The Swiss IT Congress SITC 2023 on E-ID in Switzerland has been held on Thursday May 11, 2023 as a physical event at the sitem-insel building in Bern.
We encourage all people interested in E-ID, data security and related subjects to have a look at the slides of the most general interest lectures, provided here. If you are interested in other parts of the agenda or wish to know about the follow-up that SI will give this event, contact us.
| 08:30 | Registration, welcome coffee | |
|---|---|---|
| 09:00 |
SI General Assembly |
Francis Baud, SI President Simon Moser, SI Treasurer |
| 11:00 | Coffee break | |
| 11:20 |
Opening of SITC 2023 and Welcome |
Francis Baud, SI President Nora Sleumer, SI Vice President and Moderator |
| 11:30 |
“The E-ID provided by the Swiss Government: Current state of work and perspectives” |
Rolf Rauschenbach, Communications Officer E-ID, Federal Office of Justice FOJ |
| 12:30 | Networking lunch | |
| 13:30 | E-ID in other countries | |
| "Aadhaar: E-ID in India" |
Indukumar Vellapillil-Hari, Enterprise Architect at Credit Suisse with interest with ID implementation |
|
| "ID (identification) Austria" |
Magister Martin Nemec, in charge of servicing ID at the Federal Ministry of Finance in Austria |
|
| 15:00 | Coffee break | |
| 15:30 |
"Swiss E-ID: Challenges and Chances" |
Prof. Dr. Annett Laube-Rosenpflanzer, Head of Institute IDAS, BFH-TI |
| "Perpetual signatures, revocation and the right to be forgotten" |
Dr. Jörn Erbguth |
|
| 17:00 |
Sandbox Presentation: Public Sandbox Trust Infrastructure |
Federal E-ID Technical Team, Jonas Niestroj |
| 17:20 |
Closing remarks |
Francis Baud, SI President Nora Sleumer, SI Vice President and Moderator |
| 17:30 to 20:00 | Networking Apéro riche |
Rolf Rauschenbach holds a Ph.D. in political science from the University of St. Gallen. He works as Communications Officer at the Federal Office of Justice FOJ. Prior, he held various positions in the industry and in academia, among others Chief Sales Officer at Procivis AG in Zurich and lecturer and researcher at Universidade de São Paulo, Brazil.
Indukumar Vellapillil-Hari has 24 years of extensive experience in various roles such as an IT strategist, lead architect, service delivery lead, project leader, entrepreneur, author and software developer, with a significant 20 years in financial service domain.
He has done Technology strategy consulting for C-level engagements in large financial services organizations, practices architecture analysis of large scale digital transformation thanks to a wide experience ranging from architecting India's first reverse auction portal for travel, to the architecture of an award winning mobile application for a large Swiss bank.
He also co-founded a profitable Software As a Service company specialized in Structured Products.
Martin Nemec has Degrees in Computer Science and Economy from the Technical University in Vienna. He started his career, while still studying, in the Network Department of a large Austrian Bank. Later he did Network Management for Austrian Banks. After graduation he worked as Consultant in Umbrella Management on behalf of Unisys Austria, a large Austrian Telecom Provider.
Since 2003 in public service, he was responsible for the introduction of ELAK (electronic files) in the Federal Ministry of Transport. Then, from 2005 on, in the Federal Chancellery, he developed all kinds of electronic Forms (PDF, HTML, etc.).
In 2018, first in the Federal Ministry of Digitalization and Economy, and then in the Federal Ministry of Finance, he is responsible for the technical items and service of ID Austria.
Prof. Dr. Annett Laube-Rosenpflanzer received her doctorate in computer science from the TU Dresden. After more than 10 years in the IT industry (IBM Germany, SAP Development Canada, SAP Research Sophia-Antipolis/France), she has been Professor of Computer Science at the Bern University of Applied Sciences since 2009. In addition to her commitment to teaching, Annett Laube-Rosenpflanzer heads the IAM research group at the Institute for Data Applications and Security (IDAS). In her research she is particularly concerned with Identity and Access Management (IAM), authentication protocols, electronic identities and signatures, privacy protection.
With a double background in law and computer science, Jörn Erbguth bridges the gap between technology and law. After working as CTO, he wrote a thesis about a framework for long-term revocable credentials using blockchain and complying with data protection regulation. Jörn Erbguth is a consultant on blockchain and data protection and Head of Technology Insights at the Geneva Macro Labs association. He participates in standards organizations and lectures at Swiss universities. Jörn Erbguth likes to bridge the gap between disciplines to help shape the future digital society oriented on human rights and sustainability.
The state acts as the issuer of the E-ID and ensures the operation of the necessary trust infrastructure. Users should have the greatest possible control over their data. The department in charge of E-ID will use a SANDBOX to test it.
What is this public sandbox?
