Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.
Materiál k přednášce na semináři „Využití digitalizace ve veřejné správě“, zkráceně DigiVill, realizovaného v Programu INTERREG V-A Rakousko-Česká republika
Users (politicians, CEOs, journalists, lawyers, etc.) tolerate the idea that is impossible create better operating systems and applications, without errors and backdoors.
In an SW environment totally lacking critical look at the work of programmers, testers, analysts.
It's time to change the basics of Cyber SecurityJiří Napravnik
Take a look also at the Three Laws of ICT Security.
It's time to change the basics of Cyber Security. SW is an exact discipline,
where is possible everything clearly describe, programme and test.
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...Jiri Donat, Ph.D.
Přednáška přednesená na Fakultě informačních technologií ČVUT 5. října 2011 volně navazuje na přednášku Změna obchodního modelu IT průmyslu (youtu.be/VHz3z878V5I)
Prezentovaný materiál v ppt: http://goo.gl/IM0d8
Agenda:
Tři etapy vývoje IT průmyslu: Éra sálových počítačů, éra PC, éra spotřební elektroniky
Alternativní pohled: Éra před komerčním sw, éra komerčního sw, éra cloudu
Zánik obchodního modelu založeného na komerčním software a důvody, proč se tak stane
V čem je přechod do cloudu podobný přechodu do doby PC?
Vertikální uspořádání IT průmyslu v době sálových počítačů
Horizontální uspořádání IT průmyslu v době PC
Diskuse podoby IT průmyslu v době Cloud computing a nové role dnešních hráčů
Materiál k přednášce na semináři „Využití digitalizace ve veřejné správě“, zkráceně DigiVill, realizovaného v Programu INTERREG V-A Rakousko-Česká republika
Users (politicians, CEOs, journalists, lawyers, etc.) tolerate the idea that is impossible create better operating systems and applications, without errors and backdoors.
In an SW environment totally lacking critical look at the work of programmers, testers, analysts.
It's time to change the basics of Cyber SecurityJiří Napravnik
Take a look also at the Three Laws of ICT Security.
It's time to change the basics of Cyber Security. SW is an exact discipline,
where is possible everything clearly describe, programme and test.
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...Jiri Donat, Ph.D.
Přednáška přednesená na Fakultě informačních technologií ČVUT 5. října 2011 volně navazuje na přednášku Změna obchodního modelu IT průmyslu (youtu.be/VHz3z878V5I)
Prezentovaný materiál v ppt: http://goo.gl/IM0d8
Agenda:
Tři etapy vývoje IT průmyslu: Éra sálových počítačů, éra PC, éra spotřební elektroniky
Alternativní pohled: Éra před komerčním sw, éra komerčního sw, éra cloudu
Zánik obchodního modelu založeného na komerčním software a důvody, proč se tak stane
V čem je přechod do cloudu podobný přechodu do doby PC?
Vertikální uspořádání IT průmyslu v době sálových počítačů
Horizontální uspořádání IT průmyslu v době PC
Diskuse podoby IT průmyslu v době Cloud computing a nové role dnešních hráčů
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
V informační společnosti je stále důležitější nejen dokázat najít informace a zpracovat je, ale také se chovat takovým způsobem, abychom během tohoto procesu neohrozili ani sebe, ani druhé lidi. Téma bezpečnosti se tak stává základním pilířem informační společnosti a je nezbytné pro život v ní.
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)eMan s.r.o.
Prezentace z konference Internet věcí, která se konala 4. května 2016 v Praze. Více o akci na: http://www.tuesday.cz/akce/internet-veci/program/
Oficiální anotace přednášky:
Přední české vývojářské studio eMan, které se specializuje na vývoj mobilních aplikací, má za sebou také řadu úspěšně zrealizovaných projektů v oblasti internetu věcí. Kdy je vhodné začít uvažovat o vlastním IoT řešení? V čem je vývoj pro IoT specifický? Jaké problémy mohou ohrozit úspěšnou realizaci? V prezentaci se s vámi podělíme o vlastní zkušenosti a příklady z praxe.
