В Москве состоялся X Межотраслевой форум CISO FORUM 2017: суровые будни CISO – 2017, организованный компанией infor-media Russia. В его работе участвовали более 350 экспертов. Юбилейное по счету мероприятие дало повод проанализировать тенденции в сфере информационной безопасности за минувшее десятилетие и прогнозировать грядущие тренды. Воспользовавшись капсулой времени, делегаты форума могли записать видеообращение с напутствием и рекомендациями будущему поколению специалистов. Одним из важнейших направлений в обеспечении ИБ эксперты считают обнаружение уязвимостей. Основной вектор современных атак связан с социальной инженерией и инструментальным воздействием на корпоративные ресурсы. Информация давно вышла за периметр организации – хранится на внешних носителях, мобильных устройствах. Тотальную защиту обеспечить невозможно, приходится расставлять приоритеты.
По традиции форум открылся пленарным заседанием, на котором обсуждались основные тенденции в сфере угроз, направления развития отраслевых стандартов в области информационной безопасности. Выступавшие отмечали основные этапы эволюции отрасли на российском рынке за минувшее десятилетие, сравнивали классические и альтернативные системы защиты, рассуждали на тему возможности обеспечить полную безопасность. Среди ключевых тенденций в сегменте ИБ назывались интерес к аутсорсингу, обеспечение безопасности из «облака», ужесточение требований регулятора, интеграция усилий представителей ИТ и CISO, большие данные, машинное обучение и дефицит кадров. В ряде выступлений отмечалась роль аналитических инструментов и систем мониторинга.
Что касается взвешенного подхода к соблюдению требований регуляторов и балансу возможностей компаний, то, по мнению экспертов, одна из проблем обусловлена слишком длительной процедурой сертификации. Нередко это приводит к тому, что на рынке предлагаются программы, которые сертифицированы, но их больше не выпускают. Выход из ситуации можно найти в процессе взаимодействия специалистов по ИБ с регулирующими органами.
На рынке увеличивается доля услуг аутсорсинга, регулярно предлагаются новые решения, при этом возникают проблемы с их внедрением, поскольку ощущается дефицит кадров и особенно актуальным становится постоянное повышение уровня подготовки ИБ-специалистов. Изменить ситуацию в этой сфере пытаются крупные игроки. Например, финансово-кредитные учреждения развивают сотрудничество с вузами, а «Сбербанк» взялся за подготовку специалистов на базе открывшейся в прошлом году академии.
Лучшие практики в области защиты информации делегаты обсуждали на специальной сессии, которая стала продолжением пленарного заседания. В последние годы особую актуальность приобрели вопросы международного противодействия киберпреступности. Успешная работа на этом направлении во многом зависит от координации усилий специалистов разных стран. Одним из препятствий являются споры на предмет терминологии, что затягивает процесс заключения соответствующих соглашений. Между тем, кибератаки наносят колоссальный ущерб. Например, от массовых атак на учреждения финансовой отрасли в 2016 г. пострадали 104 организации в 31 стране.
Программой форума было предусмотрено проведение заседаний, организованных в формате пяти тематических потоков: бизнес, технологии, организационный, хакерский и юридический. В рамках бизнес-потока основное внимание уделялось созданию и введению корпоративных правил, получению обратной связи, отношению владельцев компаний к вопросам безопасности. В современном мире безопасность следует рассматривать как бизнес-функцию. Если цель подразделений ИБ – помочь бизнесу, то критериями такой поддержки можно считать снижение рисков в сфере информационной безопасности, обеспечение соответствия требованиям, организацию соответствующих процессов. Среди ключевых направлений развития корпоративного сегмента эксперты называли интеграцию средств защиты в корпоративную культуру, оптимизацию затрат, а также повышение эффективности и прозрачности ИБ. К целям управления рисками с точки зрения информационной безопасности относятся инвентаризация рисков, определение приоритетов и систематизация деятельности, обоснование инвестиций и демонстрация пользы ИБ для бизнеса.
При разработке корпоративных правил следует учитывать, какие из них легко выполнимы: пассивные, требующие небольшого изменения поведения, одинаковые для всех из ближнего круга, логически обоснованные. Соблюдение правил со временем становится привычкой. Но для формирования такой привычки в сфере ИБ важно четко формулировать требования и доводить регламенты и инструкции до каждого (!) сотрудника, обеспечить независимый контроль и установить обратную связь, а за конкретные нарушения должны быть предусмотрены определенные наказания.
Большое внимание в выступлениях на форуме уделялось предметным задачам по управлению рисками в сфере ИБ, для решения которых важно обеспечить идентификацию, анализ и ранжирование рисков, составить план обработки рисков и реализации соответствующих мероприятий, а затем в обязательном порядке оценить их эффективность. На примере крупных компаний анализировалось, кто является участником процесса управления рисками. В оценке критичности активов участвуют подразделение ИБ и владельцы бизнес-процессов. ИТ-служба отвечает за декомпозицию систем на компоненты, специалисты по ИБ – за поиск уязвимостей, анализ угроз и их вероятности, анализ рисков и составление отчета по ним, а также за оптимизацию плана их обработки. Коллегиальный орган по ИБ, в состав которого входят специалисты по ИТ, ИБ, юристы, финансисты, сотрудники служб безопасности и внутреннего контроля, утверждает отчет по рискам и план. Оцениваются риски по следующим критериям: уровень допустимых потерь, последствия для бизнеса и текущая ситуация.
