20 февраля 2016 г.

VIII Уральский форум 2016. День пятый

Пятый день Форума был богат на события. Кроме разнообразных и очень интересных докладов он вместил в себя дебаты, игры, дружеские посиделки на свежем воздухе со скоморохами, песнями и плясками как артистов, так и участников Форума. А кто-то ещё и с гор успел покататься (благо погода была - супер), поиграть в настольный теннис и бильярд.
В рубрике "дебаты, скандалы, расследования" отмечаем незаконченный доклад двух представителей компании DELL. Доклад назывался "Использование тонких клиентов в банковских структурах". Ничто не предвещало грозы, когда чересчур раскованный молодой человек с бутылкой воды вышел на сцену и начал вещать про облака и про замечательный тонкий клиент с авторизацией пользователя по смарт-карте. Сначала из зала поступил один уточняющий вопрос, потом другой, третий. Короче, зал зарубился с DELL, можно ли считать их тонкий клиент безопасным или нет. В результате время вышло, демонстрация презентации так и не началась. Представители DELL посчитали себя "несправедливо обиженными, справедливо обиделись" и с кислыми лицами покинули сцену.
Очень живо прошла командная ИБ-викторина "Своя ИБ-игра" по типу телевизионной на НТВ, за что огромная благодарность Алексею Лукацкому. Если эту идею он воплотил в одиночку, то Алексей - суперчеловек. Если нет, то "хотим всех посмотреть" (кто входил в творческий коллектив). Понравилось всё. И сочетание в вопросах серьёза и юмора, и формирование команд с уже изначально заложенным противостоянием сторон: команда ЦБ (им не хватало креатива), команда вендоров (они увлеклись тактикой и забыли про игру), команда интеграторов (им не хватало разнообразия в наборе компетенций) и победитель викторины - команда банкиров (в команде всё, что не хватало соперникам, присутствовало в разумном сочетании).
Удался и ужин на свежем воздухе, и погода, и концерт приглашенной группы артистов, и башкирские угощения, и флешмоб в финале в виде воздушных шаров со светодиодами внутри (я сам, к сожалению, не видел, меня в это время интересовали другие шары - бильярдные). Организация от компаннии Медиа Группа "Авангард" была безупречной от проведения и освещения Форума до чёрных тапочек, за что огромная благодарность гендиректору компании Артему Зубкову!


 Безопасность бывает не только бумажной, но и эпатажной. 



18 февраля 2016 г.

VIII Уральский форум 2016. День четвертый

Уральский форум в полном разгаре. Его участникам приходиться буквально разрываться между слушанием докладов, участием в воркшопах, катанием на горных лыжах и снегоходах, ночными посиделками за рюмкой чая под гитару. Понимая это, все выступающие на утренней сессии благодарили слушателей за мужественное присутствие в зале.

Устал боец. Не справился с АРТ-атакой
 
Но звучат на конференции и такие доклады, которые не только будоражат умы слушателей, но и заставляют просыпаться специалистов по ИБ среди ночи в холодном поту. Один из таких докладов мы услышали сегодня от Ильи Медведовского под названием, больше подходящему какому-нибудь голливудскому фильму - "Как украсть миллиард" (Вывод денег через уязвимости АБС).
Как поведал Илья некоторые банки сегодня оказались в роли своих же клиентов, пострадавших от мошеннических списаний денежных средств через системы ДБО. И так же как раньше банки "вытирали слезы" пострадавшему клиенту (сам виноват - не сумел защитить рабочее место ДБО),  теперь уже ЦБ "вытирает слезы" банку, с коррепонденского счета которого кибермошенники вывели весь уставной капитал (сам виноват- не можешь защитить свой АРМ КБР или АБС). Критичные информационные системы и рабочие места сотрудников банков внутри корпоративной сети плохо защищены. Сменив вектор атаки с клиентов на банки, киберпреступники потенциально могут украсть не миллионы, а миллиарды рублей из банков. В заключении своего доклада Илья призвал всех присутствующих перейти от бумажной безопасности к реальной.

17 февраля 2016 г.

VIII Уральский форум 2016. День третий


Третий день Форума выдался достаточно насыщенным. Было много дискуссий, мнений, докладов. Для меня самым полезным в мировозренческом плане стал доклад Первого Заместителя Председателя Банка России Сергея Анатольевича Швецова  "Перспективы развития финансовых рынков с точки зрения регулятора". Не знаю, какие доклады нас ожидают ещё, но та информация, которой делятся с участниками Форума представители ЦБ (вчера Сычев А.М., сегодня Швецов С.А.) дают пищу для размышлений на год вперёд. Основные моменты из доклада Швецова С.А.
- Было интересно ознакомиться с таблицей численного состава поколений: X (40-50лет), Y (30 лет) и Z (20 лет), которые очень разнятся между собой моделями поведения (в том числе и в Интернете и социальных сетях).

- В мире уже существует форма предоставления населению консультаций по инвестированию компьютером. Компьютер по понятным причинам (больше данных, больше алгоритмов принятия решений) это делает лучше по сравнению с консультантом. Известно, что рынок стабилен тогда, когда на нем присутствует много игроков с разными инвестиционными стратегиями. Однако, существует опасность вмешательства в работу компьютера-консультанта, вирусной программы. Зная, например, что большое количество игроков рынка будет покупать акции Газпрома, можно открыть короткую позицию на повышение и заработать на этом.

- Повышение уровня жизни наших граждан за счёт использования инструментов финансового рынка. Люди легко ведутся на посылы продавцов, покупая мечту. Люди никогда не читают никаких договоров. Получение согласия на обработку ПДн - это вынужденный выбор клиента по той простой причине, что иначе он не получит финансовую услугу. Должны ли мы так серьезно относиться к обработке персональных данных? Big Data позволяют на основе знаний о профиле клиента предложить ему наиболее выгодную финансовую услугу. Европа приняла у себя закон, по которому ни один поставщик финансовой услуги не может отказать другому поставщику в информации о том, какие финансовые услуги и какого качества потреблял клиент ранее.


- Просвещение руководства компании в сфере ИБ - одна из важнейших задач участников Форума. Необходимо объяснять руководству, почему надо вкладываться в ИТ-технологии. Классические формы ведения банковской деятельности скоро умрут и уже сегодня надо задумываться об адекватной защите от киберугроз.
В новом формате корпоративного управления Совет директоров финучереждения отвечает за риски.
Всем участникам Форума не мешало бы подумать, на сколько их Совет директоров вовлечён в тему защиты от рисков киберугроз?

- Кибермошенники чувствуют себя безнаказанно по причине несоответствия выгод, получаемых киберпреступниками тем наказаниям, которые они могут понести.

- Финансовые технологии опережают развитие кибербезопасности. Необходимо заниматься разведкой относительно киберугроз.

- Чтобы требовать с клиента определенного уровня доверия к финансовым услугам, банкам надо научить клиента соблюдению мер компьютерной "гигиены".

- Банкам необходимо проводить киберучения.

И в заключение пару слов по вечерним дебатам участников Форума по теме "Зачем смотреть вперёд, когда весь опыт сзади". Как-то я не проникся темой дебатов. То ли я не попал в аудиторию, то ли аудитория в меня. Но разговор участников стал почему-то крутиться вокруг конфиденциальности, доступности и целостности информации (свойствах информации, которую мы защищаем) как об общих принципах ИБ, которая с годами не меняется. По мне так Принципы ИБ не отличаются от общечеловеческих в любом роде деятельности: мир, труд, жвачка знания, порядочность, честность.

16 февраля 2016 г.

VIII Уральский форум 2016. День второй

С самого первого дня текущего форума не перестаю удивляться новым для себя открытиям. Либо действительно печатное слово имеет свойство влиять на события, либо просто так совпало. Стоило мне в своём блоге, после завершения предыдущего VII Уральского форума, посетовать на отсутствие на Форуме массовых спортивных мероприятий, как организаторы закатили настоящий праздник спорта, который может стать гвоздем культурной программы на всех будущих форумах в Магнитогорске. Также на предыдущей конференции досталось от меня, в частности, представителю компании DELL Константину Шурунову за излишний рекламный напор в его докладе. И случилось чудо: на сегодняшнем заседании Константин стал образцом скромности среди всех когда-либо выступавших с докладами вендоров, говоря только по теме доклада. Мне очень понравилось выступление Константина с невнятным (казалось бы) названием "Снижение рисков внутренних угроз ИТ-безопасности". Константин очень убедительно рассказал о проблемах управления доступом в компании, ни разу не упомянув при этом о собственных решениях DELL по данной тематике. Его даже спросили из зала, мол, а решения то есть у DELL? Не знаю, что стоило Константину так радикально перестроиться, но, как сказал бы Жванецкий, не упоминая Григория, "Отлично, Константин!". Для меня это пока лучший доклад на Форуме. Ну и как уже традиционно в последнее время очень полезным для банков был доклад Артёма Михайловича Сычева. От лица ЦБ он рассказал, что было, что будет и на чем сердце успокоится у безопасников в банках, не "рисующих" себе высокие показатели по самооценке ИБ в своём банке, а честно проводящих аудит (желательно внешний) и следующих трём Путеводным звёздам: 161-ФЗ, 382-П и СТО БР. Когда требования излагаются столь четко и понятно, на душе банкиров-безопасников по ИБ становится радостнее, что в текущей непростой экономической ситуации уже хорошо. Да, чуть не забыл! В первый день текущего форума состоялось ещё одно уникальное событие. А. Лукацкий с мероприятия со своим участием не отправил НИ ОДНОГО!!! сообщения в Twitter (хоккейный матч "Банкиры" - "Вендоры").


Команда "Наши" в ожидании новостей от А.Лукацкого

15 февраля 2016 г.

VIII Уральский форум 2016. День первый


Аэропорт Магнитогорска не давал добро на посадку. Время - глубоко за полночь, а мы все кружим и кружим над аэропортом. Командир экипажа будничным голосом (намеренно будничным?!) сообщает, что видимость 20 метров, горючего много, будем ждать погоды (?!). В иллюминаторе виден каждый огонёк внизу(?!). Ни туч, ни облаков (?!). И вот уже соседка справа шепчет подруге, что пахнет резиной(?!). А мы все кружим и кружим над аэропортом. 15, 20, 30 минут. К пассажирам выходит стюард - седой (?!), молодой (?!) человек и проверяет, кто из пассажиров не пристегнут. Начинаем очередной (десятый?!) заход на посадку... и садимся. Выходим, как сонные мухи, грузимся в автобус. Кажется все, последними проходят в автобус молоденькие девушки... странно, но резко запахло алкоголем - 14 февраля, день влюблённых, послесловие.
Обрывки сна, и вот мы уже на льду скрещиваем клюшки - матч-легенда "Наши" (команда банкиров) и "Тоже наши" (команда вендоров). Накал высок 1:0, 1:1, 1:2, 2:2, 3:2, 4:2. Все! Победили банкиры. Как и в жизни держатели бюджетов одержали верх над потрошителями этих же бюджетов. Лучшие игроки матча Голубев Александр ("Наши") и Хайретдинов Рустем ("Тоже наши"). Далее обед и в горы. Форум набирает высоту.

13 февраля 2016 г.

Настоящий специалист по ИБ - это...



Ксения Шудрова на страницах своего блога задумалась, как быстро отличить "настоящего" специалиста по ИБ от "ненастоящего". Попробуем в стиле Константина Мелихана пофантазировать, кто же такой Настоящий Специалист по ИБ?