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Jiri Donat, Ph.D.
Přednáška z cyklu Informatické večery Fakulty IT ČVUT Praha popisující, jak se v době cloud computing mění obchodní model IT průmyslu z prodeje software na prodej služeb a jak se na tyto změny snaží reagovat firma Microsoft, která právě na prodeji komerčního software vyrostla v největší firmu oboru. Přednáška volně navazuje na přednášku Budoucí podoba IT průmyslu v době Cloud Computing, viz http://youtu.be/fea2_obPwTY.
Přednáška Pavla Jaška na ČZU, která se uskutečnila 11. 12. 2013. Pavel se věnoval webové analytice a prezentace byla součástí širšího webdesignového bloku.
Bezpečnost aplikací se stává jednou z klíčových obav bezpečnostních manažerů a získává výsadní místo v kontextu celkové ICT bezpečnosti. Společnost Corpus Solutions uspořádala seminář na téma Moderní principy aplikační bezpečnosti, kde byly diskutovány některé ožehavé otázky - Jak aplikační bezpečnost pomáhá chránit business? Dokáže bezpečnost aplikací generovat business přínosy a ušetřit finanční zdroje? Proč byste se měli zabývat aplikační bezpečností a jaké jsou současné standardy?
V rámci semináře byl představen komplexní pohled na tuto problematiku včetně technických nástrojů, které pomáhají posunout aplikační bezpečnost na kvalitativně novou úroveň. Obsah semináře můžete prostřednictvím prezentace shlédnout I vy.
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...technologyfuture
DYNAMIC FUTURE a Petr Jalůvka na Logistics Ride 2018 na téma dynamické simulace a metodě digitálních dvojčat. Jak a proč ve výrobě využívat dynamickou simulaci a digitální dvojče? Ušetří vám čas i peníze, ale jak jsme na tom v České republice s metodou, která je ve světě už velmi běžná?
Existuje metodika, díky které se nám podařilo zlepšit výsledky webových projektů a snížit míru nedorozumění a chybovosti. Tuto metodiku používáme v AITOMu od roku 2015 a v rámci Týdne podnikání 2017 se o ni s vámi rádi podělíme.
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...ui42
World Usability Day 2014 Slovakia organized by ui42 & FIIT STU. Petr Dvorak presents his own UX experience with first samples of wearable technologies, e.g. smart watches, Google Glasses.
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
V informační společnosti je stále důležitější nejen dokázat najít informace a zpracovat je, ale také se chovat takovým způsobem, abychom během tohoto procesu neohrozili ani sebe, ani druhé lidi. Téma bezpečnosti se tak stává základním pilířem informační společnosti a je nezbytné pro život v ní.
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)eMan s.r.o.
Prezentace z konference Internet věcí, která se konala 4. května 2016 v Praze. Více o akci na: http://www.tuesday.cz/akce/internet-veci/program/
Oficiální anotace přednášky:
Přední české vývojářské studio eMan, které se specializuje na vývoj mobilních aplikací, má za sebou také řadu úspěšně zrealizovaných projektů v oblasti internetu věcí. Kdy je vhodné začít uvažovat o vlastním IoT řešení? V čem je vývoj pro IoT specifický? Jaké problémy mohou ohrozit úspěšnou realizaci? V prezentaci se s vámi podělíme o vlastní zkušenosti a příklady z praxe.
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Jiri Donat, Ph.D.
Přednáška z cyklu Informatické večery Fakulty IT ČVUT Praha popisující, jak se v době cloud computing mění obchodní model IT průmyslu z prodeje software na prodej služeb a jak se na tyto změny snaží reagovat firma Microsoft, která právě na prodeji komerčního software vyrostla v největší firmu oboru. Přednáška volně navazuje na přednášku Budoucí podoba IT průmyslu v době Cloud Computing, viz http://youtu.be/fea2_obPwTY.
Přednáška Pavla Jaška na ČZU, která se uskutečnila 11. 12. 2013. Pavel se věnoval webové analytice a prezentace byla součástí širšího webdesignového bloku.
