BISS 2017: Новые горизонты и новые риски

24.09.2017

22 сентября в Москве прошел десятый юбилейный Business Information Security Summit (BIS Summit 2017). На наш взгляд, положительным стало минимальное участие представителей иностранных компаний. С одной стороны, это может показаться понижением статуса мероприятия. С другой стороны, рассказ об организации ИБ в других странах (БРИКС) на саммитах прошлых лет был не столь интересен: все государства сильно различаются, как и компании внутри одной страны, поэтому опыт одной страны оказывается неприемлем для другой, тем более такой специфической как РФ.

Шоу «Пленарная часть I» было великолепно: модераторы Олег Седов (главный редактор BISA) и Рустэм Хайретдинов (президент BISA) провели его живо и интересно. Несколько запомнившихся моментов. «Не всегда технологии работают во благо», - отметил Рустэм Хайретдинов. Об этом на многих ИТ-конференциях умалчивают, отмечая лишь положительные стороны. Вспомним хотя бы то, что у всех на слуху: облачные технологии, искусственный интеллект, Agile, Интернет вещей и т.д. Все эти технологии, как минимум, сопряжены с рисками, касающимися информационной безопасности.

Казалось бы, что может быть рискованного в методологии быстрой разработки Agile. Однако, участники саммита справедливо отметили, что здесь интересы бизнеса, которому надо «как можно быстрее» противоречат принципам ИБ. Быстрая разработка совершенно не предусматривает всесторонней проверки ПО на информационную безопасность. Большинство таких приложений не имеет нормальной документации. Так множится неуправляемый хаос.

Вместе с тем, заказчики всё же стали задумываться, и заказывая ПО теперь одним из первых требований, выдвигают требования информационной безопасности.

Рустэм Хайретдинов отметил, что сегодня безопасность, к сожалению, играет пассивную роль (мониторинг, расследование), а нужна активная роль, упреждающая действия злоумышленников. Но активные действия систем ИБ время от времени влекут ложные срабатывания, а это бич бизнес-процессов. Поэтому решение ИБ должно стать частью бизнес-процессов. По словам Рустэма Хайретдинова, здесь можно применить принцип иммунитета: он живет вместе с организмом и никак не может быть «навесным».

Дмитрий Мананников, эксперт BISA, пояснил: «Безопасность должна закладываться в архитектуру системы. Важно участвовать в самом процессе создания системы, а не строить защиту после того, как эта система спроектирована. Эффективная безопасность должна трансформироваться в некое свойство самой системы, в инструмент самодиагностики или во внутренний иммунитет, реагирующий на каждое девиантное изменение системы, отличное от изначальной логики. Система должна уметь промаркировать это отклонение, уметь его ограничить, а в случае необходимости выработать антитела на случай повторного инцидента».

Наталья Касперская, президент ГК InfoWatch обратила внимание на опасность биометрических технологий, которые сегодня завоевывают всё большую популярность. Удобство их применения никак не исключает обратной стороны явления: кража биометрических данных может нанести трудно исправимый вред гражданину: он нигде не сможет доказать свою личность, не сможет пользоваться никакими услугами и т.д. «Поэтому я буду держать у себя бумажный паспорт насколько возможно долго, не переходя на цифровое удостоверение личности», - сказала Наталья Касперская. Об опасности полной замены бумажных документов электронными, которые предполагается хранить в единой государственной БД, стали говорить и на других мероприятиях, посвященных информационной безопасности.

Ринат Гимранов, начальник управления ИТ «Сургутнефтегаз» отметил, что сегодня никто не умеет программировать бизнес-процессы – «их рисуют, а не программируют». В том числе, не защищают должным образом. Он также упомянул бурно развивающийся IoT: никому не понятно, где та самая «кнопка», которая связывает цифровой мир с физическим, как можно регулировать эту связь. И еще. Что бы ни делали разработчики, приходится учитывать наличную политико-экономическую ситуацию в стране и мире.

Подытоживая, Ринат Гимранов подчеркнул, что безопасность бизнес-процессов является сегодня глобальной задачей безопасности. Но поскольку она находится на ином технологическом уровне, то без смещения в сторону ИБ ее уже не решить.

Гаральд Бандурин, председатель наблюдательного совета itSMF России подчеркнул, что сегодня идет экспоненциальное усложнение систем. Одновременно это означает и усложнение угроз, что обязательно нужно учитывать при разработке. Как ни печально, до сих пор службы ИТ и ИБ мешают друг другу, страдающей стороной остается бизнес.

Как и в жизни, в решении это проблемы есть два варианта. Первый – оставить всё как есть, а потом болезнь лечить. Второй – вести «здоровый образ жизни», для чего нужно обучение специалистов, адекватная нормативная база, эффективная и адекватная система управления. Возможно, требуется принять единую систему требований ИБ при разработке решений.

В рамках саммита прошла выставка решений ИБ. Самый обширный стенд был у компаний-резидентов «Сколково». ГК InfoWatch – генеральный спонсор саммита представила на выставке новую версию своего флагманского решения InfoWatch Traffic Monitor, включая обновленные модули для обеспечения защиты данных на корпоративных мобильных устройствах. В дополнение к существующим средствам защиты от внутренних угроз, связанных с информационной безопасностью, на выставке был представлен продукт для мониторинга рабочей активности персонала и использования корпоративных ресурсов предприятий СМБ. Специалисты InfoWatch продемонстрировали также программно-аппаратный комплекс, предназначенный для создания систем защиты АСУТП и решения для обеспечения безопасности приложений.

Елена Шашенкова

Тема:Безопасность