Generally speaking, a "sandbox" is an isolated test environment in which to experiment with new applications and technological approaches. In the case of the public trust infrastructure sandbox, this involves testing the technical components and processes around the e-ID and the trust infrastructure that is planned to be put in place, not only within the federal administration, but also with future ecosystem participants from the public sector and the economy.
Why does the Confederation offer this service?
The Confederation and the other participants can, in this test environment, acquire technical experience (functionalities, scalability, security, operation, etc.), organizational (integration of users, technical assistance, etc.) and functional (tests of use cases, interoperability between several organizations, ease of use, etc.). In addition, the sandbox must make it possible to interest other players in the ecosystem of digital evidence that is planned to be developed.
Who can participate?
Individuals, companies and organizations with their registered office in Switzerland. Participation is free.
follow us
Pour lancer notre année d'événements axés sur la sécurité, qui culminera avec la SITC 2025, nous avons organisé une soirée de discussion sur la sécurité avec Stefan Dydak, consultant en sécurité. Sous le titre « Cybersécurité : Au-delà du battage médiatique », Stefan Dydak a exploré les pièges les plus courants en matière de sécurité, les mesures banales que nous pouvons prendre pour nous protéger et les raisons pour lesquelles ces mesures sont souvent bien plus importantes que nous ne le pensons.
Si le potentiel de la blockchain et de l'IA générative - à la fois comme outils de protection et comme risques pour la sécurité - fait l'objet d'une grande attention, leur mise en œuvre est souvent à la traîne. Malgré les progrès réalisés en matière d'infrastructures et de capacités, bon nombre des mêmes vieux problèmes persistent. Au fond, la cybersécurité est moins une question de technologie que de personnes et de processus.
Dans son exposé, Stefan Dydak a mis en évidence cinq aspects clés nécessaires à la sécurisation d'un système : La gestion des actifs, la confiance zéro, les processus de sécurité, la sécurité de la chaîne d'approvisionnement et la gestion de crise.
La gestion des actifs est rarement bien faite, et il est difficile de bien l'exécuter. Au fur et à mesure que les systèmes se développent et évoluent, ils dépendent d'un nombre croissant d'actifs qui doivent être correctement contrôlés, suivis et mis hors service si nécessaire. Malheureusement, ces processus sont souvent relégués au second plan, laissant des données sensibles exposées et créant des opportunités d'accès non autorisé. Il ne suffit pas de gérer les actifs standard ; les organisations doivent également tenir compte des dispositifs périphériques apparents, tels que les capteurs de température dans les centres de données ou les unités de climatisation automatisées. Ces dispositifs ne sont souvent pas conçus dans un souci de sécurité, alors qu'ils doivent accéder à des systèmes critiques, ce qui en fait des vulnérabilités potentielles.
Même une gestion complète des actifs ne peut pas protéger un système sans adhérer aux principes de la confiance zéro. L'ingénierie sociale constitue toujours une menace importante, et si quelqu'un accède à un point d'entrée, il peut exploiter des ports non sécurisés pour accéder à des données sensibles. Les organisations doivent s'assurer que l'accès est à la fois soigneusement accordé et rapidement révoqué et que tous les utilisateurs peuvent être identifiés avec certitude, idéalement au moyen d'une authentification à deux facteurs.
Si les technologies de sécurité peuvent fournir des informations précieuses sur les vulnérabilités potentielles, ces outils sont inefficaces si des processus et des contrôles appropriés ne sont pas mis en place. La communication et la coordination entre les responsables de la sécurité sont essentielles. Les processus doivent être conçus pour permettre la sécurité et résister aux contournements.
Des défis similaires existent dans la sécurité de la chaîne d'approvisionnement, en particulier avec les fournisseurs externes. Lorsque des fournisseurs tiers sont introduits, ils peuvent, par inadvertance, introduire des vulnérabilités. Pour garantir un système réellement sûr, les équipes de sécurité internes doivent être impliquées à chaque étape de la chaîne d'approvisionnement.
S'il est essentiel de prévenir les failles de sécurité, il est tout aussi important de disposer d'un plan de réaction solide. Une gestion de crise efficace nécessite un plan de réponse aux incidents bien conçu, testé et mis à jour de manière active. Ce plan doit prévoir une coordination avec les ressources externes, telles que la police et ses unités de lutte contre la cybercriminalité, et donner la priorité à une communication claire et proactive avec les employés. L'information et l'engagement des employés permettent d'éviter la paralysie et de maintenir la continuité opérationnelle en cas d'incident.
À la fin de son exposé, Stefan Dydak a résumé trois principes essentiels en matière de cybersécurité : une cyberhygiène de base, un soutien descendant et une approche fondée sur les risques. En gardant ces principes à l'esprit, vos systèmes peuvent atteindre un niveau de sécurité nettement plus élevé.