Bezpečnost aplikací se stává jednou z klíčových obav bezpečnostních manažerů a získává výsadní místo v kontextu celkové ICT bezpečnosti. Společnost Corpus Solutions uspořádala seminář na téma Moderní principy aplikační bezpečnosti, kde byly diskutovány některé ožehavé otázky - Jak aplikační bezpečnost pomáhá chránit business? Dokáže bezpečnost aplikací generovat business přínosy a ušetřit finanční zdroje? Proč byste se měli zabývat aplikační bezpečností a jaké jsou současné standardy?
V rámci semináře byl představen komplexní pohled na tuto problematiku včetně technických nástrojů, které pomáhají posunout aplikační bezpečnost na kvalitativně novou úroveň. Obsah semináře můžete prostřednictvím prezentace shlédnout I vy.
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...technologyfuture
DYNAMIC FUTURE a Petr Jalůvka na Logistics Ride 2018 na téma dynamické simulace a metodě digitálních dvojčat. Jak a proč ve výrobě využívat dynamickou simulaci a digitální dvojče? Ušetří vám čas i peníze, ale jak jsme na tom v České republice s metodou, která je ve světě už velmi běžná?
Existuje metodika, díky které se nám podařilo zlepšit výsledky webových projektů a snížit míru nedorozumění a chybovosti. Tuto metodiku používáme v AITOMu od roku 2015 a v rámci Týdne podnikání 2017 se o ni s vámi rádi podělíme.
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...ui42
World Usability Day 2014 Slovakia organized by ui42 & FIIT STU. Petr Dvorak presents his own UX experience with first samples of wearable technologies, e.g. smart watches, Google Glasses.
Software companies and Corporate social responsibility (CSR) Jiří Napravnik
The manufacturers of toys, cars, food, etc. are responsible for their products. It is commonplace.
Software companies are not responsible for their products.
Programming is an exact discipline, where can be all procedures clearly defined, programmed and tested
2. Obsah
● Náklady na cyber bezpečnost
● Závyslost uživatelů na IT
● Kde se stala chyba
● Pět tragických pochybení
● Rozdílný přístup
● Tři kroky k vyřešení problémů
3. Náklady na bezpečnost
Uživatelé, banky, firmy i úřady vydaly za počítačovou
bezpečnost v minulých letech mnoho miliard US
dolarů.
● Stále podobné problémy a útoky, se opakují
● Základní problémy nebyly stále vyřešeny
● Proti sofistikovanému útoku zatím není obrana
4. Závyslost všech uživatelů
● Banky, obchodní společnosti i výrobní firmy jsou
závyslé na bezproblémovém fungování IT
● Hackerské útoky neznají hranice
● Sofistikovaný útok může být upraven a pak útočit
zpět na svého původního autora
5. Problémy PC, mobilů a dalších
● PC a počítačové viry
● Za 25 let nebyly vyřešeny problémy s viry v PC
● Skoro 10 let používáme chytré telefony
● Malé krabička, malá obrazovka
● Stejné problémy jako v prostředí PC
● Problémy v PC a v mobilech nejsou vyřešeny a už
se objevují problémy v IoT, SCADA a automobilech
6. Kde se stala chyba ?
● Kritizujeme výrobce potravin za koňské maso, ...
