Odpowiedzialność karna uczestników programów bug bounty

Przez sieć co jakiś czas przelewa się fala dyskusji o "nielegalności" wyszukiwania luk w systemach informatycznych. Polskie prawo, w powszechnej opinii, penalizuje każdy taki przypadek.
Cyberbezpieczeństwo w polskich bankach

Adam opublikował dzisiaj informację o potężnych włamaniach do szeregu działających w Polsce banków.
Również dzisiaj (zbieżność ZUPEŁNIE przypadkowa) złożyłem na Wydziale Zarządzania Politechniki Warszawskiej swoją rozprawę doktorską pt. "Zarządzanie Bezpieczeństwem Informacji w bankach wielonarodowych w Polsce".

Podsumowanie panelu "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji"

22 listopada miałem przyjemność prowadzić panel dyskusyjny podczas konferencji PolCAAT 2016 organizowanej przez IIA. W trakcie bardzo interesującej (moim, bardzo subiektywnym zdaniem) dyskusji poruszyliśmy kilka tematów, które (w przypadkowej kolejności) postanowiłem zamieścić w niniejszym podsumowaniu:

Cyber Kill Chain - po polsku

Jakiś czas temu, przy okazji jednego z tematów potrzebowałem polskiego opisu Cyber Kill Chain. Nie znalazłem, więc przetłumaczyłem i wrzucam poniżej. Może i wam się przyda.
Ten opracowany przez Lockheed Martin ciąg podkreśla, że atak cybernetyczny składa się z 7 faz i tym samym organizacje mogą i powinny mieć kolejne możliwości wykrycia i powstrzymania ataku.
Kolejne fazy cyberataku to:

Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroli

Kilka dni temu NIK wydała polskie tłumaczenie przygotowanego przez INTOSAI Podręcznika kontroli systemów informatycznych dla najwyższych organów kontroli.

Warto o tym wiedzieć - są to obecnie drugie oficjalne (po Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych opublikowanych rok temu przez MC) wytyczne jak należy kontrolować systemy teleinformatyczne w jednostkach administracji publicznych.

Dokumenty są proste, ale zdecydowanie pomagają zrobić I krok nowicjuszom w zakresie weryfikacji funkcjonowania oraz nadzoru nad systemami teleinformatycznymi.


5 typowych błędów w raportach z audytu

Bardzo często w ramach prac mam okazję oglądać różne raporty z przeprowadzonych audytów. Często zdarza się więc, że niekoniecznie jestem zachwycony tym co widzę. Nie chodzi tu w tym wypadku o merytorykę - tutaj niekiedy pokutuje kryterium najniższej ceny. W tym momencie mam na myśli samą czytelność dokumentu.
Przygotowanie raportu z audytu często jest traktowane jako najbardziej żmudna, wnosząca dyskusyjną wartość część audytu. W końcu wszystkie luki i tak zostały wykryte, w trakcie audytu powiedziano o tym co trzeba naprawić. Po co więc męczyć się z raportem - słyszałem (naprawdę) kilka razy. Na temat raportowania mam zupełnie inne zdanie. Otóż produktem pracy audytora, czyli czymś materialnym za co nam się płaci jest dokument - raport. Już z tego powodu warto się przyłożyć do prac, by klient mógł zobaczyć wysoką jakość usługi. I by z przyjemnością zaczął korzystać z wyników naszej pracy
Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji

22 listopada, podczas XXI konferencji PolCAAT będę mieć przyjemność prowadzić panel dyskusyjny pt. "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji".
W sytuacji, gdy coraz szerzej wymieniamy dane z zewnętrznymi podmiotami, czy polegamy na ich usługach jako kluczowych dla działania naszego biznesu, zagadnienie to staje się nie trywialne.

Nowe kierunki prac - normalizacyjnych, standaryzacyjnych

W ubiegłym tygodniu Ministerstwo Gospodarki poprosiło szereg organizacji o wsparcie w przygotowaniu uwag do dokumentu " Wielostronnej Platformy do spraw Standaryzacji Technologii Informacyjno-Komunikacyjnych" w zakresie rekomendowanie standardów w celu zapewnienia interoperacyjności rozwiązań i systemów wykorzystujących technologie informacyjno-komunikacyjne. Nie będę szerzej komentować tego, że de facto dostaliśmy 1 dzień na przygotowanie uwag do dokumentu, który koncentrował się JEDYNIE na takich obszarach jak: