20 февраля 2017 г.

IX Уральский форум. День пятый.







й   день


Если последний день Уральского форума получил название “Угрожающий” день практической безопасности”, то тех, кто слушал с утра пятничные доклады и посмотрел или принял участие в бизнес-игре “Kaspersky Interactive Simulation” можно смело назвать “выжившими”. Собрать волю в кулак и посетить утренние доклады в заключительный день Уральского форума - такое не каждому под силу. Но, как говорится: “Кто рано встаёт, тому Бог подаёт, а кто поздно встаёт, тому Бог уже всё дал”.
Из утренних выступлений для меня традиционно увлекательным был доклад руководителя компании “ЛАВИНА ПУЛЬС” Андрея Масаловича по теме “Сыграть на опережение: арсенал бизнес-разведки для раннего предупреждения угроз бизнесу, репутации и устойчивому развитию”. Андрей Масалович поведал залу, что 60% мозга безопасника поражено бумажной безопасностью (но не уточнил, сколько из оставшихся 40% мозга поражено "теневым", “глубинным” Интернетом).
Впервые на Форуме участники играли в “Kaspersky Interactive Simulation” – игру-симулятор противостояния нападения (злоумышленники) и защиты (ИБ банка).
Участники разбились на четыре команды: регуляторы, банкиры, команда экспертов-ветеранов и команда зрительного зала.
Игра состояла из пяти заданий. Цель игры - не потерять в условиях ограниченного бюджета ИБ уставной капитал банка и защитить его от атак хакеров, а также как можно больше заработать. Времени на принятие решений командам с каждым заданием отводилось всё меньше и меньше.
В результате победила команда экспертов-ветеранов. Но удовольствие от игры получили все!

Победитель игры - команда экспертов-ветеранов
Спасибо компании “Лаборатория Касперского” и ведущим игры Кириллу Мартыненко и Алексею Горелкину!
Кстати, после окончания игры много было предъяв к организаторам игры по поводу: а почему так? Ну, что ответить на это критикам? Надо уметь отличить любую игру от реальности. А если не получается - это с вами что-то не так, а не с игрой.
Итоги IX Уральского форума “Информационная безопасность финансовой сферы” подвёл Артем Михайлович Сычев, заместитель начальника ГУБиЗИ Банка России в своём заключительном слове.
В заключение некоторые цифры, любезно предоставленные А.М.Сычёвым. Делегация от Банка России была очень представительной: 32 участника, в том числе, один первый зампред и два зампреда.
Не могло пройти мимо внимания участников Форума большая вовлеченность представителей Банка России в проведение конференции. Это и выступление Лунтовского Георгия Ивановича (Первый заместитель Председателя Банка России) в первой части Пленарной сессии. И модерирование дискуссии “Финтех и Кибертех: вместе или врозь?” Ольгой Скоробогатовой (заместитель Председателя Банка России). И ключевое выступление на третий день Уральского форума Владимира Чистюхина, заместителя Председателя Банка России, с докладом “Основные направления развития финансовых рынков. Новые вызовы для безопасности”. Про главного организатора Уральского форума Артема Михайловича Сычева, заместителя начальника ГУБиЗИ Банка России, думаю, знают все.
Всего участвовало в Уральском форуме 483 делегата из 20 городов России и 78 кредитно-финансовых организаций.
Было прочитано 62 доклада, проведено: 8 воркшопов, 4 дискуссии, одни вечерние дебаты, одна закрытая секция.
И всё же, как мне кажется, не хватало дискуссиям и выступлениям таких ярких участников предыдущих форумов в Магнитогорске, как Алексей Лукацкий (бизнес-консультант по безопасности, Cisco Systems), Наталья Касперская (президент Группы компаний InfoWatch), Игорь Ашманов (генеральный директор компании ‘Ашманов и партнеры”), Александр Баранов (заместитель Генерального директора АО ГНИВЦ).
P.S. "Земноводные" – участники лазертаг-игры “Банковская зарница” (из энциклопедии Уральского форума).

IX Уральский форум. День четвертый.







