Vabilo na izobraževalno srečanje
POSLOVODNIM IN NADZORNIM ORGANOM DRUŽB V DELNI IN VEČINSKI LASTI RS IN SDH vsem članom organov
5/2024: Vpliv kibernetske (ne)varnosti na poslovanje in krepitev odpornosti organizacij
Slovenski državni holding, d. d. (SDH) vas vljudno vabi, da se udeležite izobraževalnega srečanja z naslovom Vpliv kibernetske (ne)varnosti na poslovanje in krepitev odpornosti organizacij, ki bo organizirano v torek, dne 24. septembra 2024, od 12h – 16.30, v Austria Trend Hotelu, Dunajska 154, Ljubljana, v živo (dvorana Janus). Ponudili bomo možnost tudi enosmernega spremljanja preko Zoom platforme.
Urad vlade RS za informacijsko varnost (URSIV) je februarja dal v javno obravnavo osnutek novega Zakona o informacijski varnosti (ZInfV-1), s katerim bo v notranji pravni red prenesena direktiva NIS 2. Rok za prenos direktive NIS 2 v zakonodajo je 17. oktober 2024.
Obravnavali bomo glavne zahteve NIS 2/ZInfV-1 za družbe zavezanke in njene organe vodenja in nadzora ter kako se pripraviti na zagotavljanje skladnosti z obsežno in zahtevno regulativno na tem področju. Odgovornosti uprav se v strateških in drugih družbah še povečujejo in neizpolnjevanje zahtev NIS 2 lahko povzroči resne posledice in velikanske globe.
Težko bi bilo najti podjetje, ki kibernetskega tveganja trenutno ne navaja pri vrhu svojega registra tveganj, zato mora biti prednostna naloga poslovodstev družb. Prepogosto se verjame, da je mogoče zaščititi zaupnost, celovitost in razpoložljivost informacijskih sistemov in podatkov s preprečevanjem napadov. Ker kibernetski kriminal postaja vse bolj sofisticiran, bodo lahko celo tehnološko najnaprednejše organizacije napadene - in to je potrebno načrtovati. Odgovorna poslovodstva se v to področje nenehno vključujejo in proaktivno sodelujejo, preden gredo stvari narobe.
Z opazno izjemo tistih, ki so prestali kibernetski napad, večina poslovodstev izbranih študij ocenjuje, da so njihove organizacije dobro pripravljene na takšen dogodek. Ta miselnost lahko povzroči samozadovoljstvo, ki spodkopava prizadevanja za nenehno krepitev obrambe in načrtovanje odpornosti.
V izobraževalnem srečanju se bomo posvetili razumevanju kibernetske odpornosti/varnosti in zakaj je osredotočanje zgolj na preprečevanje nezadostno. Obravnavali bomo vloge odločevalcev pred, med in po kibernetskem napadu ter izgradnjo organizacijske kulture kibernetske odpornosti: strategije za spodbujanje okolja, kjer je kibernetska odpornost prednostna naloga in vključena v vsakodnevne operacije. Eden pomembnejših vidikov je tudi krizno upravljanje in komunikacija: kako učinkovito upravljati notranjo in zunanjo komunikacijo med kibernetsko krizo, da pomirimo deležnike. V središču programa je tudi učenje iz izkušenj preteklih kibernetskih napadov v Sloveniji ter pridobivanje znanja za izgradnjo prihodnje strategije odpornosti.
Izobraževalno srečanje priporočamo vsem članom nadzornih svetov, članom komisij nadzornega sveta, članom uprav in širšemu managementu družb ter odgovornim za korporativno varnost in IT, notranjim revizorjem ter odgovornim za upravljanje tveganj.
Dogodek je namenjen zgolj predstavnikom organov vodenja in nadzora družb s kapitalsko naložbo države ter njenim zaposlenim.
