The Swiss IT Congress SITC 2023 on E-ID in Switzerland has been held on Thursday May 11, 2023 as a physical event at the sitem-insel building in Bern.
We encourage all people interested in E-ID, data security and related subjects to have a look at the slides of the most general interest lectures, provided here. If you are interested in other parts of the agenda or wish to know about the follow-up that SI will give this event, contact us.
| 08:30 | Registration, welcome coffee | |
|---|---|---|
| 09:00 |
SI General Assembly |
Francis Baud, SI President Simon Moser, SI Treasurer |
| 11:00 | Coffee break | |
| 11:20 |
Opening of SITC 2023 and Welcome |
Francis Baud, SI President Nora Sleumer, SI Vice President and Moderator |
| 11:30 |
“The E-ID provided by the Swiss Government: Current state of work and perspectives” |
Rolf Rauschenbach, Communications Officer E-ID, Federal Office of Justice FOJ |
| 12:30 | Networking lunch | |
| 13:30 | E-ID in other countries | |
| "Aadhaar: E-ID in India" |
Indukumar Vellapillil-Hari, Enterprise Architect at Credit Suisse with interest with ID implementation |
|
| "ID (identification) Austria" |
Magister Martin Nemec, in charge of servicing ID at the Federal Ministry of Finance in Austria |
|
| 15:00 | Coffee break | |
| 15:30 |
"Swiss E-ID: Challenges and Chances" |
Prof. Dr. Annett Laube-Rosenpflanzer, Head of Institute IDAS, BFH-TI |
| "Perpetual signatures, revocation and the right to be forgotten" |
Dr. Jörn Erbguth |
|
| 17:00 |
Sandbox Presentation: Public Sandbox Trust Infrastructure |
Federal E-ID Technical Team, Jonas Niestroj |
| 17:20 |
Closing remarks |
Francis Baud, SI President Nora Sleumer, SI Vice President and Moderator |
| 17:30 to 20:00 | Networking Apéro riche |
Rolf Rauschenbach holds a Ph.D. in political science from the University of St. Gallen. He works as Communications Officer at the Federal Office of Justice FOJ. Prior, he held various positions in the industry and in academia, among others Chief Sales Officer at Procivis AG in Zurich and lecturer and researcher at Universidade de São Paulo, Brazil.
Indukumar Vellapillil-Hari has 24 years of extensive experience in various roles such as an IT strategist, lead architect, service delivery lead, project leader, entrepreneur, author and software developer, with a significant 20 years in financial service domain.
He has done Technology strategy consulting for C-level engagements in large financial services organizations, practices architecture analysis of large scale digital transformation thanks to a wide experience ranging from architecting India's first reverse auction portal for travel, to the architecture of an award winning mobile application for a large Swiss bank.
He also co-founded a profitable Software As a Service company specialized in Structured Products.
Martin Nemec has Degrees in Computer Science and Economy from the Technical University in Vienna. He started his career, while still studying, in the Network Department of a large Austrian Bank. Later he did Network Management for Austrian Banks. After graduation he worked as Consultant in Umbrella Management on behalf of Unisys Austria, a large Austrian Telecom Provider.
Since 2003 in public service, he was responsible for the introduction of ELAK (electronic files) in the Federal Ministry of Transport. Then, from 2005 on, in the Federal Chancellery, he developed all kinds of electronic Forms (PDF, HTML, etc.).
In 2018, first in the Federal Ministry of Digitalization and Economy, and then in the Federal Ministry of Finance, he is responsible for the technical items and service of ID Austria.
Prof. Dr. Annett Laube-Rosenpflanzer received her doctorate in computer science from the TU Dresden. After more than 10 years in the IT industry (IBM Germany, SAP Development Canada, SAP Research Sophia-Antipolis/France), she has been Professor of Computer Science at the Bern University of Applied Sciences since 2009. In addition to her commitment to teaching, Annett Laube-Rosenpflanzer heads the IAM research group at the Institute for Data Applications and Security (IDAS). In her research she is particularly concerned with Identity and Access Management (IAM), authentication protocols, electronic identities and signatures, privacy protection.