й   день

Ключевым докладом на четвертый день Уральского форума конечно же было выступление заместителя Председателя Банка России Владимира Чистюхина по теме, обозначенной в программе Форума как “Основные направления развития финансовых рынков. Новые вызовы для безопасности”.
Вот краткие выкладки из доклада.
Цифровые составляющие основных направлений развития финансового рынка:
-повышение финансовой грамотности в части киберрисков;
-развитие электронных средств платежа, электронных технологий в практике продаж и предоставления финансовых продуктов и услуг;
-противодействие киберпреступности;
-обучение по направлению киберустойчивости;
-поэтапное изменение автоматизированных процессов сбора и анализа всех видов отчетности поднадзорных организаций;
-переход к дистанционному безбумажному взаимодействию;
-перевод части услуг и сервисов Банка России в электронный вид с использованием инфраструктуры электронного правительства.
Взгляд Банк России на типичные причины финансовых потерь в киберпространстве:
-недостаточность знаний и навыков при работе с новыми продуктами и услугами;
-пренебрежение правилами безопасного поведения;
-попытка приобретения дорогих вещей за бесценок;
-попытки покупок на распродажах, завершающихся в ближайшие минуты;
-ввод конфиденциальных данных в незащищённых и непроверенных местах;
-использование нелицензионного программного обеспечения;
-доверие к информации, полученной из непроверенных источников.
Приоритетные направления Банка России в деле противодействия киберпреступности в 2017 году:
-продолжение оптимизации технических аспектов обеспечения информационной безопасности;
-повышение достоверности финансовой отчетности;
-совершенствование требований к управлению операционным риском;
-программы обучения специалистов.
На 2017 год Банком России запланированы программы обучения по направлению киберустойчивости не менее 512 часов, а также:
-разработка типовой примерной программы профессиональной переподготовки по обеспечению информационной безопасности для специалистов организаций кредитно-финансовой сферы (с последующим утверждением в ФСТЭК);
-участие в разработке профессионального стандарта “Специалист по информационной безопасности”.
С огоньком и задором прошла утренняя сессия “Квалификационные требования и подготовка специалистов ИБ. Повышение осведомленности сотрудников финансовых организаций”.
Порадовал своим Планом мероприятий по повышению осведомлённости Почта Банк.
Слайд от А.Прозорова
О современном подходе к повышению осведомлённости сотрудников в области ИБ рассказал Алексей Горелкин, менеджер по работе с крупными корпоративными клиентами, АО “Лаборатория Касперского”. Считаю удачей (к месту и в тему) использование в презентации слайда с изображением картины Василия Григорьевича Перова “Проповедь в селе” (1861. Государственная Третьяковская галерея, Москва. Холст, масло. 71,5 х 63,3). Использование связи времён наглядно показывает, что “проповеди” о правилах поведения существовали всегда: как раньше, так и сейчас они означали призыв, беседу, поучение.

Бурным и запоминающимся получилось выступление Евгении Колодиной, директора по развитию компании “ЦИБИТ”, с докладом “Профессиональное становление специалиста по информационной безопасности — от специалиста до руководителя. Рецепты учебного центра и кадрового агентства”. Тут было все: и элементы шоу - переодевание в медработника и “живые” слайды с корпоратива презентации.

Традиционные, вечерние посиделки для финансовых организаций под лозунгом "обсуждение вопросов взаимодействия кредитных организаций с Банком России" прошли очень плодотворно. Банковскими работниками были получены от А.М.Сычева исчерпывающие ответы на два животрепещущих вопроса:
-особенности взаимодействия банков с FinCERT;
-перенос функционала подготовки платёжного поручения из АРМ КБР в АБС банка.
Хотелось бы обратить внимание ещё и на тему рисков ИБ. Информационная безопасность банков должна довести до сведения своих первых руководителей информацию о том, что кредитная организация в ближайшее время будет обязана создавать резервы на покрытие рисков ИБ. Полномочия на установление требований к системе управления рисками и оценку её качества возлагается на Банк России. Главная инспекция Банка России будет проводить проверки уровня зрелости банков в сфере информационной безопасности. В случае обнаружения в ходе проверки значительных рисков ИБ в кредитной организации, банку придётся увеличивать капитал или нести расходы по резервированию этих рисков.
P.S. "Хитрый Лис(а)" – персонаж, используемый для оформления спортивных маек от компании “Авангард” – главного организатора Форума (из энциклопедии Уральского форума).
Продолжение следует...

19 февраля 2017 г.

IX Уральский форум. День третий.







