Podsumowanie panelu "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji"

22 listopada miałem przyjemność prowadzić panel dyskusyjny podczas konferencji PolCAAT 2016 organizowanej przez IIA. W trakcie bardzo interesującej (moim, bardzo subiektywnym zdaniem) dyskusji poruszyliśmy kilka tematów, które (w przypadkowej kolejności) postanowiłem zamieścić w niniejszym podsumowaniu:

Cyber Kill Chain - po polsku

Jakiś czas temu, przy okazji jednego z tematów potrzebowałem polskiego opisu Cyber Kill Chain. Nie znalazłem, więc przetłumaczyłem i wrzucam poniżej. Może i wam się przyda.
Ten opracowany przez Lockheed Martin ciąg podkreśla, że atak cybernetyczny składa się z 7 faz i tym samym organizacje mogą i powinny mieć kolejne możliwości wykrycia i powstrzymania ataku.
Kolejne fazy cyberataku to:

Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroli

Kilka dni temu NIK wydała polskie tłumaczenie przygotowanego przez INTOSAI Podręcznika kontroli systemów informatycznych dla najwyższych organów kontroli.

Warto o tym wiedzieć - są to obecnie drugie oficjalne (po Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych opublikowanych rok temu przez MC) wytyczne jak należy kontrolować systemy teleinformatyczne w jednostkach administracji publicznych.

Dokumenty są proste, ale zdecydowanie pomagają zrobić I krok nowicjuszom w zakresie weryfikacji funkcjonowania oraz nadzoru nad systemami teleinformatycznymi.


5 typowych błędów w raportach z audytu

Bardzo często w ramach prac mam okazję oglądać różne raporty z przeprowadzonych audytów. Często zdarza się więc, że niekoniecznie jestem zachwycony tym co widzę. Nie chodzi tu w tym wypadku o merytorykę - tutaj niekiedy pokutuje kryterium najniższej ceny. W tym momencie mam na myśli samą czytelność dokumentu.
Przygotowanie raportu z audytu często jest traktowane jako najbardziej żmudna, wnosząca dyskusyjną wartość część audytu. W końcu wszystkie luki i tak zostały wykryte, w trakcie audytu powiedziano o tym co trzeba naprawić. Po co więc męczyć się z raportem - słyszałem (naprawdę) kilka razy. Na temat raportowania mam zupełnie inne zdanie. Otóż produktem pracy audytora, czyli czymś materialnym za co nam się płaci jest dokument - raport. Już z tego powodu warto się przyłożyć do prac, by klient mógł zobaczyć wysoką jakość usługi. I by z przyjemnością zaczął korzystać z wyników naszej pracy
Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji

22 listopada, podczas XXI konferencji PolCAAT będę mieć przyjemność prowadzić panel dyskusyjny pt. "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji".
W sytuacji, gdy coraz szerzej wymieniamy dane z zewnętrznymi podmiotami, czy polegamy na ich usługach jako kluczowych dla działania naszego biznesu, zagadnienie to staje się nie trywialne.

Nowe kierunki prac - normalizacyjnych, standaryzacyjnych

W ubiegłym tygodniu Ministerstwo Gospodarki poprosiło szereg organizacji o wsparcie w przygotowaniu uwag do dokumentu " Wielostronnej Platformy do spraw Standaryzacji Technologii Informacyjno-Komunikacyjnych" w zakresie rekomendowanie standardów w celu zapewnienia interoperacyjności rozwiązań i systemów wykorzystujących technologie informacyjno-komunikacyjne. Nie będę szerzej komentować tego, że de facto dostaliśmy 1 dzień na przygotowanie uwag do dokumentu, który koncentrował się JEDYNIE na takich obszarach jak:
Zniechęceni cyberbezpieczeństwem

