Формат выставки InfoSecurity и ему подобных мероприятий имеет ряд особенностей, которые необходимо учитывать, прежде чем досадовать на то, что этот мир не идеален. А помимо этого надо быть готовым к тому, что в рамках крупного мероприятия особым умением обладает тот, кто способен найти нужную ему информацию.
В первую очередь InfoSecurity отличается составом тех, кто туда приходит. Это важно учитывать, чтобы управлять своими и клиентскими ожиданиями. Прежде всего это мероприятие мультивендорское, так что спонсор секции (или какой-либо другой составляющей выставки) может отказать неудобному конкуренту в докладе на своей площадке, но не может запретить ему присутствовать в зале и задавать вопросы, пусть даже самые неудобные.
Выставка — это работа! Очевидно, что ее формат переживает кризис, но она должна давать возможность для общения с той аудиторией, которую не встретишь на других мероприятиях.
Марафон контента
За три дня на конференциях в рамках InfoSecurity прозвучало более 150 докладов. Плюс выступления спикеров на открытых площадках. Это особый формат, и к нему тоже нужно быть готовым! Но ежедневно объявлялась как минимум одна главная тема, которая заслуживала особого внимания аудитории. Такой темой первого дня я назвал бы «обеспечение безопасности финансовых транзакций».
Её актуальность продиктована тем обстоятельством, что платежные транзакции перестают быть исключительной компетенцией банковского сообщества. Платежные услуги все активнее оказывают операторы сотовой связи, платежные системы и телеком-провайдеры. Вопросов здесь намного больше, чем ответов. Как обеспечить безопасность транзакций, когда ответственность распределена между различными игроками? У всех свои регуляторы, нет внятных стандартов и традиций в культуре ИБ. Тема эта глобальная и незамыленная. По сути это была первая попытка обсуждения проблем безопасности финансовых транзакций, когда вопросы обсуждаются не только банковским сообществом, но и всеми, кто к этому может быть причастен.
Перед спикерами ставилась задача рассказать о том, как они видят проблемы и какие возможны пути их решения. И уже из этой эклектики мнений и приоритетов стало очевидно, что масштаб проблем безопасности транзакций и их решений таков, что всё профессиональное сообщество ставит на край компетенций! А это была только тема первого дня, во второй же день главной темой стало обеспечение безопасности критически значимых промышленных объектов и инфраструктур. С точки зрения потенциала компетенций эти две темы выводят рынок уже за край!
Безопасность промышленных инфраструктур
Продать ИБ бизнесу намного проще, когда разговор ведется в терминах уровня рисков и оценки вероятных последствий. Но с точки зрения промышленных гигантов вероятность реализации угрозы ничтожна мала, а вот последствия будут катастрофическими. От кого тогда должна исходить инициатива в области ИБ промышленных предприятий? Вопрос усложняется, когда речь заходит о предприятиях с длительным циклом производства. Например, управление домной или гидростанцией, где промышленные циклы растянуты на десятилетия, а у управления ими стоит топ-менеджмент с контрактами на один-два года и примерно с таким же стратегическим видением развития отрасли и своего предприятия.
Но в вопросе, от кого исходит инициатива, есть определенное лукавство. Зачастую лица и органы, которые несут ответственность за безопасность больших критических инфраструктур, оказываются в положении, когда их ответственность во много раз превышает их же возможности контролировать состояние безопасности тех инфраструктур, за которые они отвечают. Иными словами, руководители, отвечающие за безопасность больших объектов и инфраструктур, сталкиваются с «проклятьем размерности». Уследить за огромным количеством потенциально уязвимых мест и параметров, характеризующих защищенность, без специальных методов и средств просто невозможно. Очевидно, что они пытаются делегировать ответственность и свои полномочия по безопасности подчиненным, но при этом теряют контроль за состоянием инфраструктуры.
Как правило, для критически важных объектов существуют весьма жесткие требования по безопасности. Но выполнение этих требований в каждой критической точке зачастую бывает непростым, небесплатным и связанным с дополнительными расходами времени и усилий, а потому случается, что такого рода требования просто не выполняются. Те же, кому поручено отвечать за безопасность на том или ином участке, зачастую опасаются докладывать руководству о реальном положении, и руководство, таким образом, просто не знает истинного состояния дел. Вместе с тем нельзя не признать, что побудителями культивирования «святой лжи» порой являются «веские причины», а именно понимание того, что если выполнять все требования по безопасности, то организация может и не выдержать этого, утратить свою экономическую конкурентоспособность.
Игорь Решетников, заместитель начальника САИТиС компании «Газпром-центрремонт», в своем докладе «Безопасность промышленных объектов — мнимая и реальная» отметил, что сейчас на производстве все больше профильных и непрофильных задач сваливается на цеховой уровень. Если раньше у специалиста цехового уровня стояла только одна система управления станком или технологическим процессом, то теперь ему приходится работать и в SAP, и в BI-системе, и еще в десятке других. Что в таком случае делать сисадмину? Он устанавливает везде, где нужно и не нужно, дополнительное ПО (антивирусы). Был случай, когда установленный на сервере антивирус «положил» систему Oracle, так как нашел в нем что-то похожее на вирус и перенес его в карантин.
Производственные системы работают не в псевдо-, а в реальном масштабе времени. Это значит, что они крайне сложны для администрирования, так как требуют уникальных компетенций. Кто при этом отвечает за ИБ на цеховом уровне? Есть три центра компетенций, которые пытаются разделить между собой компетенции, связанные с работой АСУТП: ИТ-служба, производственники и сама служба АСУТП. Первая из них, как правило, предпочитает ограничиться только сопровождением. Вторые хотят получить решение своих производственных проблем. Ну а служба АСУТП пытается как-то выжить между этими двумя.
Противоречивые темы
Одна из тем, которая вызывала множество сомнений в своей актуальности, касалась вопросов обеспечения безопасности мобильных устройств. Казалось бы, об этом уже всё сказали, представили все решения и кейсами их подтвердили. Что еще тут можно сказать?
Однако по мнению Карена Карагедяна, заместителя директора по развитию бизнеса компании «Stonesoft Россия», на самом деле тема ИБ в мобильной области может казаться перегретой только узкому кругу ИТ- и ИБ-специалистов, которые понимают глубину этой проблемы. А вот в бизнес-среде и тем более в среде госслужащих эта проблема далеко не так очевидна. Почти у всех из них в руках какой-то мобильный девайс, но про их уязвимости они, как правило, слышат впервые.
Мобильность и BYOD — это уже не тренд. Это реальность, в которой мы давно живем. Но уровень грамотности пользователей в отношении угроз остается на очень низком уровне. И это при том, что практически на всех государственных предприятиях приняты документы, которые регламентируют работу в Интернете. Но никто не может вспомнить, что в них написано про мобильные устройства. Регламентирующих документов полно, но все они требуют обеспечить вход в Интернет только через госсегмент. А как в этот сегмент вписывается концепция мобильных устройств? Нужно решение, которое обеспечит безопасный доступ к Интернету, почте, порталу и т.д. для чиновников. Чтобы оно было безопасно и не противоречило действующему законодательству. При этом в первую очередь требуется обеспечить базовую функциональность так, чтобы не загрузить пользователя сложными регламентами, которые он не будет выполнять.