20 ноября, 2020

«RBK.money – Linux в мире платёжных операций» (с) Так говорит The Standoff

Финальная пресс-конференция в штабе учений на киберполигоне The Standoff стала своеобразной «вишенкой на торте»* в череде выступлений экспертов этого мероприятия, на котором «состоялось более 70 докладов и круглых столов» за шесть дней мероприятия.

*Личное оценочное суждение автора материала

Свои мнения о «плюсах и минусах современных технологий кредитно-финансового сектора» представили Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies и Антон Куранда, технический директор RBK.money. Особую ценность мнениям этих молодых технократов придавало отсутствие наличия (J) в их выступлениях изрядно набивших оскомину маркетинговых штампов, необоснованной корпоративной ангажированности, умение и готовность спуститься с высот своей технической компетенции на уровень интересов и способности к восприятию простого квалифицированного обывателя и потребителя. И вновь вернуться в кресло компетенции.**

**Свою роль в этом сыграло умелое ведение пресс-конференции Зинаидой Боровой, представлявшей пресс-службу киберполигона. Её вопросы позволили экспертам последовательно очистить от «шелухи» технологии КФС, основанные на ИТ, и продемонстрировать собравшимся их не всегда безопасную «сердцевину».

«Это будущее, его пока нет» (с) – так обобщённо можно оценить высказывания экспертов о возможностях т.н. «искусственного интеллекта». Не менее ценно для объективного взгляда на проблему признание того, что разные команды могут выдать по разному «думающий» ИИ, стартовав из единой «точки».

Обмен репликами по теме цифровой валюты и цифрового рубля наряду с очевидными идеализированными достоинствами – возможность отследить всю цепочку от эмитента до конкретного получателя; удар по коррупции и сохранение лесов – выявил пару препятствий на пути к этому светлому будущему – отсутствие чёткого понимания у законодателей (1) того, как должна работать цифровая эмиссионно-финансовая система и отсутствие чёткого понимания у ИТ (2) того, как можно безопасно реализовать в «цифре» то, что не представляет себе заказчик.

Обсуждая технологии упрощения платёжных операций для клиента, эксперты были единодушны как в общефилософском посыле – «чем проще для клиента, тем больше возможностей для злоумышленника», так и в частностях больших возможностей – возможности подмены номера телефона, возможности перехвата звонков и СМСок…

Как отметил Антон Куранда, «если вложиться, то можно сделать безопасно», но надо переделать сотовую связь, переделать банки, переделать МВД.

При обсуждении вопросов использования биометрии прозвучала реплика о том, что «это классно, это прикольно. И очень удобно для проведения собраний собственников жилья.

А для банков? Большие риски для клиентов! И вообще, это Оруэлл в чистом виде! А обсуждать открыто технологические основы биометрии просто опасно!»

Среди приведённых экспертами плюсов и минусов использования Open Source в большей степени запомнился риск изменения лицензии (-) и необходимость, зачастую, многолетнего ожидания закрытия дыр в проприетарном ПО, тогда как в Open Source эта проблема может быть решена достаточно оперативно (+).

Перейдя от частностей Open Source к обсуждению новых методов разработки банковских приложений, эксперты отметили, что микросервисная архитектура имеет ряд технологических достоинств – от предоставления возможности «9 женщинам родить ребёнка за 1 месяц» и до использования менее дорого «железа». Однако увеличение числа компонентов – это рост киберрисков. В том числе по субъективным причинам – 1000 релизов в день и связанные с этим ультиматумы разработчиков «безопасникам».

Весьма интересно прошла сессия ответов на вопросы аудитории. Среди запомнившегося особенно:

Эксперты были единодушны в том, что самый безопасный способ платежа – «наличка», подтверждённая бумажной распиской. Но при этом сами эксперты не отказываются от взятия на себя рисков, связанных с оплатой телефонами или кредитной картой небольших платежей. Уж очень удобно!

А ближе к концу мероприятия был сформирован и антирейтинг (с точки зрения ИБ) технологий, в который вошли мобильные платёжные приложения, сотовая связь и СМСки в качестве второго фактора многофакторной аутентификации. И в этой связи уместно привести ещё одну цитату:

«Сотовая связь – комплекс наследственных проблем» (с) Так говорит The Standoff

Смотрите также