NIST opublikował niedawno bardzo interesujące, choć niepokojące wyniki badań. Autorzy podkreślają, że coraz częstszym zjawiskiem jest świadoma rezygnacja użytkowników z troski o cyberbezpieczeństwo. Przeprowadzenie badań na próbie 40 osób, mimo zapewnień autorów, nie jest moim zdaniem wiarygodne by wysnuwać uogólnione wnioski. Niemniej jednak zgodne jest to z moimi obserwacjami, że aura skrajnie skomplikowanych rytuałów w zakresie cyberbezpieczeństwa, nieustanne groźby, że hakerzy i tak są lepsi oraz poczucie, nieuchronności cyberincydentów zamiast zachęcać - zniechęca. Dlatego też podkreślam w swoich projektach, że zapewnianie cyberbezpieczeństwa może być łatwe. Oczywiście, w ramach pewnego zdefiniowanego zakresu ryzyk, niemniej to jednak powinno wystarczyć zdecydowanej większości organizacji




Koszt cyberincydentów (RAND)

RAND Corporation opublikowało ostatnio raport na tematkosztów cyberincydentów. Analizując próbkę z 12000 różnych zarejestrowanych incydentów okazało się, że koszt cyberincydentu to średnio $200 000 czyli mniej więcej tyle ile wynoszą budżety badanych firm przeznaczone na bezpieczeństwo informacji. Niektórzy autorzy zaczęli wprost wyciągać wnioski, że taniej więc jest pozwolić się zaatakować niż budować bezpieczne rozwiązania. Nie do końca zgadzam się z takim podejściem do tematu, chociaż warto przyjąć do wiadomości, że tego typu opinie mogą się pojawiać.
Ważna aktualizacja dla VeraCrypt

W ostatnich dniach zakończył się audyt bezpieczeństwa kodu źródłowego VeraCrypt. W trakcie audytu ufundowanego przez OSTIF wykryto kilka poważnych luk bezpieczeństwa. Każdy kto korzysta z VeraCrypt do szyfrowania danych powinien bezzwłocznie zainstalować nową wersję łatającą wykryte błędy
Ile kosztuje (nie) bezpieczeństwo? Hilary Leaks

Wiele osób żyje w przekonaniu, że codziennie wykonywane czynności w sieciach teleinformatycznych są prywatne, ulatują w przeszłość po paru chwilach, podobnie jak w przypadku wypowiedzianych (i nie zarejestrowanych) słów. Podobnie najprawdopodobniej sądziła Hilary Clinton, kolejny raz dowodząc braku jakiegokolwiek rozsądku podczas funkcjonowania w cyberprzestrzeni. Nie dość, że p. prezydentowa, będąc od lat osobą bardzo zaangażowaną politycznie, zupełnie niepotrzebnie formułowała w mailach myśli, które w jej sytuacji być raczej skrywane, to jeszcze w żaden sposób nie zadbała o to by inne osoby nie poznały ich treści. Ten przejaw niewłaściwej troski o bezpieczeństwo informacji może kosztować ją prezydenturę USA, czyli posadę najpotężniejszej (lub, w zależności od punktu widzenia, drugiej najpotężniejszej) osoby na całym świecie. 
Ile kosztuje (nie) bezpieczeństwo? Yahoo megawyciek!

Często spotyka się opinię najwyższego kierownictwa, że bezpieczeństwo nie jest priorytetem. nie raz już o tym pisałem, opisywałem zjawisko długu technologicznego
Ostatnio pojawiło się sporo przykładów tego jak może jednak skończyć się ignorowanie praktyk opisywanych przez standardy bezpieczeństwa. Niektóry przykłady można dobrze wycenić.. 
W nowym tagu "niebezpieczeństwo" będę gromadzić takie przypadki.
3 największe "przeszkadzacze" w pracy bezpiecznika

Obserwując codzienną pracę wielu moich kolegów - oficerów bezpieczeństwa - widzę, że ich praca często przestaje być efektywna czasowo, ze względu na różnego rodzaju zdarzenia. Poniżej zamieszczam taką, moim zdaniem typową, listę największych "przeszkadzaczy". Wszystkie mają podobny charakter, niemniej ich specyfika jest trochę inna.
Szkolenia IIA z zakresu audytowania systemów zarządzania bezpieczeństwem informacji

Od dawna staram się wspierać polski oddział IIA. Jakiś czas temu zostałem poproszony by przygotować nakierowane na audytorów, otwarte szkolenia, które będą się koncentrować na praktycznych aspektach audytowania systemów zarządzania bezpieczeństwem informacji

Innymi słowy chodzi o to, by po takim szkoleniu audytor nie tylko wiedział jak przeprowadzić dane zadanie audytowe, ale równocześnie by wiedział czego oczekiwać i jak interpretować dowody.

