optymalizacji nakładów na
zabezpieczenia. Zapewnienia bezpieczeństwa jest bowiem kosztowne, nie można również całkowicie
wyeliminować zagrożeń i ryzyka na jakie narażone są tzw. aktywa informacyjne jednostki. W strukturę
systemu bezpieczeństwa zawsze są również zaangażowani ludzie - czynnik niewątpliwie najistotniejszy w
zapewnianiu bezpieczeństwa a przy tym jednocześnie najtrudniej kontrolowalny.
Problemom ochrony danych w tym przede wszystkim ochrony danych osobowych poświęcony
był blok menedżerski w pierwszym dniu konferencji. W bloku tym jako pierwszy wystąpił dr inż.
Andrzej Kaczmarek z Biura Generalnego Inspektora Ochrony Danych Osobowych z prezentacją
zatytułowaną „Problemy ochrony danych osobowych". W wystąpieniu, po krótkim zasygnalizowaniu
podstaw prawnych ochrony danych osobowych w Europie i w Polsce, zwrócono uwagę na problemy
związane z ochrona danych osobowych w systemach informatycznych w tym w szczególności systemów
korzystających z usług internetowych.
O problemach związanych z niektórymi pojęciami zdefiniowanym w ustawie z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz.U. Nr 133 poz. 883) mówił Pan Wacław Zimny Konsultant i audytor z zakresu ochrony danych osobowych. W prezentacji „Wybrane problemy na styku
prawa i informatyki na przykładzie ustawy o ochronie danych osobowych", autor stwierdził, że ochrona
danych osobowych jest klasycznym przykładem styku prawa i informatyki, co samo z siebie nastręcza
wiele trudności pojęciowych i praktycznych. W wystąpieniu swoim starał się wyjaśnić pojęcia dane
osobowe, przetwarzanie danych osobowych oraz zbiór danych. Podając przykład konkretnej sprawy
autor wskazał na potrzebę uściślenia i przeglądu stosowanej terminologii w polskim prawie i normach
informatycznych.
O ochronie danych osobowych oraz tajemnicy telekomunikacyjnej w kontekście nowego prawa
telekomunikacyjnego, które wejdzie w życie 1 stycznia 2000 r. mówił w swojej prezentacji dr Andrzej
Adamski z Uniwersytetu Mikołaja Kopernika w Toruniu. Autor zwrócił uwagę głównie na obowiązki
operatorów i dostawców usług telekomunikacyjnych do zachowania tajemnicy telekomunikacyjnej oraz
dostępie policji i Urzędu Ochrony Państwa do danych objętych tą tajemnicą. Autor zasygnalizował
pewne luki w treści art. 129 i 130 ustawy - Prawo telekomunikacyjne, w których ustawodawca
zobowiązuje „operatora" usług telekomunikacyjnych do ujawnienia policji i UOP posiadanych informacji
pozostawiając „dostawców usług telekomunikacyjnych" poza tym obowiązkiem. Podczas gdy w
przypadku usług internetowych, informacje niezbędną policji i UOP do ścigania przestępstw
komputerowych posiadają przede wszystkim dostawcy usług telekomunikacyjnych a nie operatorzy.
W pozostałych wystąpieniach omawiano głównie zagadnienia związane z normalizacją
zabezpieczeń, architekturą systemów bezpieczeństwa, wykrywaniem incydentów oraz nowymi
technologiami budowy bezpiecznych systemów informatycznych. Pokazano konkretne przypadki włamań
do systemów komputerowych IKEA, OPEC oraz firmy Bloomberg.
Mając na uwadze ciągle rosnące zagrożenia wskazano na potrzebę utworzenia centrum
informacyjnego o zagrożeniach jako podmiotu wspierającego różne jednostki w zakresie budowy
bezpiecznych systemów informatycznych i utrzymaniu ich bezpieczeństwa na odpowiednim poziomie. Nie
da się bowiem, co wielokrotnie podkreślano, zbudować bezpiecznego systemu informatycznego, którego
poziom bezpieczeństwa byłby niezmienny w czasie eksploatacji.