● Kritizujeme Volkswagen za to, že jeho motory čoudí
a špatně spalují naftu
● Ostýcháme se kritizovat velké výrobce SW, přestože
je programování čistě lidská práce
7. 5 tragických pochybení
1) Software je stále posuzován jako autorské dílo, ale
chybí odpovědnost tvůrců za vlastní práci
2) Software prý nejde vytvořit lépe
3) Největší hrozbou pro bezpečnost IT jsou prý nezkušení
uživatelé
4) Vytváří se normy, standardy a zákony, ale neřeší a
nerevidují se chyby v základech IT
5) 15 let jsou vychováváni noví IT specialisté, kteří se
učí jediný správný pohled na počítačovou
bezpečnost
8. Pochybení č. 1
SW je stále posuzován jako autorské dílo, ale chybí
odpovědnost tvůrců za vlastní práci
● Tvorba SW je výsledkem pouze lidské práce
● Programování je exaktní obor, kde je možné vše jasně
popsat, naprogramovat a otestovat
● SW firmy hledají sw inženýry, analytiky, testery. To je
podobné jako u jiných firem, které vyvíjejí a vyrábějí
nějaký výrobek, za který jsou odpovědné
9. Pochybení č. 1 porovnání
SW je stále posuzován jako autorské dílo, ale chybí
odpovědnost tvůrců za vlastní práci
● Konstruktéři mostů i motorů musí respektovat různou
roztažnost materiálů
● U léků se zkoumají vedlejší účinky, ale od lidského těla
neexistuje „manuál“ podle, kterého by se ověřilo co nová
látka může ovlivnit
10. Chyba č. 1
Chybou je, že běžní uživatelé (st. úředníci, CEO,
právníci, atd.) zatím stále tolerují názor :
SW firmy a programátoři nemusí odpovídat za
svojí špatnou práci
11. Pochybení č. 2
SW prý nejde vytvořit lépe
● Každý výrobek je možné zdokonalit a vyrobit lépe, to je
základ pokroku
● Tvorba SW je pouze lidská práce, ale přesto tvůrci tvrdí,
že to lépe udělat nejde
12. Pochybení č. 2 porovnání
SW prý nejde vytvořit lépe
● V non-IT oborech jsou zákaznící a kontrolní orgány velmi
nároční na kvalitu a bezpečnost
● Non-IT výrobci musí vydávat velké částky na aplikovaný
a často i základní výzkum z oblasti fyziky, chemie, atd.
13. Chyba č. 2
Uživatelé (politici, CEO, novináři, právníci, atd.)
tolerují názor, že prý nejde vytvářet operační
systémy lépe, bez chyb a zadních vrátek.
14. Pochybení č. 3
Největší hrozbou pro bezpečnost IT jsou prý
nezkušení uživatelé. Tato výmluva se používá již 20
let.
● Pokud se za 20 let nezměnilo chování uživatelů, tak se
něco dělalo špatně
● Pokud není možné změnit chování a návyky zákazníků,
tak se musí změnit výrobek
15. Pochybení č. 3 porovnání
Automobilky vědí, že řidiči jsou za volentem
nepozorní a chybují
● Automobilky nesvádí odpovědnost na nezkušené řidiče,
například na řidiče - IT odborníky
● Automobilky poznaly, že chování řidičů nezmění. Takže
převzali iniciativu a nové automobily vybavují systémy,
které hlídají chování a chyby řidičů
16. Chyba č. 3
Chybou je, že IT odborníci víc jak 15 let spoléhají
na změnu chování uživatelů, místo toho, aby se
chopili iniciativy. Podobně jak to dělají výrobci
automobilů.
17. Pochybení č. 4
Vytváří se normy, standardy a zákony, ale neřeší a
nerevidují se chyby v základech IT
● Mnoho lidí, firem i úřadů věnuje svoji energii vytváření
nových norem
● Stejní lidé, pak zažívají deziluzi po úspěšném
sofistikovaném útoku, kterému normy nedokázaly zabránit
● Málo úsilí se věnuje základům tvorby SW
18. Pochybení č. 4
● Při porovnání je vidět velký nepoměr mezi počtem
norem a pravidel pro uživatele nebo administrátory a
počtem pravidel pro tvůrce SW
● Současná situace vytváří falešný dojem, že jsou
problémy s viry a hackery řešeny i normami a
zákony
● Ve skutečnosti normy a zákony řeší pouze následky,
nikoliv příčiny problémů.
19. Chyba č. 4
Chybou je, že se normami a zákony nezačíná u
tvůrců SW podobně, jak to platí například u
letadel (ISO 9120) nebo automobilů (ISO 16949)
● Současné normy a zákony řeší následky a nezabývají se
skutečnými příčinami, které jsou spojené s počítačovými
viry a hackerskými útoky.
