KONFERENCJA NAUKOWA: IT-FORUM 2000 "BEZPIECZEŃSTWO
Transkrypt
KONFERENCJA NAUKOWA: IT-FORUM 2000 "BEZPIECZEŃSTWO
KONFERENCJA NAUKOWA: IT-FORUM 2000 "BEZPIECZEŃSTWO - BYĆ NA BIEŻĄCO", WARSZAWA 1819.10.2000 (KONFERENCJA WSPIERANA PRZEZ KOMITET BADAŃ NAUKOWYCH) W dniach 18.19.10.2000 r. pod hasłem „Bezpieczeństwo - być na bieżąco" odbyła się kolejna edycja konferencji SECURE 2000 zorganizowanej przez PC Kurier, Net Forum oraz NASK. Konferencja SECURE wspierana jest przez Komitet Badań Naukowych. Do wygłoszenia prezentacji w tegorocznej edycji konferencji SECURE zaproszono niezależnych ekspertów, specjalistów w zakresie bezpieczeństwa systemów teleinformatycznych oraz partnerów sponsorujących Clico, DataStar, Nortel Networks i Novell. Na program konferencji składały się sesje plenarne oraz dwa bloki tematyczne, menedżerski i techniczny - szczegółowy program konferencji. W pierwszej prezentacji dotyczącej bezpieczeństwa systemów teleinformatycznych w rozwiniętym społeczeństwie informacyjnym - prof. Andrzej Wierzbicki z Instytutu Łączności zwrócił uwagę na megatrendy cywilizacji informacyjnej. Wskazał na różne uwarunkowania społeczne i ekonomiczne rozwoju nowych technologii i wdrażania pojawiających się trendów wskazując jako przykłady telewizję cyfrową oraz telefonię komórkową. Mówiąc o bezpieczeństwie informacji jako jednym z megatrendów cywilizacji informacyjnej prof. Wierzbicki zwrócił uwagę na jego aspekty techniczne, społeczne i intelektualne. Wskazał na integrację systemów teleinformatycznych jako przyczynę, która problemy bezpieczeństwa fizycznego odsunęła niejako na drugie miejsce. Dziś bowiem znacznie ważniejsze jest tzw. bezpieczeństwo systemowe, na które składają się odpowiednie techniki komputerowe. Pomimo jednak ogromnego rozwoju technik oprogramowania dla zabezpieczeń informacji oraz kryptografii, który dokonał się w ostatnim dwudziestoleciu nadal brak jest w pełni zadawalających rozwiązań. Na zakończenie prof. Wierzbicki stwierdził, że megatrendy cywilizacji informacyjnej niosą liczne wyzwania; jeśli im nie sprostamy, jeśli będziemy się uporczywie trzymać utartego sposobu widzenia świata, to nie zapobiegniemy niebezpieczeństwom, wynikającym z nowych technologii. Stwierdził również, iż jednym z najważniejszych takich wyzwań jest bezpieczeństwo i ochrona informacji oraz ochrona prywatności. W drugiej prezentacji o problemie bezpieczeństwa informacji oraz o problemach związanych z zarządzaniem bezpieczeństwem rozbudowanego korporacyjnego systemu teleinformatycznego mówił Pan Krzysztof M. Święcicki. W wystąpieniu poruszony został problem optymalizacji nakładów na zabezpieczenia. Zapewnienia bezpieczeństwa jest bowiem kosztowne, nie można również całkowicie wyeliminować zagrożeń i ryzyka na jakie narażone są tzw. aktywa informacyjne jednostki. W strukturę systemu bezpieczeństwa zawsze są również zaangażowani ludzie - czynnik niewątpliwie najistotniejszy w zapewnianiu bezpieczeństwa a przy tym jednocześnie najtrudniej kontrolowalny. Problemom ochrony danych w tym przede wszystkim ochrony danych osobowych poświęcony był blok menedżerski w pierwszym dniu konferencji. W bloku tym jako pierwszy wystąpił dr inż. Andrzej Kaczmarek z Biura Generalnego Inspektora Ochrony Danych Osobowych z prezentacją zatytułowaną „Problemy ochrony danych osobowych". W wystąpieniu, po krótkim zasygnalizowaniu podstaw prawnych ochrony danych osobowych w Europie i w Polsce, zwrócono uwagę na problemy związane z ochrona danych osobowych w systemach informatycznych w tym w szczególności systemów korzystających z usług internetowych. O problemach związanych z niektórymi pojęciami zdefiniowanym w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133 poz. 883) mówił Pan Wacław Zimny Konsultant i audytor z zakresu ochrony danych osobowych. W prezentacji „Wybrane problemy na styku prawa i informatyki na przykładzie ustawy o ochronie danych osobowych", autor stwierdził, że ochrona danych osobowych jest klasycznym przykładem styku prawa i informatyki, co samo z siebie nastręcza wiele trudności pojęciowych i praktycznych. W wystąpieniu swoim starał się wyjaśnić pojęcia dane osobowe, przetwarzanie danych osobowych oraz zbiór danych. Podając przykład konkretnej sprawy autor wskazał na potrzebę uściślenia i przeglądu stosowanej terminologii w polskim prawie i normach informatycznych. O ochronie danych osobowych oraz tajemnicy telekomunikacyjnej w kontekście nowego prawa telekomunikacyjnego, które wejdzie w życie 1 stycznia 2000 r. mówił w swojej prezentacji dr Andrzej Adamski z Uniwersytetu Mikołaja Kopernika w Toruniu. Autor zwrócił uwagę głównie na obowiązki operatorów i dostawców usług telekomunikacyjnych do zachowania tajemnicy telekomunikacyjnej oraz dostępie policji i Urzędu Ochrony Państwa do danych objętych tą tajemnicą. Autor zasygnalizował pewne luki w treści art. 129 i 130 ustawy - Prawo telekomunikacyjne, w których ustawodawca zobowiązuje „operatora" usług telekomunikacyjnych do ujawnienia policji i UOP posiadanych informacji pozostawiając „dostawców usług telekomunikacyjnych" poza tym obowiązkiem. Podczas gdy w przypadku usług internetowych, informacje niezbędną policji i UOP do ścigania przestępstw komputerowych posiadają przede wszystkim dostawcy usług telekomunikacyjnych a nie operatorzy. W pozostałych wystąpieniach omawiano głównie zagadnienia związane z normalizacją zabezpieczeń, architekturą systemów bezpieczeństwa, wykrywaniem incydentów oraz nowymi technologiami budowy bezpiecznych systemów informatycznych. Pokazano konkretne przypadki włamań do systemów komputerowych IKEA, OPEC oraz firmy Bloomberg. Mając na uwadze ciągle rosnące zagrożenia wskazano na potrzebę utworzenia centrum informacyjnego o zagrożeniach jako podmiotu wspierającego różne jednostki w zakresie budowy bezpiecznych systemów informatycznych i utrzymaniu ich bezpieczeństwa na odpowiednim poziomie. Nie da się bowiem, co wielokrotnie podkreślano, zbudować bezpiecznego systemu informatycznego, którego poziom bezpieczeństwa byłby niezmienny w czasie eksploatacji.