Панорама Осенней Сессии Уральского форума
В преддверии зимнего выезда на Урал финансовый мегарегулятор провёл «разминку» в столице России.
Осенняя Сессия Уральского форума «Информационная безопасность финансовой сферы» собрала 5 сентября специалистов по информационной безопасности, представителей финансовых организаций, компаний-интеграторов и вендоров для участия в двух дискуссиях и паре секционных заседаний.
Аншлаг состоялся! Для тех, кто задержался на выставке и увлёкся дискуссиями со стендистами, уже в 10:04 в конференц-зале Холидей-Инн на Лесной остались лишь неудобные стоячие места в проходах. Удобные стоячие места, как и кресла в зале, были уже заняты. В перерывах ушлые завсегдатаи Уральского форума оставляли на креслах личные вещи, так что «тапки» всё время оставались за тем, «кто первый встал».
В течении 8 часов работы Осенней Сессии её гости приняли участие в двух дискуссиях по проблематикам ЕБС и «социальной инженерии», совершили виртуальный тур по Управлению методологии и стандартизации информационной безопасности и киберустойчивости ЦБ РФ и получили практические рекомендации и разъяснения по работе в рамках нормативных требований Центробанка в сфере ИБ.
Хотелось бы ошибиться, но, похоже, не только для «рядовых» слушателей мероприятия, но и для представителей ЦБ в новинку оказалось услышать о реальных возможностях встраивания уже сегодня и на основе отечественного ноу-хау кибериммунитета в компьютерную технику. Встраивания на аппаратном уровне, используя т.н. «новую гарвардскую архитектуру». Об этой архитектуре компьютеров и её ИБ-возможностях на одной из сессий рассказал Валерий Конявский, заведующий кафедрой защиты информации ФРКТ МФТИ, научный консультант ОКБ САПР. А на стенде ОКБ САПР эти самые компьютеры можно было увидеть вживую.
«Счастье – это когда тебя понимают» (с)
«Размялись» участники мероприятия на площадке дискуссии «Информационная безопасность Единой биометрической системы», темы общепризнанно скользкой, как и сама ЕБС. В зале поднялась лишь пара-другая рук в ответ на вопрос о том, кто уже «сдал биометрию». Планы по внедрению ЕБС в финансовой сфере есть, осознанное понимание целесообразности и путей этого процесса для каждого из игроков отрасли только формируется.
Народ терзают смутные сомнения в части проработанности базовых технических вопросов биометрического распознавания и метрологии биометрии, но 5 сентября вопросы атаки на биометрический сканер остались «за кадром». Участники дискуссии сосредоточились на обсуждении «подъёмности» и оправданности затрат ресурсов на внедрение и эксплуатацию биометрической компоненты ДБО.
Центробанк представил слайд с текущей ситуацией по реализации требований по ИБ в ЕБС на основе «докладов» 38 банков РФ. Почему 38? Их клиентами являются почти 90% физлиц. И согласно слайду планы партии – планы народа, 37 банков отрапортуют в 2019 году о … О чём? О мерах обеспечения ИБ в ИБС? И начнётся работа и окупаемость?
Позволит ли оценка соответствия «дистанционного клиента» реальной личности на основе биометрии обеспечить равные конкурентные преимущества в сфере ДБО для этих 38 банков и для всех банков из, например, ТОП 300?
Апологеты внедрения ссылаются на то, что упомянутые оценки можно использовать не только для предоставления финансовых, но и «других услуг».
Каких «других»? Какая инфраструктура должна быть создана в организациях, которые будут предоставлять «другие» услуги? После упоминания о планах включения МФЦ в контур сбора и использования «биометрии» стон прошёл по залу Осенней Сессии Уральского форума, крайним мероприятием которого, напомним, была запланирована и стала дискуссия «Практика борьбы с социальной инженерией». Похоже, зал вспомнил те строки из «Золотого телёнка» о том, (далее близко к тексту по смыслу) как высоко ценились в среде «детей лейтенанта Шмидта» социальные атмосферы Жмеринки и Конотопа с Урюпинском.
Среди наиболее глобальных «других» сфер применения биометрии часто упоминаются (и Осенняя Сессия не была исключением) «цифровой профиль личности», «электронный паспорт гражданина». Но эти идеи часто соседствуют в умах трезвомыслящих специалистов с диссидентским анекдотом советских времён о разнице между учёными и коммунистами. Последние по версии диссидентов отличались тем, что ставили эксперименты сразу на людях.
Но в любом случае дискуссия о ИБ ЕБС 5 сентября на Лесной была полезна тем, что «финансовая власть» выслушала народ, мнение которого мегарегулятор ценит и учитывает, стараясь быть максимально открытым для разъяснения своих позиций и диалога.
Это в очередной раз продемонстрировала сессия «Оценка соответствия кредитных и некредитных финансовых организаций требованиям Банка России по 683-П и 684-П. Разъяснение применения методики ГОСТ 57580.2 при проведении аудита ИБ».