20. Pochybení č. 5
15 let jsou vychováváni noví IT specialisté, kteří se
učí jediný správný pohled na počítačovou
bezpečnost
● Jednostranná výchova souvisí s chybnými názory
● Autoři SW prý nemohou odpovídat za svoji práci
● SW prý není možné napsat lépe
● Největší hrozbou pro bezpečnost IT jsou prý uživatelé
● Vše je řešeno v normách, vzhláškách a zákonech
21. Chyba č. 5
Při tvorbě SW naprosto chybí kritický pohled na práci
tvůrců programů. Tyto zkreslené názory následně
přebírají novináři i politici.
Výchova nových IT odborníků v mnoha ohledech
připomíná výchovu mladé generace ve Východním
bloku před rokem 1989. Tehdy byl lidem také vnucován
jediný správný pohled na problém, na život a na svět.
22. Řešení
● Řešení existuje!! To je hlavní a podstatná informace.
● Tvorba SW je čistě lidská práce, kterou je možné
jasně popsat, naprogramovat a otestovat.
23. Rozdílný přístup
● Program Apollo - za 8 let připravena cesta na Měsíc
●
Vyřešeno mnoho nových úkolů
● Z raketové techniky
● Orientace v meziplanetárním prostoru
● Ochrana lidí a elektroniky před zářením
● Mnoho objevů z různých oborů přírodních věd
● Tvorba počítačových programů – za víc jak 15 let nevyřešeno
● Čistě lidská práce
● Exaktní obor ke je možné vše jednoznačně popsat
24. Odpovědnost výrobců
● Výrobci dětských hraček, potravin nebo domácích
spotřebičů jsou odpovědni za své výrobky.
● Automobilka Volkswagen je odpovědná za své čoudící TDI
motory
25. Řešení – krok č. 1
● Tvorba SW je čistě lidská práce. Chyba v programu je
výsledkem špatné práce člověka
● Prosazení stejně kritického pohledu na SW jako na
automobily, hračky nebo potraviny
26. Řešení – krok č. 2
Ověření originality, původu a neporušenosti systémových
souborů
● Pro řešení mohou být využita „Tři pravidla Cyber
bezpečnosti“
● Jedná se o podobné řešení jaké platí v letectví,
při sledování náhradních dílů od
výrobce až po instalaci do letounu
27. Řešení – krok č. 3
● Pyramida počítačové bezpečnosti
● Spolehlivé ověřování systémových souborů je nutnost
● Stejně kritický přístup k automobilům i programům je nutnost
ale tyto dva kroky nastačí
● Je nutné prosadit pravidelné testování SW podobně jako crash
testy automobilů
● Tvůrci SW musí převzít iniciativu podobně jako
výrobci automobilů
28. Shrnutí
● EXISTUJE řešení 20 let trvajících problémů s viry a hackery
● Základ řešení je ve změně uvažovaní uživatelů. Nároky na
tvůrce SW by měly být podobné jako nároky na výrobce
potravin nebo automobilů
● Technickou stránku opatření je možné prosadit a
realizovat téměř ihned
29. Závěr
● Tvorba SW je čistě lidská práce
● Tvorba SW je exaktní obor, ve kterém je možné vše jasně
nadefinovat, naprogramovat a otestovat
● Změna základů pomůže vyřešit naprostou většinu
problémů s počítačovými viry a hackerskými útoky
30. O autorovi
Jiří Nápravník (*1968)
https://cz.linkedin.com/in/napravniksalamandr
● 1997 – 2002 soudní znalec, počítačová kriminalita
● 2003 pomohl dopadnout prvního vykradače bankovních účtů přes
internetbanking
● Popsal a vyzkoušel útok na zaručený elektronický podpis
● Popsal a vyzkoušel útok na čipovou kartu s privátním klíčem
● 2014 definoval Tři pravidla cyber bezpečnosti
● 2015 definoval Pyramidu cyber bezpečnosti