10 апреля CNews провела конференцию «Информационная безопасность в финансовом секторе: современные угрозы и средства защиты» . По организации – немного «съехали» сроки выступления докладчиков (но это мелочи), бутерброды/пирожки вкусные, стулья удобные (правда некоторые из них были расположенные в стратегических местах, с которых не видно ни докладчика, ни презентации – зал был с широкими колоннами), люди нигде не толпились. В общем и целом организация мне понравилась. Слайдов я правда не видел – забыл очки :(, поэтому вся информация воспринята «на слух» - могут быть некоторые неточности…
Тематически конференция была разбита на 2 блока – выступления вендоров (какие есть решения) и представителей банков (опыт организации защиты информации в банке). Кое-что интересное и новое (для себя) на рынке увидел, в частности захотелось пропилотировать какую-нибудь “Breach DetectionSystem”, которая позиционировалась докладчиком как средство защиты от таргетинговых атак. Из докладов этого блока показался наиболее интересным доклад представителя Kraftway про защиту от низкоуровневых атак (заражения «прошивок» или подмена оборудования).
Во втором блоке меня больше всего, пожалуй, интересовала безопасность ДБО (правда со стороны клиента-юр.лица). Интересно было посмотреть какие риски выделяют ИБшники в банках и их отличие от наших. В одном из докладов (Потанина Сергея, начальникац Центра ИБ, АКБ «СОЮЗ») были выделены следующие группы рисков связанные с:1) Инсайдом внутри Клиента
2) Ошибочными действиями Клиента
3) «Хаком» Клиента
4) Несоблюдение требований по хранению/использованию «аутентификаторов» Клиентом
5) Инсайдом внутри Банка
6) «Хаком» Банка
Одним из самых неприятных для банка является третья группа рисков, т.к. на нее сложно повлиять и она неотличима (на стороне банка) от групп рисков 1,2,4. А «корень всех зол» в том, что имеется возможность без ведома пользователя нарушить целостность транзакции. Чтобы этого не произошло требуется использование «однонаправленных интерфейсов» (за счет криптографии), что достигается, путем создания "невскрываемого сертифицированного устройства". Если я правильно понял докладчика, эту идею он высказывал ранее на Магнитогорском форуме "Информационная безопасность банков".
Также в докладе мне понравилась мысль о том, что уровень безопасности Клиентов не должен «спускаться сверху», а выбираться самим Клиентом и одним из вариантов выбора должна быть такая гарантированная целостность транзакций (в чем, опять же, прослеживается риск-ориентированный подход)
Еще один интересный доклад связанный с моделированием угроз по защите денежных средств в системах ДБО представил Алексей Ермаченко (начальник отдела ИБ, Банк Кузнецкий мост). В частности, были озвучены "шокирующие" цифры по соотношению затрат на разработку полезного функционала одной системы ДБО и безопасности оной. На функционал ушло только 16% затрат…
Да, еще в первом блоке был один доклад, который хотелось отметить - касался он GRC-систем. Вернее, хочу обратить внимание не на сам доклад, а на вопрос из зала по докладу. Кто-то из слушателей задал два вопроса:- Какую модель оценки рисков следует применять в банках?
- Существует ли какой-то рэнкинг таких моделей?
На второй вопрос, думаю, положительного ответа нет ни у кого... но формирование такого "рэнкинга" было бы делом полезным (хотя вижу много сложностей в реализации). Что же касается первого, то это, как минимум, хорошая тема для дискуссии.
