пятница, 1 ноября 2013 г.

InfoSecurity ‘2013: люди и темы + Наш фотоотчет

Журнал Intelligent Enterprise
Автор: Олег Седов
25.10.2013

Формат выставки InfoSecurity и ему подобных мероприятий имеет ряд особенностей, которые необходимо учитывать, прежде чем досадовать на то, что этот мир не идеален. А помимо этого надо быть готовым к тому, что в рамках крупного мероприятия особым умением обладает тот, кто способен найти нужную ему информацию.

В первую очередь InfoSecurity отличается составом тех, кто туда приходит. Это важно учитывать, чтобы управлять своими и клиентскими ожиданиями. Прежде всего это мероприятие мультивендорское, так что спонсор секции (или какой-либо другой составляющей выставки) может отказать неудобному конкуренту в докладе на своей площадке, но не может запретить ему присутствовать в зале и задавать вопросы, пусть даже самые неудобные.

Выставка — это работа! Очевидно, что ее формат переживает кризис, но она должна давать возможность для общения с той аудиторией, которую не встретишь на других мероприятиях.
Марафон контента

За три дня на конференциях в рамках InfoSecurity прозвучало более 150 докладов. Плюс выступления спикеров на открытых площадках. Это особый формат, и к нему тоже нужно быть готовым! Но ежедневно объявлялась как минимум одна главная тема, которая заслуживала особого внимания аудитории. Такой темой первого дня я назвал бы «обеспечение безопасности финансовых транзакций».

Её актуальность продиктована тем обстоятельством, что платежные транзакции перестают быть исключительной компетенцией банковского сообщества. Платежные услуги все активнее оказывают операторы сотовой связи, платежные системы и телеком-провайдеры. Вопросов здесь намного больше, чем ответов. Как обеспечить безопасность транзакций, когда ответственность распределена между различными игроками? У всех свои регуляторы, нет внятных стандартов и традиций в культуре ИБ. Тема эта глобальная и незамыленная. По сути это была первая попытка обсуждения проблем безопасности финансовых транзакций, когда вопросы обсуждаются не только банковским сообществом, но и всеми, кто к этому может быть причастен.

Перед спикерами ставилась задача рассказать о том, как они видят проблемы и какие возможны пути их решения. И уже из этой эклектики мнений и приоритетов стало очевидно, что масштаб проблем безопасности транзакций и их решений таков, что всё профессиональное сообщество ставит на край компетенций! А это была только тема первого дня, во второй же день главной темой стало обеспечение безопасности критически значимых промышленных объектов и инфраструктур. С точки зрения потенциала компетенций эти две темы выводят рынок уже за край!
 
Безопасность промышленных инфраструктур

Продать ИБ бизнесу намного проще, когда разговор ведется в терминах уровня рисков и оценки вероятных последствий. Но с точки зрения промышленных гиган­тов вероятность реализации угрозы ничтожна мала, а вот последствия будут катастрофическими. От кого тогда должна исходить инициатива в области ИБ промышленных предприятий? Вопрос усложняется, когда речь заходит о предприятиях с длительным циклом производства. Например, управление домной или гидростанцией, где промышленные циклы растянуты на десятилетия, а у управления ими стоит топ-менеджмент с контрактами на один-два года и примерно с таким же стратегическим видением развития отрасли и своего предприятия.

Но в вопросе, от кого исходит инициатива, есть определенное лукавство. Зачастую лица и органы, которые несут ответственность за безопасность больших критических инфраструктур, оказываются в положении, когда их ответственность во много раз превышает их же возможности контролировать состояние безопасности тех инфраструктур, за которые они отвечают. Иными словами, руководители, отвечающие за безопасность больших объектов и инфраструктур, сталкиваются с «проклятьем размерности». Уследить за огромным количеством потенциально уязвимых мест и параметров, характеризующих защищенность, без специальных методов и средств просто невозможно. Очевидно, что они пытаются делегировать ответственность и свои полномочия по безопасности подчиненным, но при этом теряют контроль за состоянием инфраструктуры.

Как правило, для критически важных объектов существуют весьма жесткие требования по безопасности. Но выполнение этих требований в каждой критической точке зачастую бывает непростым, небесплатным и связанным с дополнительными расходами времени и усилий, а потому случается, что такого рода требования просто не выполняются. Те же, кому поручено отвечать за безопасность на том или ином участке, зачастую опасаются докладывать руководству о реальном положении, и руководство, таким образом, просто не знает истинного состояния дел. Вместе с тем нельзя не признать, что побудителями культивирования «святой лжи» порой являются «веские причины», а именно понимание того, что если выполнять все требования по безопасности, то организация может и не выдержать этого, утратить свою экономическую конкурентоспособность.

Одна из тем, которая вызывала множество сомнений в своей актуальности, касалась вопросов обеспечения безопасности мобильных устройств. Казалось бы, об этом уже всё сказали, представили все решения и кейсами их подтвердили. Что еще тут можно сказать?

Однако по мнению Карена Карагедяна, заместителя директора по развитию бизнеса в России Stonesoft, a McAfee Group Company, на самом деле тема ИБ в мобильной области может казаться перегретой только узкому кругу ИТ- и ИБ-специалистов, которые понимают глубину этой проблемы. А вот в бизнес-среде и тем более в среде госслужащих эта проблема далеко не так очевидна. Почти у всех из них в руках какой-то мобильный девайс, но про их уязвимости они, как правило, слышат впервые.

Мобильность и BYOD — это уже не тренд. Это реальность, в которой мы давно живем. Но уровень грамотности пользователей в отношении угроз остается на очень низком уровне. И это при том, что практически на всех государственных предприятиях приняты документы, которые регламентируют работу в Интернете. Но никто не может вспомнить, что в них написано про мобильные устройства. Регламентирующих документов полно, но все они требуют обеспечить вход в Интернет только через госсегмент. А как в этот сегмент вписывается концепция мобильных устройств? Нужно решение, которое обеспечит безопасный доступ к Интернету, почте, порталу и т.д. для чиновников. Чтобы оно было безопасно и не противоречило действующему законодательству. При этом в первую очередь требуется обеспечить базовую функциональность так, чтобы не загрузить пользователя сложными регламентами, которые он не будет выполнять.
 
Статья в БИБЛИОТЕКЕ

НАШ ФОТООТЧЕТ:








 

Комментариев нет:

Отправить комментарий