PROGRAM DOGODKA
| 11.45 |
Registracija |
| 12.00 – 12.15 | Uvodni nagovor |
|
Mag. Žiga Debeljak, predsednik uprave, Slovenski državni holding, d. d. Dr. Uroš Svete, direktor Urada Vlade RS za informacijsko varnost |
|
| 12.15 – 13.00 | Predstavitev regulatornih zahtev in odgovornosti podjetij za informacijsko varnost in gradnjo odpornosti |
|
Matjaž Mravljak, direktor inšpekcije za informacijsko varnost, Urad vlade za informacijsko varnost |
|
|
Glavne vsebine in cilji direktive NIS 2 in Zakona o informacijski varnosti (ZInfV-1), ki bo v slovenski pravni red prenesena v oktobru 2024. V okviru tega bo poudarek tudi na ciljno usmerjenih pravilih za subjekte NIS 2 (energija, transport, bančništvo, infrastruktura finančnega trga, zdravje, digitalna infrastruktura, …). Obravnavani bodo ukrepi za obvladovanje tveganj za kibernetsko varnost bistvenih in pomembnih subjektov ter nadzor nad temi subjekti kot tudi ugotovitve in priporočila iz inšpekcijskih pregledov. |
|
| 13.00 – 13.45 | Kako implementirati sistem upravljanja s tveganji za regulatorno skladnost in za zagotavljanje kibernetske odpornosti |
|
Uroš Žust, partner, Mazars Vsebina bo naslovila zahteve na področju kibernetske odpornosti, pomen vzpostavitve kibernetske strategije, pomembnost prepoznavanja kritičnih procesov in prioritet v primeru napada, vzpostavitev sistema izobraževanja za medsebojno učenje kibernetske odpornosti, in pripravo na proaktivno komuniciranje (načrt kriznega komuniciranja). Obravnavala bo tudi pregled incidenta, če do napada pride. Na koncu bo podanih še nekaj priporočil za boljšo pripravo na kibernetsko (ne)varnost ter dobrih praks na tem področju. |
|
| 13.45 - 14.15 | Odmor za prigrizek |
|
14.15 – 14.45 |
Kako implementirati sistem upravljanja s tveganji za regulatorno skladnost in za zagotavljanje kibernetske odpornosti |
|
Boštjan Špehonja, CEO GO-LIX, d. o. o., certificirani etični heker V prvem delu predavanja se bomo postavili v vlogo hekerja ter predstavili perspektivo, skozi katero slednji vidijo vašo organizacijo. Na praktičnih primerih bomo pokazali kje in kako napadalci zbirajo digitalne sledi uporabnikov, ter pripravijo načrt za hekerski napad na podjetje. V drugem delu se bomo posvetili upravljanju kibernetskih incidentov. Skozi praktične primere iz terena bomo prikazali napake, ki jih zaznavamo pri odzivih na kibernetske incidente ter podali nekaj priporočil za dvig stopnje kibernetske varnosti organizacij. |
|
| 14.45 – 15.15 | Situacija na področju kibernetske varnosti v Sloveniji |
|
Tadej Hren, vodja oddelka za obravnavo omrežnih incidentov, SI-CERT |
|
|
Predstavitev situacije na podlagi poročila o kibernetski varnosti v Sloveniji v letu 2023. |
|
| 15.15 – 15.30 |
Odmor |
| 15.30 - 16.30 |
Okrogla miza: Zagotavljanja kibernetske odpornosti in izkušnje s kibernetskim napadom Dr. Tomaž Štokelj, generalni direktor, HSE d. o. o. Mag. Vesna Prodnik, članica uprave za tehnologijo, Telekom Slovenije, d. d. Matjaž Peklaj, vodja varovanja, Kontrola zračnega prometa, d. o. o. Gorazd Rolih, direktor področja informacijsko-kibernetske varnosti, Informatika, d. o. o. Vodi: Uroš Žust, partner, Mazars |
|
|
|
KRATKA PREDSTAVITEV PREDAVATELJEV:
Uroš Žust je diplomiral na Ekonomski fakulteti (smer poslovna informatika) Univerze v Ljubljani in je izkušen strokovnjak z dolgoletnimi izkušnjami na področju revizije informacijskih sistemov, kibernetske varnosti, varnostnih pregledov, upravljanja tveganj, korporativnega upravljanja in zagotavljanja skladnosti. Od septembra 2022 vodi ekipo Mazars IT, d. o. o., ki je specializirana za storitve dajanja zagotovil in svetovanja na področju informacijske varnosti. Pridobil pa je še nazive Preizkušeni revizor Informacijskih Sistemov (PRIS) pri Slovenskem Inštitutu za revizijo, Certified Information Systems Auditor (CISA) ter Certified Information Security Manager (CISM) pri ISACA, kot tudi Certified Information System Security Professional (CISSP) pri ISC2 in Project Management Professional (PMP) pri PMI. Hkrati je tudi akreditirani trener izobraževanj za certifikate CISA in CISM pri ISACA.