й   день

Во время дискуссии “Повышение культуры кибербезопасности” Сергей Лебедь, руководитель службы кибербезопасности ПАО Сбербанк, поделился безутешным выводом после учебной проверки сотрудников на реагирование в случае фишинговых (поддельных) писем: “Если в заголовке сообщения в адрес работников Сбербанка будет стоять “Герман Греф”, то, к сожалению, откроют поддельное письмо 80% из адресной рассылки”.
Из забавного, Андрей Акинин, генеральный директор Web Control, порадовал слушателей, новостью о своей, недавно опубликованной “очень хорошей статье” (почему то сразу вспомнилась шутка: написал статью и расплакался - я так классно пишу!). И выдал очередной афоризм в зал (после “не позволять хорошим людям делать плохие вещи”): “специалист службы ИБ - это шериф, а не полицейский” (я тут же попробовал перенести удачное сравнение на нашу российскую почву, получилось, прямо скажем, не очень: “специалист службы ИБ – это участковый, а не ГИБДД-шник”.
С большим интересом ожидалась слушателями сессия “Возможности для атаки и практика защиты финансовых организаций”. И, забегая вперёд, эти ожидания оправдались.
Илья Медведовский, генеральный директор Диджитал Секьюрити, поделился интересными размышлениями на тему “Блеск и нищета пентеста в режиме Red Team, или “Не нужна тебе, Вовка, такая машина”. Вот краткое изложение тезисов:
-не надо заниматься излишней мифологизацией или демонизацией хакеров;
-заказчики, как правило, не уделяют должного внимания тем ограничениям, которые необходимо предусмотреть при тестировании средств защиты в режиме Red Team. Необходимо помнить об аккуратности в случае привлечения Red Team. Так как, например, история с фишингом может выйти из под контроля организации;
-возможности, задачи и приёмы злоумышленников и Red Team несравнимы и несопоставимы;
-злоумышленники не будут особо заморачиваться, а выберут наиболее простой путь для взлома;
-пентест – поиск уязвимостей и несчастных случаев не бывает, в случае Red Team несчастные случаи (непредсказуемые последствия) могут иметь место. Поэтому надо рассматривать Red Team как дополнительный  элемент, не имеющий отношения к пентесту, предназначенный для организации с уже выстроенной серьёзной защитой, для целей контроля средств защиты и проверки их эффективности.
Живо и познавательно прошла сессия “Аутсорсинг в ИБ...”
Слайд А.Прозорова
Тема “Аутсорсинг в ИБ” получила продолжение в виде оживлённой дискуссии на вечернем воркшопе, организованным компанией “Angara”, под названием “Информационная безопасность в среднем и малом банке”.
На воркшопе присутствовали поставщики решений ИБ, а также представители 19-ти кредитных организаций. ИБ-шники из средних и малых банков продемонстрировали, что за пределами списка банков ТОП-30 тоже есть какая-никакая жизнь в ИБ, а финансовая отрасль на темы информационной безопасности может разговаривать не только голосом Сбербанка, ВТБ или Банка Открытие.
Из дискуссии для себя выделил а) общую проблему бюджетов на ИБ в малых и средних банках; б) проблему донесения существующих киберугроз до первых лиц банка и важности осознания в этой связи роли ИБ в компании; в) аутсорсинг, в общем-то, используется в банках повсеместно: это и сторонние процессинговые центры, и физическая охрана и инкассация, и обучение сотрудников, и предоставление юридических услуг клиентам и сотрудникам банка сторонней компанией.
Самые востребованные услуги по аутсорсингу ИБ по итогам голосования среди представителей банков распределились следующим образом: 1. мониторинг событий ИБ; 2. анализ защищённости; 3. анализ кода; 4. защита от DDoS.
P.S. "Не тигр" – “уничтожительное” выражение, используемое Р. Хайретдиновым при желании усилить сравнение в пользу другого выражения, например, “вожак-волк, пастух - не овца” (из энциклопедии Уральского форума).

Продолжение следует...

IX Уральский форум. День второй.