Kilka wniosków z panelu dyskusyjnego w Katowicach

W ubiegłym tygodniu miałem okazję moderować panel dyskusyjny podczas XIV Samorządowego Forum Kapitału i Finansów. Moimi rozmówcami byli:
  • Artur Cieślik - redaktor naczelny IT professional oraz audytor i doradca w zakresie SZBI
  • generał Marek Bieńkowski - Dyrektor Departamentu Porządku i Bezpieczeństwa w NIK, były komendant Straży Granicznej
  • Kamil Pszczółkowski - prezes StillSec, ekspert w zakresie SZBI 

3 typowe błędów popełniane przez Zarządy

O tym na ile bezpieczna jest organizacja decyduje najwyższe kierownictwo. Gdy prezes powie, że należy się zabezpieczyć, wtedy sięga się do najlepszych praktyk i wdraża kolejne rozwiązania. Gdy zarząd nie jest szczególnie zainteresowany zagadnieniem… ktoś, czasem, coś zrobi w temacie zabezpieczeń, jeżeli akurat będzie miał czas i ochotę. Jeżeli organizacja będzie miała szczęście, nic złego się nie stanie. Jeżeli nie…cóż - nagle okaże się, że to pracownicy byli niekompetentni.

Nie do końca się z tym zgadzam. 
5 priorytetów nowego CIO

Przy okazji jednego z projektów usłyszałem pytanie jakie powinny być 5 czynności, którymi powinien się zająć w pierwszej kolejności nowy dyrektor IT. 
Koncentrując się na kwestiach bliskich wymaganiom bezpieczeństwa, jest to bowiem najlepsza chwila by odpowiednio ustawić priorytety na pierwsze miesiące pracy. Zapewnić, że biznes będzie zadowolony, a infrastruktura bezpieczna.


Co na twój temat wie twój telefon komórkowy?

GIODO udostępniło niedawno krótki poradnik na temat bezpiecznego korzystania z telefonów komórkowych. Zbieżność czasu i grafika na stronach GIODO sugeruje, że może to mieć związek z manią pokemonów…

Nawet nie tracąc czasu na tego typu rozrywki warto jednak zastanowić się nad podanymi wskazówkami. Nie dość, że pozwoli to chronić prywatność to i zmniejszy się szansa na złapanie jakiegoś e-bakcyla

Całość poradnika dostępna jest tutaj
Cyber bezpieczeństwo staje się priorytetem dla Rad Nadzorczych

Deloitte jakiś czas czemu zrobił badania pośród członków rad nadzorczych sprawdzając jakie są ich główne punkty zainteresowania. 
Nie było moim zdaniem zaskoczeń pośród podstawowej listy : "Strategia, rozwój, wyniki, fuzje i przejęcia oraz innowacyjność to kwestie, które według przewidywań członków rad nadzorczych i rad dyrektorów będą miały największy wpływ na ich działalność w następnych dwóch latach".
XIV Samorządowe Forum Kapitału i Finansów

W dniach 22 i 23 września w Katowicach odbędzie się jedna z największych imprez nakierowanych na samorządowców, a mianowicie Samorządowe Forum Kapitału i Finansów.
Zostałem przez organizatorów poproszony o poprowadzenie panelu "Audyt bezpieczeństwa informacji". Razem z moimi rozmówcami postaramy się zidentyfikować źródła największych problemów podczas budowania systemów ochrony informacji, jak również podamy szereg wskazówek jak poradzić sobie z takim wyzwaniem. 


Postaramy odpowiedzieć na pytania "czy", "na ile" oraz "w jakich obszarach", profil ryzyka dla bezpieczeństwa informacji w samorządach różni się od tego w firmach komercyjnych i jakie wnioski stąd płyną.
Sesja z założenia będzie obfitować w praktyczne i sprawdzone wskazówki, dlatego też serdecznie zapraszam do aktywnego udziału
Hipotetyczny wyciek danych (np. z bazy Pesel)

Od niedawna kolejne media rozpisują się o potężnym wycieku informacji z systemu Pesel.
Wycieku co prawda nie było - systemy rządowe są (przynajmniej w tym momencie) należycie chronione, ale temat nie traci swojej aktualności.
To jednak co jest moim zdaniem szczególnie istotne to kwestia tego, jakie wnioski wyciągną rządzący z niniejszej sytuacji.