В ходе этого заседания Андрей Выборнов, заместитель директора – начальник Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России предложил рассказать о деятельности своих подразделений коллегам из отделов информационной безопасности и киберустойчивости финансовых технологий; нормативного регулирования; методологии контроля и наблюдения.
А после этого все вместе они отвечали на вопросы и разрешали сомнения участников заседания, возникшие при воплощении в жизнь требований тех документов, что упомянуты в названии сессии.
И поезд ещё не ушёл, и на запасном пути стоит наш бронепоезд
«Президиум» сессии «Реализация требований по защите каналов с использованием отечественных средств криптографической защиты» был компактным, но представленные сообщения добавили оптимизма тем, кто верит в отечественных ньютонов и импортозамещение. В контексте последнего доклад Алексея Данилова из «ИнфоТеКС» представил широкую линейку программно-аппаратных комплексов для защиты информации в сетях на основе отечественной криптографии.
А вот серия докладов (минутный, 20-ти минутный и почти часовой в виде сессии вопросов и ответов) уже упомянутого Валерия Конявского представила как идею, так и реальные внедрения компьютеров с т.н. «новой гарвардской» архитектурой. Она отличается тем, что в ней используется память, для которой установлен режим «только чтение». При загрузке команды и данные размещаются в т.н. сеансовой памяти, в которой и исполняются. В результате хакерский инструментарий не имеет возможности закрепиться и работать в системе на основе новой архитектуры. Компьютеры в промышленном исполнении на основе новой архитектуры уже работают на железнодорожном транспорте, планшеты на основе новой архитектуры используются в одном из базовых министерств, у вычислительной техники на основе новой архитектуры большие перспективы для использования в «умных» домах и городах и в системах IoT как таковых.
«Тема социальной инженерии напоминает секреты фокусников, которые давно раскрыты и опубликованы в Интернете. Но они продолжают удивлять публику и собирать аншлаги на свои выступления. Продается не секрет, а шоу.»
Этот фрагмент вступительного слова модератора дискуссии «Практика борьбы с социальной инженерией в системах дистанционного банковского обслуживания» отражает существенную часть квинтэссенции проблемы «социальной инженерии», которую она представляет для ИБ. Чего стоит только замечание Алексея Лукацкого о том, что даже в службе ИБ Cisco 1% сотрудников попадает на «удочку» социальной инженерии при контрольных проверках кибербдительности персонала.
То, что профессионал легко вовлекает в шоу даже искушённую аудиторию, доказал на Осенней Сессии Олег Седов, директор направления «Кибербезопасность населения» Ростелеком-Solar и модератор дискуссии по социальной инженерии. Повидавшие виды «ибэшники» в зале, раскручиваемые модератором, буквально исповедовались спикерам о своих стычках с жестоким миром «социального» киберкриминалитета. И требовали «крови».
Артём Сычёв, который к радости модератора не стал называть себя «независимым экспертом», коим представился Алексей Лукацкий, рассказал о том, что «кровь» уже была и будет ещё. Первый заместитель директора Департамента информационной безопасности Банка России рассказал, в частности, о суммарном сроке в 150 лет одной из групп выявленных «социальных инженеров». Беда, однако, в том, отметил он, что выявляются лишь исполнители, а руководители преступного бизнеса на социальной инженерии остаются «за кадром» расследований и судебных заседаний.
Пара выводов из острой и нелицеприятной полемики на дискуссии по социальной инженерии в контексте её влияния на ИБ:
- Утечки из банков – «это капля в море, и в основном это удар, скажем так, по сильно обеспеченным слоям населения» (с).
- Хотя развивать у населения навыки кибербезопасности надо, местами загадочная, а местами хорошо известная («пока гром не грянет, …») природа человеческой натуры всегда оставит место для заработка «киберинженерам человеческих душ».
К сожалению, на финальной дискуссии Осенней Сессии в «исповедальной» волне утонула реплика Алексея Лукацкого о том, что возможен всё-таки технократический подход к решению проблемы (или её части) негативного влияния социальной инженерии. Речь идёт о внедрении технологии (технологий?) непрерывной идентификации пользователя. Обсуждение этого вопроса теперь уже в иных встречах было бы интересным.
На Осеннюю Сессию Уральского форума было вынесено лишь некоторое количество частных проблем информационной безопасности финансовой сферы России. И по итогам дискуссий и высказанных пожеланий можно, к сожалению, говорить о нерешённости фундаментальных проблем ИБ – повышение её «социального» статуса в хозяйственном комплексе страны и переход с идеологии «щита и меча» к принципам встроенного «ИБ-иммунитета». Истоки нерешённости этих проблем – в тактических принципах управления предприятиями и хозяйством страны в целом, использование при управлении исключительно финансовых механизмов и принципов риск-менеджмента. Для борьбы с лесными пожарами принято решение от этих подходов уходить. Впереди эпоха ИБ-ренессанса?
.jpg)
.jpg)
.jpg)