With a double background in law and computer science, Jörn Erbguth bridges the gap between technology and law. After working as CTO, he wrote a thesis about a framework for long-term revocable credentials using blockchain and complying with data protection regulation. Jörn Erbguth is a consultant on blockchain and data protection and Head of Technology Insights at the Geneva Macro Labs association. He participates in standards organizations and lectures at Swiss universities. Jörn Erbguth likes to bridge the gap between disciplines to help shape the future digital society oriented on human rights and sustainability.
The state acts as the issuer of the E-ID and ensures the operation of the necessary trust infrastructure. Users should have the greatest possible control over their data. The department in charge of E-ID will use a SANDBOX to test it.
What is this public sandbox?
Generally speaking, a "sandbox" is an isolated test environment in which to experiment with new applications and technological approaches. In the case of the public trust infrastructure sandbox, this involves testing the technical components and processes around the e-ID and the trust infrastructure that is planned to be put in place, not only within the federal administration, but also with future ecosystem participants from the public sector and the economy.
Why does the Confederation offer this service?
The Confederation and the other participants can, in this test environment, acquire technical experience (functionalities, scalability, security, operation, etc.), organizational (integration of users, technical assistance, etc.) and functional (tests of use cases, interoperability between several organizations, ease of use, etc.). In addition, the sandbox must make it possible to interest other players in the ecosystem of digital evidence that is planned to be developed.
Who can participate?
Individuals, companies and organizations with their registered office in Switzerland. Participation is free.
follow us
"La sicurezza e la fiducia sono essenziali per l'IT, le imprese e la società. Ecco perché partecipo all'iniziativa IT Expert SI".
"La UX e il design delle interfacce stanno diventando sempre più importanti per ottenere un software valido e utile. Credo fermamente che tutti coloro che sono coinvolti nello sviluppo di software debbano avere una comprensione minima delle basi, e quindi sostengo l'idea di una qualifica e di una certificazione in questo campo. In qualità di docente e professionista, mi sento qualificato per dare un contributo a questo compito e spero di poter contribuire alla definizione di una buona soluzione".
"È mia preoccupazione di cuore promuovere l'aumento della professionalità e il riconoscimento degli esperti informatici e dell'IT. In qualità di membro dello IESCo e della Svizzera francese, sono impegnato nell'attuazione del "SI Esperto IT" in generale e in particolare nella Svizzera francese".
"L'IT è un fattore di sviluppo e un motore essenziale per la tecnologia, il mercato e la società. Tuttavia, è importante considerare l'IT come uno strumento di servizio per l'utente. L'etica e la formazione continua sono indispensabili. Con IT Expert SI stiamo formando un'eccellente piattaforma per promuovere efficacemente questi temi e farli confluire nello sviluppo dell'informatica svizzera. In qualità di membro dello IESCo e di presidente del Comitato Etico di SI, mi impegno per un'attuazione equa ed etica dello statuto di SI e sostengo attivamente i valori fondamentali di IT Expert SI".
"I am participating in the IESCo because a uniform certification of the profession of computer scientists throughout Switzerland creates transparency for both professionals and companies, facilitates personnel selection and directly improves the quality of IT projects. It fills me with pride to bring our profession forward"
"I processi automatizzati hanno un grande potenziale. Le aziende e le organizzazioni, ma anche gli individui e la società, dipendono esistenzialmente dal loro sviluppo e dalla loro qualità. I professionisti che pianificano, implementano e infine gestiscono questi processi si assumono una grande responsabilità. SI fornisce la piattaforma necessaria affinché essi possano assumersi questa responsabilità con competenza dopo la formazione iniziale e fino alla pensione. In quanto associazione no-profit di esperti per esperti, la SI garantisce anche un feedback oggettivo e neutrale dalla pratica. In questo modo, ottimizziamo continuamente le best practice e i requisiti di formazione, ed è per questo che mi impegno intensamente e con piacere in IT Expert SI".