Skuteczność czy efektywność

Regularnie, w różnych miejscach, widuję nadużywane słowo "efektywność" w odniesieniu do analizowania różnego rodzaju mechanizmów kontrolnych. Po wczytaniu się w treść widzę zazwyczaj, że jest to kalka językowa autorów, którzy naczytali się ang. terminu "effectiveness".
Różnica między testami penetracyjnymi a skanowaniem podatności

Niejednokrotnie spotykałem się z sytuacją, w której skanowanie podatności było utożsamiane z testami penetracyjnymi. Różnica między jednym a drugim jest zasadnicza, z tego też bierze się zdecydowana różnica w kosztach obydwu usług.

Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Jedną z ważniejszych zmian wprowadzonych rozporządzeniem jest konieczność uwzględniania ochrony danych już w fazie projektowania oraz domyślna ochrona danych. Oznacza to, że od pierwszych chwil gdy pojawia się w organizacji inicjatywa związana z nowymi formami przetwarzania danych osobowych należy rozpoznać ryzyka wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. A proces ten należy okresowo powtarzać.

Inspektor Ochrony Danych i jego rola

Administrator Bezpieczeństwa Informacji był/jest podmiotem powoływanym przez administratora danych w celu nadzorowania zgodności przetwarzania danych osobowych z wymaganiami Ustawy. Bardzo często jednak jego rola koncentrowała się w znaczniej mierze na wypełnianiu szeregu czynności administracyjnych. ABI prowadził wymagane ewidencje, przeprowadzał szkolenia nowych pracowników, rejestrował zbiory danych w GIODO. Rzeczywisty wpływ na to jakie mechanizmy kontrolne chroniły przetwarzane informacje zależał jednak często od charyzmy i wiedzy Administratora. Ubiegłoroczna nowelizacja UoDO była krokiem w kierunku nadania tej roli rzeczywistych uprawnień i odpowiedzialności w zakresie zabezpieczania danych osobowych.
Kiedy warto certyfikować SZBI?

Skoro ostatnio napisałem o tym kto powinien wdrażać System Zarządzania Bezpieczeństwem Informacji, pora na zastanowienie się kiedy warto certyfikować SZBI na zgodność z ISO 27001.

Przede wszystkim należy jednak zastanowić się co tak naprawdę oznacza certyfikowany SZBI.
Otóż, moim zdaniem, powinien on dowodzić, że:

  • w określonym zakresie organizacja spełnia wymagania danego znormalizowanego systemu zarządzania (w naszym przypadku ISO 27001);
  • ryzyka z obszaru bezpieczeństwa informacji są właściwie zarządzane;
  • organizacja jest w stanie zademonstrować dojrzałe zarządzanie danym obszarem i swoim działaniem promuje ideę stałego doskonalenia.
To co należy zauważyć, to fakt, że certyfikowany SZBI nie zapewnia, że organizacja jest bezpieczna. Zapewnia, że organizacja weszła na ścieżkę, która kiedyś powinna doprowadzić organizację do stanu względnego bezpieczeństwa. Pojawia się tu spory problem gdy organizacja to zlepek fragmentów procesów "powiązanych sznurkiem do snopowiązarki", a zarządzanie bezpieczeństwem IT ogranicza się do akceptowania faktu posiadania kolejnych luk (co jest i tak o niebo lepsze od ignorowania faktu ich istnienia). Na szczęście dobry audytor wie jak sobie z tym poradzić, zresztą wnikliwa lektura normy daje kilka wskazówek w tym zakresie, o czym pewnie kiedyś napiszę. 

Kto powinien wdrażać SZBI?

W ostatnim czasie prowadziłem kilka ciekawych rozmów o tym, jak powinny wyglądać firmy, które chcą wdrażać a następnie certyfikować SZBI. Poniżej chciałbym podsumować moje przemyślenia w tym temacie.