Выступления и презентации в рамках технологического потока были подобраны так, чтобы у разработчиков решений была возможность представить свои ноу-хау, лучшие кейсы и поделиться рекомендациями и экспертными мнениями. Авторы презентаций отмечали, что возможностей для кибератак становится все больше, и безопасность не имеет границ, поскольку распространяется на сети, приложения, данные и людей. Появление новых вызовов безопасности приводит к тому, что разработчики ИБ-решений отдают предпочтение адаптивной системе, элементом которой является концепция сетевой фабрики безопасности. Преимущества фабрики состоят в том, что она предоставляет полную визуализацию, покрытие и гибкость в отношении всего спектра атак, широкие возможности по интеграции с технологическими партнерами, а повышение производительности устройств снижает общую нагрузку на инфраструктуру.
Доклады в рамках организационного потока были посвящены оптимизации работы ИБ-департаментов. Делегаты форума искали ответы на вопросы, какие навыки нужны директору по информационной безопасности, кто в компании должен отвечать за риски ИБ. Дискуссионным остается вопрос структуры. Одни эксперты выступают за создание ИБ-службы как отдельного подразделения, другие склоняются в пользу варианта, когда эта служба входит в структуру ИТ-подразделения или службы безопасности.
Все темы, связанные с действиями хакеров, уязвимостями, вредоносным программным обеспечением, обсуждались в рамках одноименного, хакерского, потока. Тематическое разделение потоков, конечно, условно, во многих докладах и презентациях поднимались смежные вопросы, которые находятся на тематическом стыке. Если в общих чертах обобщить услышанное на форуме, то суровые будни специалиста службы информационной безопасности складываются из требований регуляторов, нарушителей, неопытных сотрудников, угроз, уязвимостей и бюджета. Сложности обеспечения безопасности информации продиктованы необходимостью реализации трех принципов: конфиденциальности, целостности и доступности. Причем картина угроз постоянно меняется, требования регулятора часто являются недостаточными для инвестиции в ИБ, а бизнес не всегда понимает связь между угрозами ИБ и рисками для ведения своей деятельности. При оценке рисков не стоит игнорировать рейтинг осведомленности персонала. Ведь количество необученных основам ИБ сотрудников организации может быть большим.
Интегрированная система оценки рисков должна учитывать HR-контекст и актуальные в данный момент времени уязвимости. Сканирование уязвимостей предлагается сопровождать тестированием персонала. После обучения сотрудников рекомендуется проводить повторную оценку персонала и пересчет рисков. Такой подход позволит обучать персонал организации базовым принципам работы ИБ и тестировать сотрудников на предмет подготовки к атакам злоумышленников.
Программой форума было предусмотрено проведение мастер-классов, круглого стола на тему «ИБ-служба моей мечты» и дискуссий, одна из которых была посвящена поиску ответа на вопрос, как в настоящее время организации справляются с дефицитом квалифицированных сотрудников. В формате мастер-классов обсуждался широкий круг тем. В частности, рассматривались практика судебных дел, имеющих отношение к ИБ, вопросы психологии принятия решений в сфере ИБ, противостояния и компромиссы между ИБ и бизнесом в корпоративной среде, эффективности традиционных сигнатурных средств защиты информации, защиты персональных данных и т. д. К слову, в прошлом году было похищено более 4 млрд записей персональных данных – больше чем за два предшествующих года. Эффективность атак повышается, и эксперты по ИБ утверждают, что не существует системы, которую нельзя было бы взломать. Складывается впечатление, что угрозы возникают гораздо быстрее, чем средства защиты. Огромное количество угроз рекомендуется систематизировать по категориям (известные, неизвестные, скрытые, внутренние и т. д.) и работать с каждой из них. Важно отслеживать и защищать удаленные подключения. Методы защиты информации подразделяются на организационные и технические. Из-за ограниченного бюджета зачастую предпочтение отдают организационным мерам и не учитывают риски.
Для завершения деловой программы организаторы припасли «вишенку на торте» по случаю юбилея. С докладом «Анализ трафика в киберпространстве» выступил гость форума Кеннет Гирс, постоянный представитель Киберцентра НАТО. По его мнению, прежде всего нужно найти информацию и проанализировать ее. Существует много способов защиты: отправка одновременно большого количества сообщений, чтобы не было понятно, какой именно сигнал передается; использование разных частот; доставка информации людьми, которые при этом не используют телефон и Интернет. Анализ трафика из разряда быстрых и дешевых способов, которые очень помогают при выполнении такой сложной работы, как анализ контента. На основе нескольких десятков постов в социальных сетях можно, например, предположить, за кого человек проголосует на предстоящих выборах. У постов в социальных сетях есть свои уникальные особенности, как и у отпечатков пальцев.
В конце юбилейного форума CISO состоялся парад спикеров. На протяжении двух дней в фойе на плакате с портретами докладчиков можно было отмечать понравившиеся и запомнившиеся выступления. По итогам голосования аудитории форума наград удостоены Алексей Лукацкий, независимый эксперт, Дмитрий Мананников, SPSR express, Александр Хегай, Cross Technologies, Андрей Акинин, Web Control, Рустэм Хайретдинов, независимый эксперт, Евгений Климов, НИП «Информзащита», Игорь Булатенко, QIWI, Федор Горловский, ГК «Интеллектуальная безопасность», и Михаил Емельянников, «Емельянников, Попова и партнеры».