Per dare il via al nostro anno di eventi incentrati sulla sicurezza, che culmineranno nella SITC 2025, abbiamo ospitato una SI Evening Talk con il consulente di sicurezza Stefan Dydak. Con il titolo “Cybersecurity: Beyond the Hype”, Dydak ha esplorato le comuni insidie della sicurezza, le azioni banali che possiamo intraprendere per proteggerci e il motivo per cui spesso sono molto più importanti di quanto crediamo.
Sebbene si presti molta attenzione al potenziale della blockchain e dell'IA generativa - sia come strumenti di protezione che come rischi per la sicurezza - la loro implementazione è spesso in ritardo. Nonostante i progressi nelle infrastrutture e nelle capacità, persistono molti degli stessi vecchi problemi. In fondo, la cybersicurezza non riguarda tanto la tecnologia quanto le persone e i processi.
Nel suo intervento, Stefan Dydak ha evidenziato cinque aspetti chiave necessari per rendere sicuro un sistema: Gestione delle risorse, fiducia zero, processi di sicurezza, sicurezza della catena di approvvigionamento e gestione delle crisi.
La gestione delle risorse è raramente fatta bene e la sua esecuzione è impegnativa. Man mano che i sistemi crescono e si evolvono, dipendono da un numero sempre maggiore di asset che devono essere adeguatamente controllati, monitorati e smantellati quando necessario. Purtroppo, questi processi passano spesso in secondo piano, lasciando esposti i dati sensibili e creando opportunità di accesso non autorizzato. Non è sufficiente gestire gli asset standard; le organizzazioni devono anche tenere conto di dispositivi apparentemente periferici, come i sensori di temperatura nei data center o le unità CA automatizzate. Spesso questi dispositivi non sono stati progettati pensando alla sicurezza, eppure richiedono l'accesso a sistemi critici, rendendoli potenziali vulnerabilità.
Anche una gestione completa delle risorse non è in grado di salvaguardare un sistema senza il rispetto dei principi di zero trust. L'ingegneria sociale è sempre una minaccia significativa e se qualcuno riesce ad accedere a un punto di ingresso, può sfruttare porte non protette per accedere a dati sensibili. Le organizzazioni devono garantire che l'accesso sia concesso con attenzione e revocato tempestivamente e che tutti gli utenti possano essere identificati con certezza, idealmente attraverso l'autenticazione a due fattori.
Sebbene la tecnologia di sicurezza possa fornire indicazioni preziose sulle potenziali vulnerabilità, questi strumenti sono inefficaci se non vengono messi in atto processi e controlli adeguati. La comunicazione e il coordinamento tra i responsabili della sicurezza sono essenziali. I processi devono essere progettati per consentire la sicurezza e resistere all'elusione.
Sfide simili esistono nella sicurezza della catena di fornitura, in particolare con i fornitori esterni. Quando si introducono fornitori terzi, questi possono inavvertitamente introdurre vulnerabilità. Per garantire un sistema veramente sicuro, i team di sicurezza interni devono essere coinvolti in ogni fase della catena di fornitura.
Se prevenire le violazioni della sicurezza è fondamentale, è altrettanto importante disporre di un solido piano di risposta. Una gestione efficace delle crisi richiede un piano di risposta agli incidenti ben congegnato, testato e aggiornato attivamente. Questo piano deve includere il coordinamento con le risorse esterne, come la polizia e le sue unità di criminalità informatica, e dare priorità a una comunicazione chiara e proattiva con i dipendenti. Mantenere i dipendenti informati e impegnati può prevenire la paralisi e mantenere la continuità operativa durante un incidente.
Alla fine del suo intervento, Stefan Dydak ha riassunto tre principi essenziali per la sicurezza informatica: igiene informatica di base, supporto dall'alto verso il basso e approccio basato sul rischio. Tenendo a mente questi principi, i vostri sistemi possono raggiungere un livello di sicurezza significativamente più elevato.