Przede wszystkim uważam, że wdrażaniem SZBI powinny zainteresować się dopiero te organizacje, które osiągnęły na tyle duży poziom dojrzałości zarządzania, że rozumieją, że dla skutecznego zarządzanie organizacją niezbędne jest wprowadzenie pewnych ram.
Zarządzanie polega na planowaniu tego co się chce osiągnąć, realizacji, a następnie weryfikowania czy plany są (i powinny być) realizowane, a następnie podejmowaniu odpowiednich dalszych kroków w zależności od wyników. Teoretycznie jest to banał, ale w rzeczywistości wiele, szczególnie mniejszych, organizacji koncentruje się wyłącznie na sprawności "realizacji" zapominając o pozostałych elementach.
Organizacje często chcą być dynamiczne i elastyczne i łączą to (niestety) z brakiem jakichkolwiek konkretnych celów, uporządkowanych ról i procesów, zapisów potwierdzających wykonane czynności. To nie tak!

Jedną z głównych barier dla wdrażania, opartych o normy ISO, systemów zarządzania bezpieczeństwem informacji, z którymi się spotykam jest głęboką niechęć dla biurokracji. Systemy zarządzania bardzo często kojarzą się moim rozmówcą z segregatorami dokumentów i opasłymi procedurami, które uniemożliwiają jakąkolwiek działalność.
Absolutnie się z tym nie zgadzam, niemniej częstość tego typu opinii pozwala wysnuć wniosek, że w rzeczywistości świat norm bywa tak postrzegany.

To co mogę zrobić w tej sytuacji, to współczuć wyboru konsultantów, którzy zostali zaangażowani w tworzenie takich systemów zarządzania (przepraszam za zgryźliwość, ale pewnie przedstawili najtańsze oferty) oraz odnieść się trochę do źródeł.

Marketing rządzi się swoimi prawami. Jedną z najważniejszych zasad jest budowanie popytu. Straszenie cyberzagrożeniami stało się chyba idealnym środkiem by to osiągnąć. Boimy się, że wstydliwe kwestie dotyczące naszego życia prywatnego zostaną opublikowane, że złośliwe oprogramowanie zaszyfruje zdjęcia z wakacji, że stracimy pieniądze w konta, czy że konkurencja przejmie naszych klientów lub nasze sekrety produkcyjne.

Strach jest dobrym motywatorem do zakupów. Nie powinien być jednak jedynym. Bezpieczeństwo jest bardzo ważne, ale wcześniej trzeba zapewnić możliwość swobodnego życia i funkcjonowania. Świat jest pełen niebezpieczeństw, nie tylko w cyberprzestrzeni. Nie zamyka nas to jednak w domach, ufortyfikowanych i zabezpieczonych najbardziej wyrafinowanymi systemami i przez najsilniejszych pracowników służb ochrony uzbrojonych po zęby w ciężkie karabiny maszynowe. Bezpieczeństwo NIE przede wszystkim!

W ostatnim czasie miałem okazję występować na Semaforze oraz na konferencji IIA pt. "Współpraca to się opłaca". W kolurach, mimo trochę innej publiki, rozmowy często dotyczyły bardzo podobnych kwestii. Obracały się wokół zagadnienia społecznej odpowiedzialności firm oraz niekiedy (niestety) znacznej pazerności czy to właścicieli czy też samych członków zarządów.

Pazerność właścicieli stanowi problem organiczny spółki. Niektóre z organizacji nie chcą działać w sposób etyczny, często balansują zresztą na granicy prawa. Poza naciskami społecznymi typu bojkot czy też działaniami organów nadzoru ciężko jest w takiej sytuacji coś zrobić. Wciąż dla wielu konsumentów najniższa cena jest jedynym istotnym kryterium wyboru, wciąż dla wielu właścicieli maksymalny zysk jest jedynym celem. Pojawiające się standardy branżowe z zakresu CSR pozwolą pozytywnie wskazywać na te z organizacji, które chcą przynajmniej rozpocząć prace zmierzające do bardziej odpowiedzialnego funkcjonowania.