й   день

Второй день Уральского форума открывала Пленарная сессия “Информационная безопасность финансовой сферы”.
Но прежде, чем участники Форума прошли в зал, у всех желающих была возможность получить от представителей Банка России в распечатанном виде проект “Методических рекомендаций по переносу подписанияэлектронных сообщений из АРМ КБР в автоматизированную систему клиента платежнойсистемы Банка России". “Рекомендации” в банках ждали, вопросов к Банку России по данной тематике много, поэтому выделяю этот момент особо.
Открывая Пленарное заседание, Гарегин Ашотович Тосунян (Президент Ассоциации Российских банков) призвал всех выступающих больше использовать юмор при обсуждении важных тем информационной безопасности (именно эту задачу и ставит во главу угла Ваш покорный слуга, пытаясь доносить информацию до читателя, рассказывая несерьезно о серьезном).
Во второй части пленарной сессии “Киберустойчивость” важная информация для банковского сообщества прозвучала от Матвея Геринга, руководителя SWIFT по России, СНГ и Монголии, в его докладе “Программа повышения безопасности пользователей SWIFT”. 1 апреля SWIFT опубликует 27 пунктов контроля участников международной межбанковской системы передачи информации и совершения платежей, из них 16 будут обязательными, а 11 носить рекомендательный характер. До конца 2017 года банки должны будут провести самооценку на соответствие этим принципам. “О банках, которые не отвечают этим принципам, мы будем сообщать регуляторам”, — отметил представитель SWIFT.

Из забавного отметим, что представитель компании SWIFT был в галстуке “а-ля Билайн”. “Product placement”, - в шутку предположил мой сосед слева Иван. “Кросс-продажи”, - была версия у моего соседа справа Андрея.

Как всегда на Форуме, вечером был ужин на свежем воздухе, который прошёл тепло и задушевно. Было много огня, угощений, улыбок, песен и танцев. Праздничный салют окончательно ознаменовал открытие IX-ого Уральского форума.

P.S. "Крокодил" - командная игра, натолкнувшая Программный комитет Уральского форума на идею проведения командных, познавательно-развлекательных игр для участников Форума (из энциклопедии Уральского форума).

Продолжение следует...

18 февраля 2017 г.

IX Уральский форум. День первый.







й   день

После тяжелого ночного авиаперелета Москва-Магнитогорск удалось поспать часа три и вперёд на банковские спортивные игры.
Программа первого дня Уральского форума включала в себя соревнования по зимним видам спорта и снежным развлечениям — спортивные игры "Банковские Битвы".
Так как в прошлом году было туго с валенками и клюшками для правшей (правши играют клюшками с левым загибом), с самого открытия проката ДЦ “Юбилейный” я был уже у окошка выдачи инвентаря. Валенков в “общем доступе” с утра ещё не было и мне принесли два левых валенка (хоть что-то по сравнению с прошлым годом), зато нашлась нужная "левая" клюшка.
Ровно в 12:00 — все участники построились на церемонию открытия “Банковских Битв”.
После приветственной речи Артема Михайловича Сычева, заместителя начальника ГУБиЗИ Банка России, участники IX Уральского форума разошлись по своим площадкам.
Часть из них вышла на лёд для участия в “хоккее в валенках”, традиционно разбившись на две команды "Наши"(банкиры) и "Тоже наши"(вендоры). А часть, переодевшись в камуфляжную форму, сразилась в лазертаг-игре “Банковская зарница”.
Удивительно, что сценарий хоккейного матча полностью совпал с прошлогодним. Счет Банкиры-Вендоры менялся в той же последовательности: 1:0, 1:1, 1:2, 2:2, 3:2, 4:2. Вновь победили банкиры. Совпал с прошлогодним выбор лучших игроков матча: Голубев Александр ("Наши") и Хайретдинов Рустем ("Тоже наши"). Игра получилась жаркой, бескомпромиссной, захватывающей. К сожалению, не обошлось без травм.

В лазертаг-игре “Банковская зарница”, наоборот, победили вендоры.
Затем по расписанию для участников Форума – обед, а после обеда народ потянулся в сторону горнолыжного центра “Металлург”. Погода  как никогда благоприятствовала любым развлечениям на свежем воздухе.

Все участники Форума имели возможность приобрести футболки с изображением Хитрого Лиса. Решил и я в оформлении своих сообщений об Уральском форуме использовать изображения разных животных.

P.S. "Лев" - Шумский (из энциклопедии Уральского форума)
Продолжение следует...

7 февраля 2017 г.

О том, как читать трудно-усва-и-ва-е-мые документы по ИБ



Вот как выглядит “Картина мира банковской информационной безопасности”, нарисованная заботливой рукой Банка России. Порадуйтесь её завершённости и приготовьтесь к грядущим "тектоническим" сдвигам: кто был (почти) ничем (Стандартом), тот станет всем (ГОСТом).
Но разговор не об этом. А о том, как читать трудно-усва-и-ва-е-мые документы по ИБ?