Pet let svoje kariere je preživel v ZDA, kjer se je specializiral za izvajanje IT revizij po SOX standardih ter za zagotavljanje upravljanja (governance) kibernetske varnosti. Ima preko 19 let delovnih izkušenj, tako v vlogi izvajalca kot vodje ekip na projektih dajanja zagotovil in svetovanja na področju informacijske varnosti. Deloval je v različnih industrijah, s poudarkom na družbah v finančnem, igralniškem, proizvodnem in storitvenem sektorju.
Boštjan Špehonja je direktor podjetja GO-LIX, d. o. o, ustanovitelj platforme PHISHSTRIKE ter priznani strokovnjak na področju kibernetske varnosti s kar nekaj mednarodno priznanimi certifikati (Certified Ethical Hacker – Master, Certified Network Defense Arcihtect, Security+, CEH Practical, CompTIA Advanced Security Practitioner ce, CompTIA CySA+, PNPT). Ima širok nabor izkušenj, saj mu je pregled svojega IKT okolja zaupalo že več sto organizacij, kot so podjetja s kritično infrastrukturo, banke, zavarovalnice, ministrstva, ter številna druga. Izvaja tudi izobraževanja ter delavnice na temo varne uporabe interneta in etičnega hekanja, najbolj pa uživa ob odzivih na kibernetske incidente. Predaval je na vseh največjih konferencah informacijske varnosti v Sloveniji. Je soustanovitelj fundacije SICEH (Slovenian Certified Ethical Hackers), vodja poglavja OWASP Ljubljana, član izvršnega odbora sekcije za kibernetsko varnost pri GZS ter gostujoči strokovnjak Univerze v Mariboru in predavatelj na GEA Collegu.
Matjaž Mravljak je direktor Inšpekcije za informacijsko varnost v Uradu Vlade Republike Slovenije za informacijsko varnost. S področjem informatike, telekomunikacij in informacijsko varnostjo se poklicno ukvarja zadnjih 15 let. Matjaž Mravljak je magister prava, aktivni preskušeni revizor informacijskih sistemov, vodilni presojevalec sistema upravljanja varovanja informacij po standardu ISO/IEC 27001, notranji presojevalec sistema upravljanja neprekinjenega poslovanja po standardu ISO/IEC 22301 ter certificiran strokovnjak s področja informacijske varnosti pri Cisco Network Academy.
Tadej Hren je vodja oddelka za obravnavo omrežnih incidentov pri Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT. Je izkušen strokovnjak na področju omrežne in informacijske varnosti z 20-letnimi izkušnjami. Redno predava na najrazličnejših dogodkih, namenjenih tako strokovni kot širši javnosti. Večkrat je sodeloval s policijo pri kriminalističnih preiskavah vdorov v sisteme slovenskih podjetij. Za pomoč pri preiskavi botneta je prejel tudi priznanje FBI.