Znacznie ciekawiej jest w sytuacji, gdy pazerność dotyczy członków Zarządu. W takiej sytuacji niekoniecznie dzieje się to za pełną zgodą Właścicieli, zgodnie z wizją prowadzenia przez nich interesów. Zaangażowanie Właścicieli jest, a przynajmniej powinno być długookresowe. Organiczne osłabianie spółki, eliminując wszelkie możliwe koszty oraz wywierając znaczną presję na krótkookresowy wynik nie koniecznie leży w ich interesie. Przedstawiciele najwyższego kierownictwa często pojawiają się jednak w organizacji jedynie na jakiś czas. Mają bardzo konkretne zadania- owskaźnikowane, ambitne, krótko lub średniookresowe. Premie za ich osiągnięcie są na tyle korzystne, że niekoniecznie pozostawiają miejsce na rozterki. Odpowiedzi na niektóre istotne pytania generują odpowiedzi, które niekoniecznie są tymi, które byśmy oczekiwali. Pytania takie jak:
  • czy warto inwestować w obszary generujące koszty a nie przekładające się BEZPOŚREDNIO na zysk?
  • czy można przymknąć oko na niektóre niezgodności z wymaganiami, tnąc tym samym koszty?
  • czy budować stabilne struktury organizacyjne i kompetencyjne, które przetrwają lata, czy koncentrować się na tym co i teraz?


W najbliższy piątek będę mieć przyjemność wystąpić na SEMAFORZE
Przedstawię prezentację pt.: Błędy typu "information-in-transit", czyli jak NIE należy ustalać procesu wymiany danych

Zabezpieczając systemy wciąż bardzo często kładzie się nacisk na warstwę techniczną angażowanych systemów. Błędy mogą być jednak również wynikiem niewłaściwej logiki funkcjonowania całego procesu. Informacje, które chcemy chronić w jakiś sposób pojawiają się w naszej infrastrukturze, jakoś są przechowywane, przetwarzane i wymieniane w ramach organizacji, wreszcie w jakiś sposób ją opuszczają. Będąc "w ruchu" narażone są na szereg niebezpieczeństw. Prezentacja koncentrować się będzie na omówieniu wybranych przykładów tego typu błędów jakie miałem okazję zaobserwować w ubiegłym roku. Opowiem też jak można je łatwo wykryć.

W dużej części prezentacja będzie opierać się o przedstawienie uogólnionego cyklu życia informacji w organizacjach. Omówię najbardziej istotne kwestie dotyczące bezpieczeństwa w takich perspektywach jak:
  • Wejścia do procesu
  • Przetwarzanie w ramach organizacji
  • Przetwarzanie poza organizacją
  • Dostęp administracyjny
  • Logika biznesowa w aplikacjach
  • Operacje na danych źródłowych
  • Wyjścia z procesu
  • Przechowywanie i ponowne wykorzystanie informacji

Szczegółową agendę konferencji znajdziecie na tej stronie 
Gorąco zapraszam na mój wykład

Jeszcze do wtorku można składać uwagi do założeń strategii cyberbezpieczeństwa dla RP.


Ponieważ na tej bazie przygotowywana będzie strategia, która może wreszcie spowoduje jakiś widoczną poprawę cyberbezpieczeństwa, warto by dokument był możliwie kompletny. Załączam uwagi, które przesłałem do Ministerstwa Administracji i Cyfryzacji.

Właśnie mija rok od zarejestrowanie pierwszych Administratorów Bezpieczeństwa Informacji (ABI), zgodnie z wymaganiem znowelizowanej Ustawy o Ochronie Danych Osobowych. Z tej okazji miałem dziś okazję uczestniczyć w konferencji "Wykonywanie nowej funkcji ABI – pierwszy rok doświadczeń" zorganizowanej na Politechnice Warszawskiej przez Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz moją Alma Mater - Wydział Zarządzania PW.
We wstępie zaznaczono zresztą, że zagadnienie ochrony danych osobowych, mimo niewątpliwych implikacji prawnych i informatycznych jest jednak wyzwaniem przede wszystkim dla kadry zarządzającej. Na sali obecni byli również przedstawiciele Ministerstwa Administracji i Cyfryzacji, oraz prawnicy zaproszeni przez Microsoft. Zabrakło natomiast przedstawicieli GIODO.
Obrady i kuluarowe dyskusje, oprócz dzielenia się doświadczeniami z pierwszego roku funkcjonowania ustawy, zdominował temat unijnych reform w tym zakresie. Przedstawiono też główne założenia, wciąż oficjalnie nieopublikowanego Rozporządzenia o Ochronie Danych Osobowych.